1683
Comment:
|
← Revision 5 as of 2009-04-12 17:33:25 ⇥
1972
converted to 1.6 markup
|
Deletions are marked like this. | Additions are marked like this. |
Line 1: | Line 1: |
== Autenticatore smb_auth === | == Autenticatore smb_auth == * forse poco scalabile per grandi strutture * permette di limitare l'accesso a internet a utenti o gruppi specifici * facile da installare * funziona con un PDC Samba o NT. Credo anche con 2000, ma non l'ho provato. |
Line 5: | Line 10: |
La documentazione originale dell'helper si trova qui: http://www.hacom.nl/~richard/software/smb_auth.html. Leggetela perche` ci sono un mucchio di parametri interessanti per le configurazioni piu` complesse. Per sicurezza, se mai il sito originale sparisse, ho copiato il file dell' help qui. | La documentazione originale dell'helper si trova qui: http://www.hacom.nl/~richard/software/smb_auth.html. Leggetela perche` ci sono un mucchio di parametri interessanti per le configurazioni piu` complesse. |
Line 9: | Line 14: |
Questa e` minimalissima, pero` di base funziona. | Questa e` minimalissima, pero` di base funziona, sia con autenticazione NTLM challenge che plaintext (fra il browser e il proxy). |
Line 11: | Line 17: |
authenticate_program /usr/lib/squid/smb_auth -W <dominio smb> | auth_param basic program /usr/lib/squid/smb_auth -W <dominio> auth_param ntlm program /usr/lib/squid/smb_auth -W <dominio> |
Autenticatore smb_auth
- forse poco scalabile per grandi strutture
- permette di limitare l'accesso a internet a utenti o gruppi specifici
- facile da installare
- funziona con un PDC Samba o NT. Credo anche con 2000, ma non l'ho provato.
Forse non sara` scalabile su reti enormi con migliaia di utenti, ma quello che descrivo qui e` un approccio facile, che funziona decentemente con domain server sia Samba che NT. Per funzionare richiede che il proxy server abbia samba (client) installato e che ovviamente possa dialogare con il PDC.
La documentazione originale dell'helper si trova qui: http://www.hacom.nl/~richard/software/smb_auth.html. Leggetela perche` ci sono un mucchio di parametri interessanti per le configurazioni piu` complesse.
Configurazione di Squid
Questa e` minimalissima, pero` di base funziona, sia con autenticazione NTLM challenge che plaintext (fra il browser e il proxy).
auth_param basic program /usr/lib/squid/smb_auth -W <dominio> auth_param ntlm program /usr/lib/squid/smb_auth -W <dominio> acl domainusers proxy_auth REQUIRED http_access allow domainusers
Configurazione sul PDC
Creare un file di nome proxyauth contenente solo la parola "allow" dentro lo share NETLOGON del PDC (per ogni dominio, se ce n'e` piu` di uno)
- Modificare le ACL di questo file in modo che sia leggibile dal gruppo o utente che deve accedere a internet. In pratica, solo gli utenti che, per un motivo o per l'altro, possono leggere questo file, hanno diritto di accedere a internet. Gli altri utenti del dominio stanno senza.
Test dell'autenticatore
Per provare l'autenticatore, si puo` dare a mano questo comando:
/usr/lib/squid/smb_auth -W <dominio> -d
Di seguito, inserire su una sola riga uno username e una password. Ammirare i messaggi di log, e se alla fine si riceve un "OK" allora l'autenticazione e` riuscita. Quando basta, un control-C.