q16marvin
Apr 27, 2012
view5898
view4
1
Goto Top

Squid nur NTLM erlauben

GermansolvedQuestionFirewallSecurity

unterdrückung des Benutzername / Password Dialogs

Hallo,


ich habe ein SQUID3 auf ubuntu mit kerberos und winbind dazu gebracht sich mit ntlm gegenüber unserem ad zu authentifizieren.

Nur bestimmte User haben voll Zugriff aufs Internet, der Rest nur auf bestimmte Seiten.

PROBLEM: Wenn ein User der nicht volle Rechte hat auf eine Seite geht auf die er berechtigt ist, diese Seite aber haufen Weise Werbung integriert hat (die natürlich nicht freigegen ist), kommt für jeden nicht freigegebne Werbung einmal das Benutzername / Passwort Dialog. Das bei einigen Seiten bis zu 20mal. Das heisst der User muss 20mal auf "Abbrechen" klicken um den Inhalt der Seite zu lesen!

Wie kann ich das schlauer gestalten?

Ich dachte Lösung wäre, wenn ich die Settings für "auth_param basic" aus der squid.conf raus nehme. Leider passiert darauf hin gar nichts.

Hier meine komplette Config:

http_port 3128
cache_mem 32 MB
maximum_object_size 10000 KB
maximum_object_size_in_memory 32 KB
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_dir ufs /var/spool/squid3 2000 16 256

forwarded_for off
#via off

auth_param ntlm program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-ntlmssp
#auth_param ntlm children 5
#auth_param basic program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-basic -d 10
#auth_param basic children 0
#auth_param basic realm TELforYOU Proxy

acl AuthorizedUsers proxy_auth REQUIRED

acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl"
acl interne_ip dst "/etc/squid3/conf/interne_ip.acl"
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl"
acl mandanten_ip dst "/etc/squid3/conf/mandanten_ip.acl"


http_access allow mandanten_domain
http_access allow mandanten_ip
http_access allow interne_domain
http_access allow interne_ip
http_access allow all AuthorizedUsers
http_access deny all
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 184206

Url: https://administrator.de/contentid/184206

Printed on: April 23, 2024 at 14:04 o'clock

4 Comments
Latest comment
Goto Top
Member: aqui
aqui Apr 27, 2012 at 16:25:54 (UTC)
Goto Top
Das http_access allow AuthorizedUsers all muss ans Ende der Liste !
http://www.mail-archive.com/squid-users@squid-cache.org/msg52170.html
Klassischer Einstellungsfehler wenn du Dr. Google mal nach "squid ntlm advertising popup " befragst...
Member: q16marvin
q16marvin Apr 27, 2012 at 18:01:28 (UTC)
Goto Top
okay probiere ich gleich montag früh aus, aber wenn ich http_access deny all VOR http_access allow all AuthorizedUsers setze, sollte es doch eigentlich gar nicht bis dahin kommen oder?
Member: aqui
aqui May 03, 2012 at 09:48:48 (UTC)
Goto Top
Wenns das denn nun war bitte dann auch
How can I mark a post as solved?
nicht vergessen !
Member: q16marvin
q16marvin May 03, 2012 at 10:01:04 (UTC)
Goto Top
Nein das wars nicht, wie ich befürchtet hatte sorgt http_access deny all VOR http_access allow all AuthorizedUsers dafür, das die authorizedusers gar nichts mehr dürfen.

Hier die Lösung: Prüfung auf zwei verschieden Gruppen im AD anhand von "external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl"

Hier die komplette Config:

http_port 3128
cache_mem 32 MB
maximum_object_size 10000 KB
maximum_object_size_in_memory 32 KB
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_dir ufs /var/spool/squid3 2000 16 256

forwarded_for off
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param ntlm children 80
auth_param basic children 50
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds

external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow SSL_ports

http_reply_access allow all
icp_access allow all

acl snmppublic snmp_community public
snmp_port 3401
snmp_access allow snmppublic all

acl INTERNET_SQUID_WHITELIST external nt_group G_GR_Agents
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl"  
acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl"  

http_access allow mandanten_domain INTERNET_SQUID_WHITELIST
http_access allow interne_domain INTERNET_SQUID_WHITELIST

acl INTERNET_SQUID external nt_group G_GR_INTERNET
http_access allow INTERNET_SQUID all

http_access deny all
GermansolvedQuestionFirewallSecurity
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 CommentsDaniEnd of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment