squid koppelen aan NT domain

Precies wat jij zoekt heeft een collega van me een keer voor een klant gebouwd. Ik weet dus wat je bedoelt, en kan je zeker op weg helpen. Maar ik kan je niet het complete verhaal vertellen. Deze klant is failliet (dus we hebben de spullen niet meer in beheer), effe kijken hoe het nou precies zit kan dus niet.

Wat je moet doen is squid aan de gebruiker een naam en wachtwoord laten vragen. Je moet dus squid zó instellen dat er een vorm van authenticatie gebruikt wordt. Dit zijn gewoon de naam en wachtwoord die de gebruiker óók in de Active Directory heeft. De gebruiker hoeft niets extra te onthouden.

Vervolgens laat je je server onder water een LDAP-bind request uitvoeren naar een van de DC's van het Windows domein met de naam/ww combinatie die de user zojuist heeft ingegeven. Deze DC babbelt immers gewoon LDAP. Zodra deze bind lukt klopt de naam/ww combinatie blijkbaar, en mag de gebruiker van jouw squid proxy gebruik maken. Je hebt de username, dus die hoef je alleen nog maar weg te schrijven naar de access.log (oid.) van je squid installatie.

En nee, het lukte niet om het "transparant" te laten werken, dus zonder inlogscherm. Het werkte echter wel met alle moderne browsers ( =>IE of Netscape v. 4 of hoger).

Lijkt een heel verhaal, maar uitgaande van het voorgaande kun je het probleem "in stukken knippen" en stap voor stap oplossen. Vergeet niet dat je niet de enige bent die deze uitdaging heeft. Googelen op "squid", "LDAP" en "authentication" moet je een heel eind op weg helpen...

Suc6!

[ Voor 3% gewijzigd door Verwijderd op 16-09-2004 20:59 ]

Je squid heel makkelijk koppelen aan een windows domein.
Als je NTLM auth gebruik kan je ook met een externe helper gebruiken om bijv te controleren of gebruikers lid zijn van een groep en zo kan je dus gebruikers meer "rechten" geven op squid.

Om squid met NTLM te gebruiken moet je samba installeren en squid compilen met NTLM.
er zijn op internet genoeg voorbeelden te vinden.

In de logfile zal je dan de gebruiker zien DOMEIN\gebruiker

Het kan nog strakker. Download een identd server voor Windows. Draai deze op de lokale client machines en laat Squid authenticeren aan identd. Dan neemt ie je Windows namen over. Heb het vorig jaar voor een klant opgezet en werkt nog steeds erg netjes.