O que o proxy squid faz ao negar o proxy_auth_regex na regra?

1

O auxiliar de autenticação NTLM apenas marca os usuários como autorizados se eles forem membros de um grupo do AD. O auxiliar de autenticação Kerberos identifica um usuário como autorizado, se ele conseguir efetuar login, a verificação de grupo não pode ser feita pelo auxiliar Kerberos, portanto, preciso de um programa ACL externo, que verifica o LDAP se esse usuário tiver permissão para usar lula.

Eu tenho que permitir somente usuários autorizados via NTLM diretamente, usuários autorizados do Kerberos são permitidos após a verificação do LDAP externo ser bem sucedida.

Os usuários do Kerberos são exibidos como sAMAccountName @ REALM, por exemplo "[email protected]"

Os usuários do NTLM são exibidos como sAMAccountName, por exemplo, "usuário"

Eu tenho essas ACLs:

# External ACL helper returns OK (User is in given LDAP group)
acl ldap_group_check external squid_kerb_ldap
# Username contains character '@'
acl kerberos_without_ldap_auth proxy_auth_regex (@)

E estas regras:

# Default: Kerberos + LDAP group check
http_access allow ldap_group_check
# Fallback: NTLM
http_access allow !kerberos_without_ldap_auth

Aqui minha pergunta: o que a regra

http_access allow !kerberos_without_ldap_auth

significa? Eu tenho um problema de segurança na minha configuração?

Significa "Todos os usuários, exceto usuários com '@', em seu nome de usuário" = > coisa ruim, porque então usuários não autenticados seriam permitidos também

ou "Todos os autenticados usuários, exceto usuários com '@' em seu nome de usuário"? = > coisa goot, porque, em seguida, apenas os usuários NTLM seriam permitidos (Kerberos bem sucedidos AND usuários LDAP já são permitidos a partir da primeira regra, por causa do squids "primeira partida vence")

    
por HighMilkyWay 20.03.2014 / 13:57

1 resposta

0

Tanto o NTLM quanto o Kerberos autenticam os usuários, depois que o usuário é autenticado, você gostaria de autorizar o acesso à Internet com base na associação de grupo segura, certo? Se sim, por que não ajustar o filtro de pesquisa do LDAP para algo como:

external_acl_type ldap_group% LOGIN / usr / lib64 / squid / squid_ldap_group -R -b "DC = domínio, DC = local" -D "CN = SQUID, OU = Contas de serviço do domínio, DC = domínio, DC = local" - w "*********" -f "(& (objectclass = pessoa) (! (sAMAccountname =% v) (userPrincipalName =% s)) (memberof = CN =% a, OU = PROXY, ou = TODOS os grupos de domínio, DC = domínio, DC = local)) "-h 10.0.0. , 10.0.0. , 10.0.0. ***

Por favor, note o filtro ou para (! (sAMAccountname =% v) (userPrincipalName =% s)) que irá coincidir com o nome autenticado por NTLM ou Kerberos.

    
por 20.03.2014 / 15:01