Domänen Benutzer am Squid Proxy authentifizieren

Dieser Artikel ist Teil der Artikelserie Squid Proxy Server unter Debian installieren und konfigurieren.

Im Artikel Squid Proxy Server unter Debian installieren habe ich gezeigt, wie man einen Proxy Server im lokalen Netzwerk betriebt. Dabei wurde der Proxy Server so konfiguriert, dass er für alle Clients im Netzwerk zur Verfügung steht.

Wenn bereits ein Active Directory vorhanden ist, bietet es sich an die Benutzer am Proxy zu authentifizieren. Dadurch kann der Proxy Server ausschließlich von bekannten Benutzern verwendet werden. Dritte erhalten keinen Zugriff auf den Proxy. Der Benutzername wird in dem Squid Logfile festgehalten welches z.B. mit SARG grafisch dargestellt werden kann.

Mithilfe von Samba, welches unter Linux Windows Active Directory Funktionen zur Verfügung stellt wird der Proxy Server der Domäne hinzugefügt. Der große Vorteil ist, dass sich der Benutzer nicht selbst am Proxy Server anmelden muss. Beim Öffnen des Browsers geschieht die Authentifizierung automatisch im Hintergrund. Dieses Verfahren wird als NTLM Authentifizierung bezeichnet. Diese Funktion wird von allen gängigen Browsern unterstützt. Bei Computern welche nicht in der Domäne sind, erscheint ein Anmeldefenster.

Hinweis: Die rot markierten Inhalte müssen an das lokale Netzwerk angepasst werden.

Vorbereitung
Der Squid Proxy Server sollte über eine feste IP-Adresse verfügen. Dies kann alternativ auch über eine DHCP Reservierung erfolgen. Wie bei Windows Clients, welche der Domäne hinzugefügt werden, müssen die DNS Server auf einen Domänencontroller zeigen.

Um den Proxy Server der Domäne hinzuzufügen muss zunächst Samba installiert werden. Dazu den Befehl apt-get install samba winbind ausführen.

clip_image001

In der Datei /etc/samba/smb.conf müssen die Einstellungen für das Active Directory angepasst werden. Dazu die vorhandene Datei mit folgenden Einstellungen ersetzen:

workgroup = MYAD
security = ads
realm = MYAD.LOCAL
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes

Danach ist die Konfiguration von Samba abgeschlossen und der Computer wird mit folgendem Befehl der Domäne hinzugefügt:

net ads join -U Administrator

Statt Administrator kann auch ein anderer Domänen-Benutzer angegeben werden, welcher das Recht besitzt Computer zur Domäne hinzuzufügen. Daraufhin kommt eine Aufforderung zur Eingabe des Passworts.

Damit Squid auf Samba zur Authentifizierung zugreifen kann, folgenden Befehl ausführen:

gpasswd -a proxy winbindd_priv

chown root:winbindd_priv /var/lib/samba/winbindd_privileged/

Um Squid für die Authentifizierung zu konfigurieren die Konfigurationsdatei unter /etc/squid3/squid.conf aufrufen. Dazu folgende Einstellungen wie im Screenshot gezeigt hinzufügen:

auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl AuthorizedUsers proxy_auth REQUIRED

clip_image002

Der Eintrag http_access allow all AuthorizedUsers bewirkt, dass authentifizierte Benutzer der Zugriff gewährt wird. Falls vorhanden, muss der Eintrag http_access allow localnet entfernt bzw. kommentiert werden. Sonst währe der Zugriff für Clients aus dem Subnetz auch ohne Authentifizierung möglich .

clip_image003

Damit die Änderungen übernommen werden Squid mit dem Befehl service squid3 restart neustarten. Für alle Anfragen an den Proxy Server wird jetzt die Authentifizierung durchgeführt.

Dieser Artikel ist Teil der Artikelserie Squid Proxy Server unter Debian installieren und konfigurieren.

Werbung
Ähnliche Artikel

Werbung

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.