squid mit authentifizierung an nt

Lars Boeker lars at boeker-net.de
Mon Oct 18 22:07:22 CEST 2004 

Hallo .*

Ich suche eine gute Doku, wie ich squid beibringen kann sich an einem NT-PDC
zu authentifizieren und dabei die Zugehörigkeit zu einer globalen NT-Gruppe
überprüft.

Eine Anleitung unter selflinux.org hat mir dabei nicht weitergeholfen.



Für die, die mehr wissen wollen, hier die Details:

In unserer Schule haben wir ein Windows Netzwerk mit zwei NT4 Servern als 
PDC und BDC. Nun möchte ich gerne, da der Proxy Probleme macht bzw. nie
so richtig lief den Proxy neu unter Linux aufsetzen. Soweit sogut,
die Kiste läuft jetzt unter Debian Sarge, Kernel 2.6.x und Squid 2.5

(die genauen Versionen habe ich nicht mehr im Kopf, da ich jetzt wieder
zu Hause bin und die Kiste vom Netz genommen habe).

Folgendes Problem: Da wir in der Schule zwischen Schüler MIT
Internet-Berechtigung und OHNE Internetberechtigung unterscheiden (wollen),
wäre es schön, wenn der Proxy per Authentifizierung an der NT-Domäne den
Zugang zum Internet regeln kann. Dazu haben wir eine globale NT-Gruppe
"Internet_S" eingerichtet, in der alle Schüler mit Internetberechtigung
eingetragen sind.

Dazu gibt es ja AFAIK zwei Möglichkeiten:

1. Authentifizierung über MSNT. 
   
   Habe ich nach dem Howto, was bei Squid-2.5 dabei war, hinbekommen.
   Leider prüft MSNT nur, ob der Benutzer mit dem Passwort gültig ist und
   nicht ob dieser zur Gruppe "Internet_S" gehört. 
   Gibt es bei MSNT eine Möglichkeit, das einzubauen?

 
  (Alternativ bleibt nur, eine Datei "denyusers" auf der Linux-Schüssel von
  Hand zu pflegen, was auch nicht so aufwändig wäre, da es sich nicht um viele
  Benutzer handelt - ist nur unschön). 
  
2. Umweg über Samba/Winbind

Angeblich soll das hier mit der Gruppenauflösung funktionieren. 
Das habe ich aber nicht hinbekommen (Samba 3.0.6). Dabei bin ich nach einer
Anleitung unter selflinux.org vorgegangen. Im Wesentlichen traten folgende
Probleme auf:
   
   - Winbind meckerte an, dass die Zugriffsrechte auf /var/run/samba/winbindd_privileges 
     (oder so ählich) nicht richtig sind (ich hatte sie testhalber schon auf 
     777 gesetzt)
   - Die Auflösung der Domänenbenutzer über "wbinfo -u" hatte  funktioniert, 
     nach etwas  Probieren und Neustart habe ich das leider nicht wieder 
     reproduzieren können. Output im Logfile = NULL :-(
   - Unabhängig davon hat die Authentifizierung am Win2K-Client nicht
     funktioniert. Das Fenster zur Passwortangabe kam, ansonsten passierte
     nix. Im Logfile access.log war nur "access denied" zu entnehmen.
   - Darüber hinaus scheinen bei Debian unterschiedliche Versionen von
     ntlm_auth mitgeliefert werden: eine unter /usr/lib/squid und eine in
     /usr/bin. Die Anleitung von selflinux funktionierte nicht mit beiden.
     Die Dokumentation war leider dürftig.
     
Ich glaube, dass ich im Prinzip kurz vorm Ziel bin, weiß nur im Moment nicht
weiter, wo ich suchen/nachlesen kann, das Ganze scheint mir  wenig
dokumentiert zu sein (vielleicht zu speziell ?).

Hat jemand nen Tipp ?


-- 
  Gruß,
          Lars

More information about the Linux mailing list