Re: [lug-ts] Squid Auth mit NTLM gegen Win2008 ActiveDirectory - UTF8

Mon, 01 Nov 2010 09:28:00 -0700 

Servus Stefan!

Am Montag, den 01.11.2010, 11:13 +0100 schrieb Stefan Bauer:

> Ich bin beide Wege gegangen mit Squid - keiner klappt:
> 
> Weg 1:
> 
> auth_param basic program /usr/bin/ntlm_auth
> --helper-protocol=squid-2.5-basic
> --require-membership-of="domänen-benutzer"
> acl dom proxy_auth REQUIRED
> http_access allow dom
> http_access deny all
> 
> 
> liefert:
> 
> [2010/11/01 10:57:03,  0]
> utils/ntlm_auth.c:get_require_membership_sid(263)
>   Could not parse domänen-benutzer into seperate domain/name parts!

Musst du hier evtl. noch die Domäne dazu angeben? Also:
--require-membership-of='DOMAIN\domänen-benutzer'


> # wbinfo -n domänen-benutzer
> S-1-5-21-57989841-776561741-682003330-513 Domain Group (2)

wbinfo kommt mit dem winbindd, ist der konfiguriert mit "winbind use
default domain = yes", dann brauchst du die Domäne nicht zusätzlich
angeben. Also testen mit wbinfo bringt in dem Fall nicht wirklich viel,
weil ntlm_auth den winbindd nicht nutzt.

Basic Authentication würde ich bleiben lassen, weil das Passwort im
Klartext über das Netz geht. Besser ist Kerberos für die
Authentifizierung in Verbindung mit LDAP zur Autorisierung. Oder du
benutzt gleich ntlm:

auth_param ntlm program /usr/local/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp
--require-membership-of='DOMAIN\domänen-benutzer'
auth_param ntlm children 30
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
# ntlm_auth from Samba 3 supports NTLM NEGOTIATE packet
auth_param ntlm use_ntlm_negotiate on

Hat aber den Nachteil, dass es Browser gibt, die ntlm nicht können
(Opera z.B.) und dann landest du doch wieder bei Basic Authentication
als zweite Alternative :-(

Anderer Ansatz:
Mach gleich Radius oder LDAP/S über Port 636/udp. Dann geht auch nichts
unverschlüsselt über die Leitung und du kannst den Service auch für VPN,
Firewall etc. nutzen.

LG, PIT
-- 


---------------------------------------------------------------------------
 copyleft(c) by |           It's there as a sop to former Ada
 Peter Allgeyer |   _-_     programmers. :-)   -- Larry Wall regarding
                | 0(o_o)0   10_000_000 in <[email protected]>
---------------oOO--(_)--OOo-----------------------------------------------



_______________________________________________
lug-ts mailing list
[email protected]
http://www.lug-ts.de/mailman/listinfo/lug-ts

Antwort per Email an