Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Squid nur NTLM erlauben

Frage Sicherheit Firewall

Mitglied: q16marvin

q16marvin (Level 1) - Jetzt verbinden

27.04.2012 um 10:56 Uhr, 4843 Aufrufe, 4 Kommentare, 1 Danke

unterdrückung des Benutzername / Password Dialogs

Hallo,


ich habe ein SQUID3 auf ubuntu mit kerberos und winbind dazu gebracht sich mit ntlm gegenüber unserem ad zu authentifizieren.

Nur bestimmte User haben voll Zugriff aufs Internet, der Rest nur auf bestimmte Seiten.

PROBLEM: Wenn ein User der nicht volle Rechte hat auf eine Seite geht auf die er berechtigt ist, diese Seite aber haufen Weise Werbung integriert hat (die natürlich nicht freigegen ist), kommt für jeden nicht freigegebne Werbung einmal das Benutzername / Passwort Dialog. Das bei einigen Seiten bis zu 20mal. Das heisst der User muss 20mal auf "Abbrechen" klicken um den Inhalt der Seite zu lesen!

Wie kann ich das schlauer gestalten?

Ich dachte Lösung wäre, wenn ich die Settings für "auth_param basic" aus der squid.conf raus nehme. Leider passiert darauf hin gar nichts.

Hier meine komplette Config:

http_port 3128 
cache_mem 32 MB 
maximum_object_size 10000 KB 
maximum_object_size_in_memory 32 KB 
cache_replacement_policy heap LFUDA 
memory_replacement_policy heap GDSF 
cache_dir ufs /var/spool/squid3 2000 16 256 
 
forwarded_for off 
#via off 
 
auth_param ntlm program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-ntlmssp 
#auth_param ntlm children 5 
#auth_param basic program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-basic -d 10 
#auth_param basic children 0 
#auth_param basic realm TELforYOU Proxy 
 
acl AuthorizedUsers proxy_auth REQUIRED 
 
acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl" 
acl interne_ip dst "/etc/squid3/conf/interne_ip.acl" 
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl" 
acl mandanten_ip dst "/etc/squid3/conf/mandanten_ip.acl" 
 
 
http_access allow mandanten_domain 
http_access allow mandanten_ip 
http_access allow interne_domain 
http_access allow interne_ip 
http_access allow all AuthorizedUsers 
http_access deny all
Mitglied: aqui
27.04.2012 um 18:25 Uhr
Das http_access allow AuthorizedUsers all muss ans Ende der Liste !
http://www.mail-archive.com/squid-users@squid-cache.org/msg52170.html
Klassischer Einstellungsfehler wenn du Dr. Google mal nach "squid ntlm advertising popup " befragst...
Bitte warten ..
Mitglied: q16marvin
27.04.2012 um 20:01 Uhr
okay probiere ich gleich montag früh aus, aber wenn ich http_access deny all VOR http_access allow all AuthorizedUsers setze, sollte es doch eigentlich gar nicht bis dahin kommen oder?
Bitte warten ..
Mitglied: aqui
03.05.2012 um 11:48 Uhr
Wenns das denn nun war bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: q16marvin
03.05.2012 um 12:01 Uhr
Nein das wars nicht, wie ich befürchtet hatte sorgt http_access deny all VOR http_access allow all AuthorizedUsers dafür, das die authorizedusers gar nichts mehr dürfen.

Hier die Lösung: Prüfung auf zwei verschieden Gruppen im AD anhand von "external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl"

Hier die komplette Config:

01.
http_port 3128 
02.
cache_mem 32 MB 
03.
maximum_object_size 10000 KB 
04.
maximum_object_size_in_memory 32 KB 
05.
cache_replacement_policy heap LFUDA 
06.
memory_replacement_policy heap GDSF 
07.
cache_dir ufs /var/spool/squid3 2000 16 256 
08.
 
09.
forwarded_for off 
10.
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp 
11.
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic 
12.
auth_param ntlm children 80 
13.
auth_param basic children 50 
14.
auth_param basic realm Domain Proxy Server 
15.
auth_param basic credentialsttl 12 hours 
16.
auth_param basic casesensitive off 
17.
authenticate_cache_garbage_interval 10 seconds 
18.
 
19.
external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl 
20.
 
21.
acl manager proto cache_object 
22.
acl localhost src 127.0.0.1/255.255.255.255 
23.
acl SSL_ports port 443 563 
24.
acl Safe_ports port 80          # http 
25.
acl Safe_ports port 21          # ftp 
26.
acl Safe_ports port 443 563     # https, snews 
27.
acl Safe_ports port 70          # gopher 
28.
acl Safe_ports port 210         # wais 
29.
acl Safe_ports port 1025-65535  # unregistered ports 
30.
acl Safe_ports port 280         # http-mgmt 
31.
acl Safe_ports port 488         # gss-http 
32.
acl Safe_ports port 591         # filemaker 
33.
acl Safe_ports port 777         # multiling http 
34.
acl CONNECT method CONNECT 
35.
 
36.
http_access allow manager localhost 
37.
http_access deny manager 
38.
http_access deny !Safe_ports 
39.
http_access deny CONNECT !SSL_ports 
40.
 
41.
http_access allow SSL_ports 
42.
 
43.
http_reply_access allow all 
44.
icp_access allow all 
45.
 
46.
acl snmppublic snmp_community public 
47.
snmp_port 3401 
48.
snmp_access allow snmppublic all 
49.
 
50.
acl INTERNET_SQUID_WHITELIST external nt_group G_GR_Agents 
51.
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl" 
52.
acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl" 
53.
 
54.
http_access allow mandanten_domain INTERNET_SQUID_WHITELIST 
55.
http_access allow interne_domain INTERNET_SQUID_WHITELIST 
56.
 
57.
acl INTERNET_SQUID external nt_group G_GR_INTERNET 
58.
http_access allow INTERNET_SQUID all 
59.
 
60.
http_access deny all
Bitte warten ..
Neuester Wissensbeitrag
Internet

Unbemerkt - Telekom Netzumschaltung! - BNG - Broadband Network Gateway

(3)

Erfahrungsbericht von ashnod zum Thema Internet ...

Ähnliche Inhalte
Firewall
PfSense + Squid + ClamAV (5)

Frage von mrserious73 zum Thema Firewall ...

Firewall
gelöst PFSense Squid Proxy über OpenVpn Verbindung nutzen (4)

Frage von horstvogel zum Thema Firewall ...

Heiß diskutierte Inhalte
Switche und Hubs
Trunk für 2xCisco Switch. Wo liegt der Fehler? (17)

Frage von JayyyH zum Thema Switche und Hubs ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

DSL, VDSL
DSL-Signal bewerten (14)

Frage von SarekHL zum Thema DSL, VDSL ...