Kak da nastroim SQUID da otorizira potrebitelite ot Microsof | SUVETI

Nachalo

Vhod/Registratsiia

Pomosht

Novini
Aktualna tema
Linux portali
Kakvo e Linuks?
Vuprosi-otgovori
Forumi
   •Trudova borsa
   •Konkurs
Statii
   • Istoriia
   • Suveti
   • Idei/Mneniia
   • Razrabotki
   • Programi
   • Igri
Distributsii
   •Poruchka na CD
Made In BG
Failove
Vruzki
Galeriia
Konferentsii

Vunshen vid
Predlozheniia
Napravi si sam

Za nas
Linuks za bulgari EOOD
Link kum nas
Predlozheniia

Podkrepiano ot:

	SUVETI

Suveti>Mrezha>Squid

Kak da nastroim SQUID da otorizira potrebitelite ot Microsof

ot Aerion(4-10-2004)

reiting (30) [ dobre ] [ zle ]

Variant za otpechatvane
Vmesto vuvedenie
Predi okolo 7 mesetsa, na prednata mi mestorabota zapochnah, kato vseki razumen chovek da se stremia kum tsentralizatsiia na upravlenieto vuv firmata. Tova koeto beshe edno ot nai – dosadnite zadulzheniia be da se zadavat prava na potrebitelite za dostup do internet. Mrezhata beshe Microsoft bazirana - Aktivna Direktoriia. Estestvenoto reshenie na zadachata beshe da se izbere Microsoft ISA Server, no za moe nai - goliamo shtastie, nikoi ot horata ot koito zaviseshe zakupuvaneto na takova reshenie ne mu se doveriavaha - IT Managera - ponezhe go poznavashe do niakude, generalniia direktor - ponezhe hich ne mu haresa telefonniia nomer koito vsushtnost beshe tsenata, koiato triabvashe da se zaplati. Togava imah vuzmozhnostta da se porovia malko s LDAP (openldap) i sus squid. Taka popadnah na opisanoto po - dolu reshenie.
Neobhodim softuer:

openldap

SQUID - kompiliran s poddruzhka na ldap (tova oznachava, che imate slednite programi: squid_ldap_auth i squid_ldap_group)

Zapoznavane sus strukturata na Aktivnata Direktoriia:
Za da pridobiete predstava, kak izglezhda strukturata na Aktivnata Direktoriia (AD) mozhete da ia razgledate ot vashata sistema s komandata:
example# ldapsearch -L -D "yourdomainyourdomainusername" "(&(objectCategory=person)(objectClass=user)(sAMAccountName= someusername))" -W
Vie shte budete popitan za parolata na potrebitelia na domeina ( yourdomainusername). Otgovora na tazi komanda e dosta goliam, zatova po -dobre e da go prenasochite kum fail. Za predpochitane e da razgledate faila i da se opitate da vniknete v sudurzhanieto mu. V sledvashtata versiia na tozi dokument, shte ima kratko predstaviane na faila.
Zapoznavane s programite squid_ldap_auth i squid_ldap_group:
Za da imate predstava kak tochno rabotiat tezi dve komandi, nai – dobre e da gi testvate ot konzola, predi da gi “dadete” na SQUID da raboti s tiah. Da predpolozhim, che imate konfiguriran Microsoft Active Direcotry Server s ime na domeina: example.com, potrebitel testuser, koito prinadlezhi v grupata proxygroup, parola na potrebitelia testuserpass i internet adres 1.2.3.4. Za da mozhe da raboti SQUID s AD, toi triabva da mozhe da se identifitsira v neia. Za tselta mozhete da izpolzvate veche sushtestvuvasht potrebitel ili da suzdadete nov. V nashiia sluchai, shte izpolzvame potrebitel proxyauth s parola proxyauthpassword.

squid_ldap_auth:

Slednata komanda proveria za vernostta na kombinatsiiata potrebitel/parola za Aktivnata Direktoriia:
#example /usr/lib/squid/squid_ldap_auth -b cn=users,dc=example,dc=com -u cn -h 1.2.3.4 -D cn=proxyauth,cn=users,dc=example,dc=com -w “proxyauthpassword” -f sAMAccountName=%s
Ako poznavate openldap i ako ste razgledali vnimatelno faila sus sudurzhanieto na aktivnata direktoriia, v obshti linii shte ste naiasno kakvo tochno iska tozi fail. I vse pak – nakratko:
-b cn=users,dc=example,dc=com - s tozi red ukazvate, tochno v koia chast na durvoto na AD shte tursim informatsiia;

-u cn - pokazvate obektniia klas s koito shte tursim nuzhnata informatsiia;

-h 1.2.3.4 – tova e adresa na AD;

-D cn=proxyauth,cn=users,dc=example,dc=com – ukazva potrebitelia, koito iska informatsiiata. Tova triabva da e validen za AD potrebitel;

-w "proxyauthpassword" – parola za identifikatsiia v AD na potrebitelia, koito tursi informatsiiata;

-f sAMAccountName=%s – tova e informatsiiata koiato tursim (proveriavame) – suotvetstvie na potrebitel i parola.

Kogato startirate programata, niama da poluchite nikakuv otgovor, zapitvane ili prompt. Programata ochakva da vuvedete osnovnata informatsiia (potrebitel/parola) v sledniia format: username password Ako kombinatsiiata e viarna, shte poluchite otgovor “OK”, ako li ne - “ERR”.
Eto edin primer:

example# /usr/lib/squid/squid_ldap_auth -b cn=users,dc=example,dc=com -u cn -h 1.2.3.4 -D cn=proxyauth,cn=users,dc=brs,dc=bg -w "proxyauthpassword" -f sAMAccountName=%s testuser testuserpass OK testuser someotherpass ERR

squid_ldap_group:

Slednata komanda proveriava dali posocheniia potrebitel prinadlezhi v posochenata grupa v AD:
example# /usr/lib/squid/squid_ldap_group -b "dc=example,dc=com" -h 1.2.3.4 -D "cn=proxyauth,cn=users,dc=example,dc=com" -w proxyauthpassword -f "(&(cn=%a)(member=%v))" -F "(sAMAccountName=%s)"
Tuk neiasnite argumenti veche triabva da sa sa po – malko:
member=%v – dali potrebitelia prinadlezhi na posochenata grupa.
I pri tazi komanda, sled izpulnenieto i, niama da poluchite nikakva reaktsiia – komandata ochakva da vuvedete potrebitelsko ime i grupa v slednata posledovatelnost: username group Otnovo vuzmozhnite otgovri sa “OK”, i “ERR”.
Eto edin primer:

example# /usr/lib/squid/squid_ldap_group -b "dc=example,dc=com" -h 1.2.3.4 -D "cn=proxyauth,cn=users,dc=example,dc=com" -w “proxyauthpassword” -f "(&(cn=%a)(member=%v))" -F "(sAMAccountName=%s)" testuser proxygroup OK testuser othergroup-testuser-dont-belong ERR

Faila squid.conf i implementirane na programite squid_ldap_auth i squid_ldap_group v nego.
Sled kato se zapoznahme s nachina na rabota na tezi programi, ostava samo da gi vklyuchim v konfiguratsionniia fail na squid, da opishem pravata za dostup (acl) i sme gotovi da pusnem nashiia survur. Tui, kato nai – dobrata dokumentatsiia za SQUID si ostava konfiguratsionniia mu fail, shte opisha samo mestata na koito triabva da budat vuvedeni programite i kak v obshti linii izglezhdat pravata za dostup.

Za programata squid_ldap_auth

--- squid.conf --- ... auth_param basic program /usr/lib/squid/squid_ldap_auth -b cn=users,dc=example,dc=com -u cn -h 1.2.3.4 -D cn=proxyauth,cn=users,dc=brs,dc=bg -w "proxyauthpassword" -f sAMAccountName=%s ... --- squid.conf ----

Za programata squid_ldap_group

--- squid.conf --- ... external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -b "dc=brs,dc=bg" -h brs-dc1.brs.bg -D "cn=proxyauth,cn=users,dc=brs,dc=bg" -w Aa123456 -f "(&(cn=%a)(member=%v))" -F "(sAMAccountName=%s)" ... --- squid.conf ---

pravata na dostup (acl):

--- squid.conf --- ... acl password proxy_auth REQUIRED acl proxygroup external ldap_group proxygroup ... --- squid.conf --- Tezi dva reda ukazvat, che za da izpolzvate proksito, triabva zadulzhitelno da se predstavite na softuera s potrebitelsko ime i parola (ot AD v sluchaia) i da ste chlen na grupata proxygroup. P.P. Variantite za proverka na potrebitelia i potrebitelskata grupa sa dva. Tuk e posochen samo ediniia. Pri ne tolkova zadulbochen pregled na faila s eksporta na AD, shte vidite i drugata vuzmozhnost.

<< video4linux i kak da si napravim webcam server | Napulno avtonomno delegirane na in-addr.arpa >>

Komentari: (obshto 0) Otseneni s ili poveche

[Dobavi komentar]

MENYU

Tursene

Dobaviane

ZAGLAVIQ

Podrobno rukovodstvo za ipfw nat

Mikrotik + Openvpn + android

Kak raboti DNS, chast 3 - instalatsiia na DNS cache survur.

Periodichna tablitsa na distributsiite na Linux ...

Kak raboti DNS, chast 2 - Topologiia, Authoritative servers

Intervyu na „Linuks za bulgari“ s Hyusein Ismail

Jabber (XMPP) survur pod Debian Squeeze

Kak raboti DNS, chast 1 - Resolvers i Cache survuri.

Debian, realtek RTL8111/8168B i wireless konfiguratsiia

Vuvedenie v daemontools (DJB Way)

Personalizirane na vunshniia vid na Ubuntu 11.10

DNSCurve, NaCl, CurveCP - suvremenen pogled vurhu zashtitata n

sbopkg

Purva pomosht za desktop s Linuks... chast vtora

Purva pomosht za desktop s Linuks

Ne na Skiap

Instalirane i konfigurirane na Wive na Edimax EW-7209APg

Sigurno elektronno bankirane s Firefox i Linux

Osnovi na iptables

Za ueb brauzura i neprikosnovenostta na lichniia Vi zhivot

Maskirane na VPN tunel

Elektronen podpis na Bankserviz pod Ubuntu 9.10 i 10.04

Elektronen podpis za rabota pod Linux i OpenSSL

FreeBSD 8.0 Obedinenie na niakolko mrezhovi interfeisa v edin

PODKATEGORII

Desktop

Sigurnost

Kirilizatsiia

Osnovni znaniia i sredstva

Trikove

Mrezha

FreeBSD

Vuzmozhnosti na Linux

Linux iadro

Linux distributsii

ARHIV

05 - 2022
01 - 2017
03 - 2016
11 - 2012
10 - 2012
09 - 2012
04 - 2012
12 - 2011
05 - 2011
03 - 2011
12 - 2010
07 - 2010
04 - 2010
03 - 2010
01 - 2010
10 - 2009
09 - 2009
08 - 2009
06 - 2009
04 - 2009
02 - 2009
12 - 2008
09 - 2008
05 - 2008
04 - 2008
03 - 2008
02 - 2008
01 - 2008
12 - 2007
11 - 2007
10 - 2007
09 - 2007
07 - 2007
05 - 2007
03 - 2007
02 - 2007
01 - 2007
11 - 2006
10 - 2006
09 - 2006
08 - 2006
07 - 2006
06 - 2006
05 - 2006
04 - 2006
03 - 2006
02 - 2006
01 - 2006
12 - 2005
11 - 2005
09 - 2005
08 - 2005
07 - 2005
06 - 2005
05 - 2005
04 - 2005
02 - 2005
01 - 2005
12 - 2004
11 - 2004
10 - 2004
09 - 2004
08 - 2004
07 - 2004
06 - 2004
05 - 2004
04 - 2004
03 - 2004
02 - 2004
01 - 2004
12 - 2003
11 - 2003
10 - 2003
08 - 2003
07 - 2003
06 - 2003
04 - 2003
03 - 2003
02 - 2003
01 - 2003
12 - 2002
11 - 2002
09 - 2002
08 - 2002
06 - 2002
05 - 2002
04 - 2002
02 - 2002
01 - 2002
11 - 2001
10 - 2001
09 - 2001
08 - 2001
06 - 2001
05 - 2001
03 - 2001
02 - 2001
01 - 2001
10 - 2000
09 - 2000
08 - 2000
07 - 2000
06 - 2000
05 - 2000
03 - 2000
02 - 2000
01 - 2000
-

VRUZKI

Linux za nachinaeshti

	© 2011-... Asotsiatsiia "Linuks za bulgari" © 2007-2010 Linuks za bulgari EOOD © 1999-2006 Slavej Karadjov Ako iskate da prepechatate ili tsitirate informatsiia ot tozi sait prochetete purvo tova Vunshniia vid e napraven ot MOMCHE Code Version: 1.0.8 H (Revision: 23-09-2011)

Изпълнението отне: 0 wallclock secs ( 0.21 usr + 0.02 sys = 0.23 CPU)