Köszönöm Uraim! Tényleg jól benéztem ;-) Azt hittem, hogy az auth_param akkor már nem is kell... Az meg meg sem fordult a fejemben, hogy ha nem tud a kliens a proxy létezéséről, akkor nem fogja vele megtárgyalni azt, hogy ki ő.
Most ilyen a konfig (egy állítólag működő netes példa alapján) auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --DOMAIN=TEST auth_param ntlm children 100 auth_param ntlm keep_alive off auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic realm Servidor proxy-cache auth_param basic credentialsttl 2 hours external_acl_type AD_csoportok %LOGIN /usr/lib/squid/ext_wbinfo_group_acl acl inetcsoport1 external AD_csoportok inet1 acl inetcsoport2 external AD_csoportok inet2 http_access allow inetcsoport1 http_access allow inetcsoport2 http_access deny all És beállítottam a proxy-t is úgy, hogy egy porton transzparens, egy porton meg nem, és a nem transzparens portot írtam be a böngészőbe. Működni látszik a dolog! De nincs erőm tovább tesztelni, lehet, hogy csak becsaptam magam valamivel: majd holnap folytatom. A transzparens proxy is kell, mert majd szűrni kell azokat is, akik csak úgy beesnek... Egy kissé (számomra) túl lesz ez már bonyolítva, majd kiderül, mi lesz belőle. A holnapi viszont látásra :-) Üdv: Vasti Hegedüs Ervin <airw...@freemail.hu> írta (2017. november 19. 20:33): > Hello, > > On Sun, Nov 19, 2017 at 07:48:26PM +0100, Norbert Vastagh wrote: >> Sziasztok! >> >> Haladok, ha lassan is, de aztán természetesen elakadtam... >> >> Ami kész virtuális gépeken: >> - szerver: debian9, sama4 ad >> - Windows 7 kliens, működik rendesen (roaming profil, stb.) >> - tűzfal: debian9, squid3 transzparens proxy. > > transzparens módban nem tudsz authentikálni, mivel ilyenkor a > proxy nem küld 407-et, ill a kliens sem tudná mire vélni, mivel > nincs beállítva neki proxy... > >> A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak, >> wbinfo -u és wbinfo -g mutatja, amit kell. >> >> Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak >> létre az AD-ban lévő csoportok alapján: wbinfo_group a neve. >> >> https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/ > > hát én inkább valami official doksit keresnék, pl: > > https://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm > >> És itt az elakadás: nem indul a squid. >> >> Ennyi van a konfigomban egyelőre, mint acl: >> >> external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl >> acl inetcsoport1 external wbinfo_check inet1 >> acl inetcsoport2 external wbinfo_check inet2 >> http_access allow inetcsoport2 >> http_access allow inetcsoport2 >> >> Indítanám, az eredménye: >> >> ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 >> ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 >> >> Szerintetek mit nézek el? Nem jövök rá... > > external_acl_type konfig direktívát ne látok a fenti doksiban, > viszont auth_param-ot igen, de azt a te konfigodban nem látom. > > > > a. > > _________________________________________________ > linux lista - linux@mlf.linux.rulez.org > http://mlf.linux.rulez.org/mailman/listinfo/linux -- Vastagh Norbert _________________________________________________ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
