Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Squid nur NTLM erlauben

Frage Sicherheit Firewall

Mitglied: q16marvin

q16marvin (Level 1) - Jetzt verbinden

27.04.2012 um 10:56 Uhr, 4862 Aufrufe, 4 Kommentare, 1 Danke

unterdrückung des Benutzername / Password Dialogs

Hallo,


ich habe ein SQUID3 auf ubuntu mit kerberos und winbind dazu gebracht sich mit ntlm gegenüber unserem ad zu authentifizieren.

Nur bestimmte User haben voll Zugriff aufs Internet, der Rest nur auf bestimmte Seiten.

PROBLEM: Wenn ein User der nicht volle Rechte hat auf eine Seite geht auf die er berechtigt ist, diese Seite aber haufen Weise Werbung integriert hat (die natürlich nicht freigegen ist), kommt für jeden nicht freigegebne Werbung einmal das Benutzername / Passwort Dialog. Das bei einigen Seiten bis zu 20mal. Das heisst der User muss 20mal auf "Abbrechen" klicken um den Inhalt der Seite zu lesen!

Wie kann ich das schlauer gestalten?

Ich dachte Lösung wäre, wenn ich die Settings für "auth_param basic" aus der squid.conf raus nehme. Leider passiert darauf hin gar nichts.

Hier meine komplette Config:

http_port 3128 
cache_mem 32 MB 
maximum_object_size 10000 KB 
maximum_object_size_in_memory 32 KB 
cache_replacement_policy heap LFUDA 
memory_replacement_policy heap GDSF 
cache_dir ufs /var/spool/squid3 2000 16 256 
 
forwarded_for off 
#via off 
 
auth_param ntlm program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-ntlmssp 
#auth_param ntlm children 5 
#auth_param basic program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-basic -d 10 
#auth_param basic children 0 
#auth_param basic realm TELforYOU Proxy 
 
acl AuthorizedUsers proxy_auth REQUIRED 
 
acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl" 
acl interne_ip dst "/etc/squid3/conf/interne_ip.acl" 
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl" 
acl mandanten_ip dst "/etc/squid3/conf/mandanten_ip.acl" 
 
 
http_access allow mandanten_domain 
http_access allow mandanten_ip 
http_access allow interne_domain 
http_access allow interne_ip 
http_access allow all AuthorizedUsers 
http_access deny all
Mitglied: aqui
27.04.2012 um 18:25 Uhr
Das http_access allow AuthorizedUsers all muss ans Ende der Liste !
http://www.mail-archive.com/squid-users@squid-cache.org/msg52170.html
Klassischer Einstellungsfehler wenn du Dr. Google mal nach "squid ntlm advertising popup " befragst...
Bitte warten ..
Mitglied: q16marvin
27.04.2012 um 20:01 Uhr
okay probiere ich gleich montag früh aus, aber wenn ich http_access deny all VOR http_access allow all AuthorizedUsers setze, sollte es doch eigentlich gar nicht bis dahin kommen oder?
Bitte warten ..
Mitglied: aqui
03.05.2012 um 11:48 Uhr
Wenns das denn nun war bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: q16marvin
03.05.2012 um 12:01 Uhr
Nein das wars nicht, wie ich befürchtet hatte sorgt http_access deny all VOR http_access allow all AuthorizedUsers dafür, das die authorizedusers gar nichts mehr dürfen.

Hier die Lösung: Prüfung auf zwei verschieden Gruppen im AD anhand von "external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl"

Hier die komplette Config:

01.
http_port 3128 
02.
cache_mem 32 MB 
03.
maximum_object_size 10000 KB 
04.
maximum_object_size_in_memory 32 KB 
05.
cache_replacement_policy heap LFUDA 
06.
memory_replacement_policy heap GDSF 
07.
cache_dir ufs /var/spool/squid3 2000 16 256 
08.
 
09.
forwarded_for off 
10.
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp 
11.
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic 
12.
auth_param ntlm children 80 
13.
auth_param basic children 50 
14.
auth_param basic realm Domain Proxy Server 
15.
auth_param basic credentialsttl 12 hours 
16.
auth_param basic casesensitive off 
17.
authenticate_cache_garbage_interval 10 seconds 
18.
 
19.
external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl 
20.
 
21.
acl manager proto cache_object 
22.
acl localhost src 127.0.0.1/255.255.255.255 
23.
acl SSL_ports port 443 563 
24.
acl Safe_ports port 80          # http 
25.
acl Safe_ports port 21          # ftp 
26.
acl Safe_ports port 443 563     # https, snews 
27.
acl Safe_ports port 70          # gopher 
28.
acl Safe_ports port 210         # wais 
29.
acl Safe_ports port 1025-65535  # unregistered ports 
30.
acl Safe_ports port 280         # http-mgmt 
31.
acl Safe_ports port 488         # gss-http 
32.
acl Safe_ports port 591         # filemaker 
33.
acl Safe_ports port 777         # multiling http 
34.
acl CONNECT method CONNECT 
35.
 
36.
http_access allow manager localhost 
37.
http_access deny manager 
38.
http_access deny !Safe_ports 
39.
http_access deny CONNECT !SSL_ports 
40.
 
41.
http_access allow SSL_ports 
42.
 
43.
http_reply_access allow all 
44.
icp_access allow all 
45.
 
46.
acl snmppublic snmp_community public 
47.
snmp_port 3401 
48.
snmp_access allow snmppublic all 
49.
 
50.
acl INTERNET_SQUID_WHITELIST external nt_group G_GR_Agents 
51.
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl" 
52.
acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl" 
53.
 
54.
http_access allow mandanten_domain INTERNET_SQUID_WHITELIST 
55.
http_access allow interne_domain INTERNET_SQUID_WHITELIST 
56.
 
57.
acl INTERNET_SQUID external nt_group G_GR_INTERNET 
58.
http_access allow INTERNET_SQUID all 
59.
 
60.
http_access deny all
Bitte warten ..
Neuester Wissensbeitrag
Exchange Server

WSUS bietet CU22 für Exchange 2007 SP3 nicht an. EOL Exchange 2007

Tipp von DerWoWusste zum Thema Exchange Server ...

Ähnliche Inhalte
Windows Server
Remotedesktopverbindung nur von Domänencomputern aus erlauben (6)

Frage von blackandwhite zum Thema Windows Server ...

Firewall
Transparenter Squid filtert nicht alles heraus (19)

Frage von mrserious73 zum Thema Firewall ...

Firewall
gelöst Squid Logging Problem Extern (10)

Frage von wurscht12 zum Thema Firewall ...

Ubuntu
Fehler bei havp mit clamav und squid (9)

Frage von helmuthelmut2000 zum Thema Ubuntu ...

Heiß diskutierte Inhalte
Batch & Shell
gelöst Batch xls nach aktuellem Datum auslesen und email senden (14)

Frage von michi-ffm zum Thema Batch & Shell ...

Backup
Datensicherung ARCHIV (12)

Frage von fautec56 zum Thema Backup ...

LAN, WAN, Wireless
Per Script auf UniFi-controller zugreifen und WPA2-Key ändern (11)

Frage von Winfried-HH zum Thema LAN, WAN, Wireless ...