stony007_de
02.10.09, 07:10
Hallo Zusammen,
Ich bin schon eine ganze Weile verzeifelt auf der Suche nach einer Lösung für mein Problem.
Ich habe es mir zur Aufgabe gemacht, unseren ISA-2000 abzulösen!
Am liebsten durch nen Squid! Das funktioniert mit der AD Integration auch ganz gut, aber!!!
Ich habe 2 Gruppen von Usern welche über den Proxy surfen dürfen!
Die 1. Gruppe darf von diversen festegelegten PCs auf das Internet zugreifen.
Die 2. Gruppe darf nur über 3 fest definierten Rechner surfen, nicht über die der 1. Gruppe!
Und das ganze soll nur von AD konfiguriert werden, nichts auf dem Squid Host selber!
Mein bisheriger Ansatz:
Ich habe in meinem AD 4 Gruppen! Für jede Guppe 2(User und Rechner).
d.h.:
1. Gruppe hat folgende AD Gruppen: "Group1User" und "Group1PCs"
folglich hat die 2. Gruppe die AD Gruppen: "Group2User" und "Group2PCs"
Bislang sieht meine Config wie folgt aus:
squid.conf
### Port
http_port 8080
### Stoplist
hierarchy_stoplist cgi-bin ?
### Cache
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
#broken_vary_encoding allow apache
cache_dir ufs /usr/local/etc/cache 2024 16 256
# Bei 1 GB flüchtigem Speicher
cache_mem 512 MB
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF
### Logfiles
access_log /var/log/squid_access.log
cache_log /var/log/squid_cache.log
cache_store_log /var/log/squid_store.log
emulate_httpd_log on
log_fqdn on
### Hostfile
hosts_file /etc/hosts
###FTP
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
### Access
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
##############################################
# Zugriffe für ADGruppen ##############################################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\Group1User"
auth_param ntlm children 10
authenticate_cache_garbage_interval 10 seconds
# Credentials past their TTL are removed from memory
authenticate_ttl 0 seconds
acl Group1PCs src "/etc/squid3/Group1PCs.lst" #werden via script aus AD gelesenICComputer
acl Group2PCs src "/etc/squid3/Group2PCs.lst" #werden via script aus AD gelesen
acl auth proxy_auth REQUIRED
http_access allow Group1PCs auth
http_access allow Group1PCs auth
http_access deny all
miss_access allow all
icp_access deny all
##############################################
# Ende Zugriffe für ADGruppen
##############################################
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#http_access deny all
Jetzt ist es Computern in den beiden definierten ACLs möglich, mit einer gültigen Anmeldeung eines Users aus der AD Gruppe “Group1User” möglich!
Das Problem: Es fehlen mir die User aus der Gruppe "Group2User"!!! welche ich via ACL auch auf diese zugehörige Gruppe von Rechner beschränken kann.
Ich bräuchte die Möglichkeit, die weitere AD Gruppe einzubenden, welche den Usern der 2. Gruppe beinhaltet. Diese sollte dann wiederum via ACL beschräünken, dass diese nur über die Rechner der 2. Gruppe surfen dürfen..
hat jemand eine Idee wie ich soetwas realisiern kann??
mfg
Stony007_de
Ich bin schon eine ganze Weile verzeifelt auf der Suche nach einer Lösung für mein Problem.
Ich habe es mir zur Aufgabe gemacht, unseren ISA-2000 abzulösen!
Am liebsten durch nen Squid! Das funktioniert mit der AD Integration auch ganz gut, aber!!!
Ich habe 2 Gruppen von Usern welche über den Proxy surfen dürfen!
Die 1. Gruppe darf von diversen festegelegten PCs auf das Internet zugreifen.
Die 2. Gruppe darf nur über 3 fest definierten Rechner surfen, nicht über die der 1. Gruppe!
Und das ganze soll nur von AD konfiguriert werden, nichts auf dem Squid Host selber!
Mein bisheriger Ansatz:
Ich habe in meinem AD 4 Gruppen! Für jede Guppe 2(User und Rechner).
d.h.:
1. Gruppe hat folgende AD Gruppen: "Group1User" und "Group1PCs"
folglich hat die 2. Gruppe die AD Gruppen: "Group2User" und "Group2PCs"
Bislang sieht meine Config wie folgt aus:
squid.conf
### Port
http_port 8080
### Stoplist
hierarchy_stoplist cgi-bin ?
### Cache
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
acl apache rep_header Server ^Apache
#broken_vary_encoding allow apache
cache_dir ufs /usr/local/etc/cache 2024 16 256
# Bei 1 GB flüchtigem Speicher
cache_mem 512 MB
cache_replacement_policy heap GDSF
memory_replacement_policy heap GDSF
### Logfiles
access_log /var/log/squid_access.log
cache_log /var/log/squid_cache.log
cache_store_log /var/log/squid_store.log
emulate_httpd_log on
log_fqdn on
### Hostfile
hosts_file /etc/hosts
###FTP
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
### Access
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
##############################################
# Zugriffe für ADGruppen ##############################################
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\Group1User"
auth_param ntlm children 10
authenticate_cache_garbage_interval 10 seconds
# Credentials past their TTL are removed from memory
authenticate_ttl 0 seconds
acl Group1PCs src "/etc/squid3/Group1PCs.lst" #werden via script aus AD gelesenICComputer
acl Group2PCs src "/etc/squid3/Group2PCs.lst" #werden via script aus AD gelesen
acl auth proxy_auth REQUIRED
http_access allow Group1PCs auth
http_access allow Group1PCs auth
http_access deny all
miss_access allow all
icp_access deny all
##############################################
# Ende Zugriffe für ADGruppen
##############################################
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#http_access deny all
Jetzt ist es Computern in den beiden definierten ACLs möglich, mit einer gültigen Anmeldeung eines Users aus der AD Gruppe “Group1User” möglich!
Das Problem: Es fehlen mir die User aus der Gruppe "Group2User"!!! welche ich via ACL auch auf diese zugehörige Gruppe von Rechner beschränken kann.
Ich bräuchte die Möglichkeit, die weitere AD Gruppe einzubenden, welche den Usern der 2. Gruppe beinhaltet. Diese sollte dann wiederum via ACL beschräünken, dass diese nur über die Rechner der 2. Gruppe surfen dürfen..
hat jemand eine Idee wie ich soetwas realisiern kann??
mfg
Stony007_de