Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Squid nur NTLM erlauben

Frage Sicherheit Firewall

Mitglied: q16marvin

q16marvin (Level 1) - Jetzt verbinden

27.04.2012 um 10:56 Uhr, 4991 Aufrufe, 4 Kommentare, 1 Danke

unterdrückung des Benutzername / Password Dialogs

Hallo,


ich habe ein SQUID3 auf ubuntu mit kerberos und winbind dazu gebracht sich mit ntlm gegenüber unserem ad zu authentifizieren.

Nur bestimmte User haben voll Zugriff aufs Internet, der Rest nur auf bestimmte Seiten.

PROBLEM: Wenn ein User der nicht volle Rechte hat auf eine Seite geht auf die er berechtigt ist, diese Seite aber haufen Weise Werbung integriert hat (die natürlich nicht freigegen ist), kommt für jeden nicht freigegebne Werbung einmal das Benutzername / Passwort Dialog. Das bei einigen Seiten bis zu 20mal. Das heisst der User muss 20mal auf "Abbrechen" klicken um den Inhalt der Seite zu lesen!

Wie kann ich das schlauer gestalten?

Ich dachte Lösung wäre, wenn ich die Settings für "auth_param basic" aus der squid.conf raus nehme. Leider passiert darauf hin gar nichts.

Hier meine komplette Config:

http_port 3128 
cache_mem 32 MB 
maximum_object_size 10000 KB 
maximum_object_size_in_memory 32 KB 
cache_replacement_policy heap LFUDA 
memory_replacement_policy heap GDSF 
cache_dir ufs /var/spool/squid3 2000 16 256 
 
forwarded_for off 
#via off 
 
auth_param ntlm program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-ntlmssp 
#auth_param ntlm children 5 
#auth_param basic program /usr/bin/ntlm_auth --require-membership-of=T4Y\\G_GR_INTERNET --helper-protocol=squid-2.5-basic -d 10 
#auth_param basic children 0 
#auth_param basic realm TELforYOU Proxy 
 
acl AuthorizedUsers proxy_auth REQUIRED 
 
acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl" 
acl interne_ip dst "/etc/squid3/conf/interne_ip.acl" 
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl" 
acl mandanten_ip dst "/etc/squid3/conf/mandanten_ip.acl" 
 
 
http_access allow mandanten_domain 
http_access allow mandanten_ip 
http_access allow interne_domain 
http_access allow interne_ip 
http_access allow all AuthorizedUsers 
http_access deny all
Mitglied: aqui
27.04.2012 um 18:25 Uhr
Das http_access allow AuthorizedUsers all muss ans Ende der Liste !
http://www.mail-archive.com/squid-users@squid-cache.org/msg52170.html
Klassischer Einstellungsfehler wenn du Dr. Google mal nach "squid ntlm advertising popup " befragst...
Bitte warten ..
Mitglied: q16marvin
27.04.2012 um 20:01 Uhr
okay probiere ich gleich montag früh aus, aber wenn ich http_access deny all VOR http_access allow all AuthorizedUsers setze, sollte es doch eigentlich gar nicht bis dahin kommen oder?
Bitte warten ..
Mitglied: aqui
03.05.2012 um 11:48 Uhr
Wenns das denn nun war bitte dann auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !
Bitte warten ..
Mitglied: q16marvin
03.05.2012 um 12:01 Uhr
Nein das wars nicht, wie ich befürchtet hatte sorgt http_access deny all VOR http_access allow all AuthorizedUsers dafür, das die authorizedusers gar nichts mehr dürfen.

Hier die Lösung: Prüfung auf zwei verschieden Gruppen im AD anhand von "external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl"

Hier die komplette Config:

01.
http_port 3128 
02.
cache_mem 32 MB 
03.
maximum_object_size 10000 KB 
04.
maximum_object_size_in_memory 32 KB 
05.
cache_replacement_policy heap LFUDA 
06.
memory_replacement_policy heap GDSF 
07.
cache_dir ufs /var/spool/squid3 2000 16 256 
08.
 
09.
forwarded_for off 
10.
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp 
11.
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic 
12.
auth_param ntlm children 80 
13.
auth_param basic children 50 
14.
auth_param basic realm Domain Proxy Server 
15.
auth_param basic credentialsttl 12 hours 
16.
auth_param basic casesensitive off 
17.
authenticate_cache_garbage_interval 10 seconds 
18.
 
19.
external_acl_type nt_group ttl=5 children=50 %LOGIN /usr/lib/squid3/wbinfo_group.pl 
20.
 
21.
acl manager proto cache_object 
22.
acl localhost src 127.0.0.1/255.255.255.255 
23.
acl SSL_ports port 443 563 
24.
acl Safe_ports port 80          # http 
25.
acl Safe_ports port 21          # ftp 
26.
acl Safe_ports port 443 563     # https, snews 
27.
acl Safe_ports port 70          # gopher 
28.
acl Safe_ports port 210         # wais 
29.
acl Safe_ports port 1025-65535  # unregistered ports 
30.
acl Safe_ports port 280         # http-mgmt 
31.
acl Safe_ports port 488         # gss-http 
32.
acl Safe_ports port 591         # filemaker 
33.
acl Safe_ports port 777         # multiling http 
34.
acl CONNECT method CONNECT 
35.
 
36.
http_access allow manager localhost 
37.
http_access deny manager 
38.
http_access deny !Safe_ports 
39.
http_access deny CONNECT !SSL_ports 
40.
 
41.
http_access allow SSL_ports 
42.
 
43.
http_reply_access allow all 
44.
icp_access allow all 
45.
 
46.
acl snmppublic snmp_community public 
47.
snmp_port 3401 
48.
snmp_access allow snmppublic all 
49.
 
50.
acl INTERNET_SQUID_WHITELIST external nt_group G_GR_Agents 
51.
acl mandanten_domain dstdomain "/etc/squid3/conf/mandanten_domain.acl" 
52.
acl interne_domain dstdomain "/etc/squid3/conf/interne_domain.acl" 
53.
 
54.
http_access allow mandanten_domain INTERNET_SQUID_WHITELIST 
55.
http_access allow interne_domain INTERNET_SQUID_WHITELIST 
56.
 
57.
acl INTERNET_SQUID external nt_group G_GR_INTERNET 
58.
http_access allow INTERNET_SQUID all 
59.
 
60.
http_access deny all
Bitte warten ..
Ähnliche Inhalte
Webbrowser
Wer nutzt SQUID und NTLM mit Chrome zusammen?
Frage von DerWoWussteWebbrowser4 Kommentare

Moin Kollegen. Nutzt hier jemand den SQUID mit NTLM-Authentifizierung zusammen mit Chrome? Sollte sich jemand melden, kommt dann die ...

Windows Netzwerk
NTLM in Domäne deaktivieren
Frage von StefanK007Windows Netzwerk

Hallo, wir haben vor Kurzem unsere Windows 2008 R2 Domänencontroller durch Windows 2012 R2 DCs ersetzt und schauen nun ...

Outlook & Mail
Outlook Netzwerksicherheit NTLM verstellt sich immer wieder
Frage von pastorOutlook & Mail

Hallo ich bräuchte mal etwas hilfe ;-) Folgende Umgebung vorhanden: - Server 2008 - Exchangeserver 2010 Client: - Outlook ...

Linux Netzwerk
Squid Fehlermeldung
gelöst Frage von AKillerInHellLinux Netzwerk5 Kommentare

Naben liebe Admins Habe folgendes Problem auf meiner CentOS VM mit Squid und Webmin. Es ist erstmal nur eine ...

Neue Wissensbeiträge
Microsoft

Update KB4073578 für AMD CPU (Spectre und Meltdown Lücke)

Information von sabines vor 3 StundenMicrosoft

Wegen Problemen (BOSD, nicht startende PCs) wurde das Update KB4056897 und KB4056894 für AMD CPUs zurückgezogen. Dieses Update KB4073578 ...

Mac OS X

MacOS wo ist die Tilde ?

Tipp von Alchimedes vor 16 StundenMac OS X1 Kommentar

Hallo, ich hab eine MacOS qwertz Keyboard auf US Layout umgestellt da die Sonderzeichen besser erreichbar sind. Leider fehlt ...

Datenschutz

Weitere Informationen zum Sicherheitsproblem BeA

Information von Penny.Cilin vor 23 StundenDatenschutz

Im folgenden ein weiterer Bericht über die Sicherheitsprobleme von Bea. Fataler Konstruktionsfehler im besonderen elektronischen Anwaltspostfach Gruss Penny

Windows 10

Systemdienste behalten nach Win10 inplace-Upgrade nicht die ggf. modifizierte Startart bei

Tipp von DerWoWusste vor 1 TagWindows 103 Kommentare

Stellt Euch vor, Ihr habt ein Win10 System und modifiziert dort die Startart von Systemdiensten. Zum Beispiel wollt Ihr ...

Heiß diskutierte Inhalte
Batch & Shell
Anmeldevorgang für Informatikraum (Schule) unter Windows
Frage von IngenieursBatch & Shell24 Kommentare

Hey zusammen, ich werde in naher Zukunft den Informatik Raum meiner jetzigen Schule von dem aktuellen Betreiber übernehmen (Vertrag ...

Windows 10
Netbook erkennt Soundkarte nicht - keinerlei Info zum Hersteller und Modell vom Netbook und Hardware bekannt
Frage von fyrb38Windows 1019 Kommentare

Guten Tag, meine Schwester reist in einigen Wochen für ein paar Monate ins Ausland und hat sich dafür ein ...

Batch & Shell
AD-Abfrage in Batchdatei und Ergebnis als Variable verarbeiten
gelöst Frage von Winfried-HHBatch & Shell19 Kommentare

Hallo in die Runde! Ich habe eine Ergänzungsfrage zu einem alten Thread von mir. Ausgangslage ist die Batchdatei, die ...

Microsoft Office
Deaktivieren von Startbildschirm und Backstage-Ansicht in Office 2016 per Batch-Datei
Anleitung von SarekHLMicrosoft Office17 Kommentare

Guten Morgen zusammen! Ich habe mir gestern (auch mit Hilfe dieses Boards) ein Script gebastelt, um in Office 2016 ...