Linux als Proxy-Server

Authentifizierung über Windows-Domain

Nun ist es aber nicht wirklich effektiv, die User-Zugänge direkt auf dem Proxy-Server zu verwalten. Schließlich ist in den meisten Netzen bereits ein zentrales Benutzerverzeichnis vorhanden, meist in Form einer Windows-Domäne. Auch diese kann Squid zur Authentifizierung der Anwender heranziehen.

Dazu ersetzen Sie einfach den Authentifizierung-Helfer ncsa_auth durch das Modul msnt_auth. Der Eintrag in der Konfigurationsdatei /etc/squid/squid.conf lautet dann:

auth_param basic program /opt/squid/sbin/msnt_auth

Zusätzlich ist die Datei /etc/squid/msntauth.conf zu editieren oder anzulegen, falls sie noch nicht existiert. Maximal drei Zeilen genügen für ein funktionsfähiges Setup:

server <fqdn.des.pdc> <fqdn.des.bdc> <domainname>
allowusers /etc/squid/allowed_users
denyusers /etc/squid/denied_users

Für die Paramter <fqdn...> ist jeweils der komplette Name des Rechners inklusive Domain anzugeben, also beispielsweise nt-pdc.meinedomain.de. Es genügt nicht, nur den Hostnamen einzutragen und auch IP-Adressen sind nicht erlaubt. Ist in Ihrem Netz kein Backup Domain Controller vorhanden, tragen Sie einfach den PDC ein weiteres Mal ein.

Spezielle Bedeutung kommt den beiden genannten Dateien allowed_users und denied_users zu. Ist erstere nicht vorhanden oder leer, werden grundsätzlich alle dem Domain-Controller bekannten User zugelassen - es sei denn, der betroffene Account ist in der Datei denied_users aufgeführt. Enthält allowed_users jedoch Einträge, dann bekommen nur die dort genannten Benutzer Zugriff auf den Proxy. Ist ein Account in beiden Dateien vorhanden, erhält der jeweilige Anwender keinen Zugang, da die Deny-Liste Vorrang vor der Allow-Liste hat.