Решили остановиться на варианте auth-helprs LDAP, вариант связки Kerberos и Winbind в связи с нестабильностью последнего не вдохновил, да Samba мне ни к чему.
А с помощью LDAP мы будем проверять принадлежит ли пользователь определенной группе без проверки паролей и т.д.
И так:
1. берем Squid ... собираем с ключами:
[root@Proxy squid-2.7.STABLE5]#./configure --prefix=/usr \--exec-prefix=/usr \--sysconfdir=/etc/squid \--enable-delay-pools \--enable-kill-parent-hack \--enable-snmp \--disable-ident-lookups \--enable-truncate \--enable-removal-policies=lru,heap \--enable-gnuregex \--enable-underscores \--enable-stacktraces \--enable-useragent-log \--enable-referer-log \--enable-forward-log \--enable-arp-acl \--enable-storeio=aufs,diskd,null,ufs \--enable-htcp \--enable-ssl \--disable-carp \--disable-wccp \--disable-wccpv2 \--enable-default-err-language=Russian-1251 \--enable-follow-x-forwarded-for \--enable-epoll \--with-maxfd=16384 \--enable-auth=basic,ntlm,digest \--enable-basic-auth-helpers=getpwnam,LDAP,NCSA,PAM,SMB,SASL \--enable-ntlm-auth-helpers=no_check,SMB,fakeauth \--enable-digest-auth-helpers=password,ldap \--enable-external-acl-helpers=ldap_group,unix_group,wbinfo_group \--enable-linux-netfilter \--enable-dlmalloc
описывать параметры думаю лишние
2.
[root@Proxy squid-2.7.STABLE5]# make all && make install
3. проверяем как работает наш "хелпер"
squid_ldap_auth
[root@Proxy squid]# /usr/libexec/squid_ldap_group -S -R -b "dc=dn,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=Group,ou=Servers,dc=dn,dc=local))" -D ldap@dn.local -w "password" AD_SERVERUserAD IntetGroupOK
4. и последнее пример конфига:
external_acl_type wbinfo_group ttl=0 %LOGIN /usr/libexec/squid_ldap_group -S -R -b "dc=dn,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=Group,ou=Servers,dc=dn,dc=local))" -D ldap@dn.local -w "password" srerver-adauth_param basic program /usr/libexec/squid_ldap_auth -R -D ldap@dn.local -w "password" -b "dc=dn,dc=local" -f "sAMAccountName=%s" server-ad auth_param basic children 3auth_param ntlm program /usr/libexec/fakeauth_auth DN/srerver-adauth_param ntlm children 7auth_param ntlm keep_alive offauth_param basic realm Squid proxy-caching Donetskauth_param basic credentialsttl 1 hoursauthenticate_ttl 60seconds acl DN_local proxy_auth REQUIREDacl acl_Inet external wbinfo_group IntUsershttp_access allow DN_local acl_Inethttp_access deny all
Вот и все..., теперь доступ в Интернет только у пользователей кто принадлежит группе IntUsers
Комментариев нет:
Отправить комментарий