Autenticação do Squid e do Active Directory

3

Eu quero integrar um proxy do Squid com um domínio do Active Directory, para que o seguinte seja alcançado:

  • Eu posso conceder / negar acesso a sites com base em contas de usuários e / ou grupos.
  • Os usuários do domínio não precisam se autenticar explicitamente ao acessar o proxy, ou seja, usam automaticamente as credenciais de logon do Windows.
  • Usuários não autenticados ainda podem receber acesso (para destinos específicos).

Os dois últimos pontos são minha principal preocupação; Eu sei que o Squid pode autenticar usuários contra o AD, mas eu não sei se ele pode gerenciar usuários autenticados e anônimos ao mesmo tempo , e se ele pode usar autenticação transparente, ou seja, sem exigir que o usuário explicitamente faça o login no servidor proxy.

Além disso, sei que existem duas maneiras de integrar o Squid ao AD: WinBind e LDAP. Qual é o melhor para este cenário?

Eu não preciso que o Squid seja um proxy transparente; já existe um GPO que configura as configurações de proxy do IE para todos os usuários do domínio.

Pergunta bônus: tudo isso funciona quando o SquidGuard também está envolvido?

    
por Massimo 26.02.2010 / 07:13

1 resposta

1

Estou usando o Squid como um proxy não transparente para autenticar (e banco de dados) o acesso de usuários a sites da Web em produção e funciona muito bem.

Eu estou rodando no Win32, então a integração com o Active Directory tem sido bastante indolor. Como tal, não posso falar com os méritos relativos do WinBind versus o LDAP.

A funcionalidade de "bypass" que você está procurando re: usuários anônimos com acesso a alguns sites está documentada em o wiki do Squid . Eu não tentei o exemplo de configuração lá em uma instância real do Squid. Depois de ler a primeira configuração de amostra, eu diria que ela deve funcionar "como anunciado". Parece que o truque (já que o Squid analisa as ACLs de cima para baixo, resgatando após a primeira ACL que atende à solicitação) é colocar as ACLs de acesso anônimo antes de ACLs que dependem da autenticação .

    
por 26.02.2010 / 15:51