O auxiliar de autenticação NTLM apenas marca os usuários como autorizados se eles forem membros de um grupo do AD. O auxiliar de autenticação Kerberos identifica um usuário como autorizado, se ele conseguir efetuar login, a verificação de grupo não pode ser feita pelo auxiliar Kerberos, portanto, preciso de um programa ACL externo, que verifica o LDAP se esse usuário tiver permissão para usar lula.
Eu tenho que permitir somente usuários autorizados via NTLM diretamente, usuários autorizados do Kerberos são permitidos após a verificação do LDAP externo ser bem sucedida.
Os usuários do Kerberos são exibidos como sAMAccountName @ REALM, por exemplo "[email protected]"
Os usuários do NTLM são exibidos como sAMAccountName, por exemplo, "usuário"
Eu tenho essas ACLs:
# External ACL helper returns OK (User is in given LDAP group)
acl ldap_group_check external squid_kerb_ldap
# Username contains character '@'
acl kerberos_without_ldap_auth proxy_auth_regex (@)
E estas regras:
# Default: Kerberos + LDAP group check
http_access allow ldap_group_check
# Fallback: NTLM
http_access allow !kerberos_without_ldap_auth
Aqui minha pergunta: o que a regra
http_access allow !kerberos_without_ldap_auth
significa? Eu tenho um problema de segurança na minha configuração?
Significa "Todos os usuários, exceto usuários com '@', em seu nome de usuário" = > coisa ruim, porque então usuários não autenticados seriam permitidos também
ou "Todos os autenticados usuários, exceto usuários com '@' em seu nome de usuário"? = > coisa goot, porque, em seguida, apenas os usuários NTLM seriam permitidos (Kerberos bem sucedidos AND usuários LDAP já são permitidos a partir da primeira regra, por causa do squids "primeira partida vence")