squid3 +ldap
Здраствуйте.
Хотел бы задать несколько вопросов относительно squid и squidguard:
1. В данный момент я использую ldap для аутентификации пользователей из
active directory. Сделано следующим образом - fakeauth получает домен и
имя пользователя, а squid_ldap_group проверяет наличие этого
пользователя в определенной группе в ad. Пользователей немного - около 60.
auth_param ntlm program /usr/lib/squid3/fakeauth_auth -S -d
auth_param ntlm keep_alive on
auth_param ntlm children 50
external_acl_type ldap_group negative_ttl=600 children=10 ttl=7200
%LOGIN /usr/lib/squid3/squid_ldap_group -S -K -R -v3 -P \
-b "DC=bkbvlad,DC=ru" \
-f
"(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,OU=squid,DC=bkbvlad,DC=ru))"
\
-D "squidreader@bkbvlad.ru" -W /etc/squid3/pw.txt -H
ldap://192.168.1.10:3268
acl allowed_group external ldap_group inetusers
http_access allow allowed_group
Все работает нормально. Натолкнулся на способ с использованием
winbind, kerberos и ntlm_auth. Его достоинство вижу в том, что
происходит реальная аутентификация и не получится, зная логин
пользователя, подсунуть его fakeauth'у и пользовать интернет от чужого
имени.
Недостаток - использование самбы и не знаю насколько стабильно оно работает.
Какие еще есть достоинства у варианта с самбой? Какой из вариантов
использовать правильнее и надежнее?
--
Vitaliy Nosov
icq:3941304
jid: vitaliy.nosov@gmail.com
Reply to: