—– con squid fino 2.5.x e Active directory 2003 —–
** Autentificazione utenti: **
$/usr/sbin/squid_ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f “(&(userPrincipalName=%s)(objectClass=person))” 10.13.17.204
TEST:
alessandro password
OK
* quindi in squid.conf:
auth_param basic program /usr/sbin/squid_ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f “(&(userPrincipalName=%s)(objectClass=person))” 10.13.17.204
+
acl password proxy_auth REQUIRED
+
http_access allow password
—– con squid >2.6 e Active directory 2003 (testato con squid di ubuntu 7.04 e AD 2003 infonet) —–
** Autentificazione utenti: **
$/usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h 10.13.17.204
TEST:
alessandro password
OK
*quindi in squid.conf:
auth_param basic program /usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h 10.13.17.204
+
acl password proxy_auth REQUIRED
+
http_access allow password
** Autentificazione gruppi di Active directory: ***
prerequisito è che l’autentificazione utenti standard funzioni
(auth_param basic program /usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h 10.13.17.204)
+
external_acl_type GruppoDiRete %LOGIN /usr/lib/squid/squid_ldap_group -R -b “dc=infonetsolutions,dc=loc” -D “cn=Administrator,cn=Users,dc=infonetsolutions,dc=loc” -w “PASSWORD” -f “(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Citrix,dc=infonetsolutions,dc=loc))” -h 10.13.17.204
+
acl password-gruppi proxy_auth REQUIRED
+
acl AccessoInternet external GruppoDiRete Ctx_Internet # QUEST’ULTIMO È IL GRUPPO IN AD
+
http_access allow AccessoInternet
— Riferimenti: —
http://www.squid-cache.org
http://www.papercut.biz/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory
Ecco le informazioni per impostare l’autenticazione esplicita di un proxy Squid su GNU/Linux verso un server LDAP Active Directory.
—– con squid fino 2.5.x e Active directory 2003 (testato con Sles verso Ad 2003) —–
** Autenticazione utenti: **
inserire in squid.conf:
auth_param basic program /usr/sbin/squid_ldap_auth -p -R -b “cn=users,dc=dominio,dc=loc” -D “cn=squid,cn=users,dc=dominio,dc=loc” -w “PASSWORD” -f “(&(userPrincipalName=%s)(objectClass=person))” IpAddressLdapServer
&
acl password proxy_auth REQUIRED
&
http_access allow password
—– con squid >2.6 e Active directory 2003 (testato con squid di ubuntu 7.04 e SLES verso AD 2003) —-
** Autenticazione utenti: **
inserire in in squid.conf:
auth_param basic program /usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=dominio,dc=loc” -D “cn=squid,cn=users,dc=dominio,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h IpAddressLdapServer
&
acl password proxy_auth REQUIRED
&
http_access allow password
** Autenticazione degli utenti e gruppi di Active directory: ***
con questa configurazione gli utenti oltre ad autenticare sè stessi devono anche appartenere ad un determinato gruppo di Active Directory per poter accedere ad internet tramite il proxy
(prerequisito è che l’autentificazione utenti standard funzioni)
auth_param basic program /usr/lib/squid/ldap_auth -p -R -b “cn=users,dc=dominio,dc=loc” -D “cn=squidr,cn=users,dc=dominio,dc=loc” -w “PASSWORD” -f sAMAccountName=%s -h IpAddressLdapServer
&
external_acl_type GruppoDiRete %LOGIN /usr/lib/squid/squid_ldap_group -R -b “dc=dominio,dc=loc” -D “cn=squid,cn=Users,dc=dominio,dc=loc” -w “PASSWORD” -f “(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=SquidGroup,dc=dominio,dc=loc))” -h IpAddressLdapServer
&
acl password-gruppi proxy_auth REQUIRED
&
acl AccessoInternet external GruppoDiRete SquidGroup # QUEST’ULTIMO È IL GRUPPO IN AD
&
http_access allow AccessoInternet
— Riferimenti: —
http://www.squid-cache.org
http://www.papercut.biz/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory
ENJOY 
Comments
Leave a comment Trackback