Skip to content

Document Header

Squid и radius авторизация в active directory samba 4 (squid radius auth proxy)

Squid и radius авторизация в active directory samba 4 (squid radius auth proxy) published on 5 комментариев к записи Squid и radius авторизация в active directory samba 4 (squid radius auth proxy)

В данной статье хочу представить еще один способ авторизации пользователей squid в active directory samba 4 через radius. Ранее я описывал авторизацию squid через ldap. Этот способ (radius авторизации) имеет такой же недостаток в виде ввода пароля при открытии любого из браузеров, как и в случае с ldap модулем squid.

Так же критерии принятия положительного или отрицательного решения об авторизации пользователя squid в данном случае зависит от модуля авторизации и модульного фильтра radius.

Я уже описывал настройку radius для vpn pptpd.

В этой статье я буду использовать ту же настройку радиус, следовательно, и правила авторизации будут такими же.

 

Добавим в /etc/squid/squid.conf следующие строки:

auth_param basic program /usr/lib64/squid/squid_radius_auth -f /etc/squid/squid_radius_auth.conf
auth_param basic children 5
auth_param basic realm pdc.test.loc Squid
auth_param basic credentialsttl 8 hours
auth_param basic casesensitive off
acl radius-auth proxy_auth REQUIRED
...
http_access allow radius-auth
http_access deny all

Все. Теперь через radius пользователи squid могут авторизовываться в active directory samba 4.

5 комментариев

Уже не помню пробовал ли я squid_kerb_auth.
Собираюсь в ближайшее время попробовать acl external nt_group. Похоже это то, что нужно для авторизации по группам в ad. По описанию похоже, что без пароля по крайней мере для IE. Несколько ссылок:
http://www.bsdportal.ru/viewtopic.php?p=141617
http://macrodmin.blogspot.ru/2012/07/squid-active-directory.html
http://www.opennet.ru/openforum/vsluhforumID12/4114.html
http://innov-24-spb.livejournal.com/5172.html

все эти штуки требуют самбу и присоединение к домену. один из плюcов модуля kerb_auth в том, что не нужно ставить дополнительные пакеты и предпринимать дополнительные действия (samba, присоединение к домену).

1. NT/LM авторизация требует наличие samba и доступ к домену.
2. Для использования squid_ldap_auth и squid_ldap_group наличия samba и присоединение к домену не требуется. Эти хелперы (на локальной или удаленной машине) ищут пользователя и принадлежность к группе в ldap-каталоге сервера (через учетную запись одного из пользователей) AD, который может быть на windows, а может быть на samba4
3. В случае с radius – тоже самое, что и в случае со squid_ldap хелперами. Squid запрашивает radius server. Он (radius-сервер) принимает решение , в свою очередь связываясь через ldap в AD.

Добавить комментарий