PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Squid und Authentifizierung an W2K-Domäne



schuelsche
09.08.04, 09:58
Hallo,

ich benutze einen Squid-Proxy-Server. Dabei handelt sich um eine Standard-Squid-Installation unter SuSE 9.0 mit dem Squid-2.5.STABLE3-98.i586.rpm.

Diesen Squid-Proxy-Server habe ich schon so konfiguriert, dass eine Proxy-Authentifzierung notwendig ist, um über den Squid im Internet zu surfen.

Nun möchte ich aber ermöglichen, dass die Authentifizierung an der Windows2000-Domäne benutzt wird, um über den Proxy zu surfen. Das heisst also, der an der Domäne angemeldete User soll den Browser benutzen können, ohne sich nochmal authentifzieren zu müssen. Dabei werden IE und auch Firebird als Browser benutzt, das ganze kann also nicht nur IE-abhängig funktionieren.

Jetzt habe ich schon rumprobiert und auch gegoogelt, und herausgefunden, dass man hierzu das Squid-Modul msnt_auth benutzt. Nur leider funktioniert das irgendwie nicht. Aber warum??

Ich bin nach dem Tutorial unter http://www.tecchannel.de/betriebssysteme/1394/8.html vorgegangen. Ausserdem habe ich hier http://ursine.ca/cgi-bin/dwww?type=file&location=/usr/share/doc/squid/README.auth_module.msnt_auth.html.gz nachgelesen, aber da hilft mir auch nichts weiter...

Zunächst habe ich in der squid.conf eingegeben "auth_param basic program /usr/sbin/msnt_auth". Dieses Modul greift dann wohl standardmässig auf /usr/share/squid/msntauth.conf zu. Allerdings liegt bei mir diese Datei auch unter /etc/squid/msnt_auth. Wenn ich will, dass msnt_auth auf die Datei unter /etc/... zugreift, gebe ich also folgendes in der squid.conf an:



auth_param basic program /usr/sbin/msnt_auth /etc/squid/msntauth.conf


In der msntauth.conf habe ich den PDC eingetragen (einen BDC habe ich nicht, deshalb muss man wohl den PDC zweimal eintragen):


server server.test.net server.test.net test.net


Die IP des server.test.net (10.10.10.100) habe ich in der /etc/hosts eingetragen.

Die allow- und deny-users habe ich mal auskommentiert gelassen.

Meine squid.conf sieht so aus:



cache_peer 10.10.10.200 parent 8080 8080 no-query

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

debug_options ALL,8

auth_param basic program /usr/sbin/msnt_auth /etc/squid/msntauth.conf
auth_param basic children 5
auth_param basic realm Squid Samba 88
auth_param basic credentialsttl 30 minute

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563

acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT

acl pbenutzer proxy_auth REQUIRED

http_access allow pbenutzer
http_access deny all

http_reply_access allow all

cache_effective_user squid
cache_effective_group nogroup

cachemgr_passwd disable shutdown offline_toggle
cachemgr_passwd *** info
cachemgr_passwd *** all

error_directory /usr/share/squid/errors/German

coredump_dir /var/cache/squid


Wenn ich diese so benutze, dann funktioniert die Authentifizierung über die Windows-Domäne nicht. Zum einen bekommt der User die Meldung, dass er sich anmelden muss, zum anderen kann ich mich nicht anmelden, weder mit der Windows-Authentifizierung noch mit irgendwas anderem...

Wenn ich den Befehl
./msnt_auth /etc/squid/msntauth.conf
auf der Konsole als Root eingebe, passiert überhaupt nix. Auch in /var/log/messages steht dann keine Fehlermeldung oder ähnliches...

Was fehlt da? Wie funktioniert das mit der msnt_auth? Oder gibt es vielleicht noch eine andere Möglichkeit, die Windows-User direkt zu authentifzieren?? Oder ist das ein Problem, weil ich einen zweiten Proxy benutze? Muss da irgendwas anders eingestellt werden?

Wäre auch über ein gutes Tutorial diesbezüglich dankbar...

Grüsse
schuelsche

maeck
23.11.05, 14:53
hallo schuelsche,

hast du eine Lösung für dein Problem gefunden?
Ich möchte meinem squid auch beibringen dass er sich die Authentifizierung über die WindowsDomäne holt.

Wäre dankbar, für ein paar Informationen oder Hilfen.

maeck

schuelsche
23.11.05, 15:21
Hallo,

das ist ja schon so lange her, dass ich das nicht mehr genau weiss. Aber ich habe mal in meinen Unterlagen gesucht und folgendes gefunden, wobei ich nicht genau weiss, ob Dir das ohne weitere Erläuterung weiterhilft:



Proxy-Authentifizierung einschalten:
------------------------------------
in /etc/squid/squid.conf eintragen
> auth_param basic program /opt/squid/sbin/ncsa_auth /etc/squid/proxy_users
> auth_param basic children 5
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 2 hours
ausserdem:
> acl our_networks src 192.168.1.0/24
> acl auth_users proxy_auth REQUIRED
> http_access allow our_networks auth_users

proxy-user einrichten:
htpasswd -bc proxy_users name passwort
-> wird gespeichert in durch Befehl angelegter Datei /etc/squid/proxy_users
-> neuen User anlegen mit httpasswd -b name passwort
-> SuSE 9.1 bzw. apache2: htpasswd2 -b passwortdatei name passwort

proxy authentifizierung mit msnt
--------------------------------
http://www.tecchannel.de/betriebssysteme/1394/8.html

eintragen in /etc/squid/squid.conf:
auth_param basic program /usr/sbin/msnt_auth

editieren der /etc/squid/msntauth.conf:
server <fqdn.des.pdc> <fqdn.des.bdc> <domainname>
allowusers /etc/squid/allowed_users
denyusers /etc/squid/denied_users


Grüsse
schuelsche