microwulf 10 Geschrieben 1. Dezember 2012 Melden Teilen Geschrieben 1. Dezember 2012 Guten Morgen, seit nunmehr 8 Stunden quäle ich mich hier mit einem, meiner Meinung nach, einfachen Problem. Ich habe auf dem Server (Enterprise 2008R2 (64 Bit)) „pluto“ eine Domäne angelegt mit dem Titel „univers.it“. Auf dem Server läuft „squit 2.7“ als Proxy. Das funktioniert auf allen Clients auch soweit ganz gut. Nun wollte ich über die Gruppenzugehörigkeit „INTERNET“ steuern, dass nur angemeldete Nutzer auf den Clients surfen dürfen, die dieser Gruppe angehören. Bisher habe ich in verschiedenen Foren für die „squid.conf“ folgendes rausgefunden: external_acl_type win_domain_group ttl=120 %LOGIN c:/squid/libexec/mswin_check_ad_group.exe -d -G acl Inet external INTERNET access allow Inet acces deny all Im cache des Squid steht auch, dass alles gestartet wird. Nur leider sehe ich nicht, wo der Fehler liegt bzw. was er da wirklich aus dem Nutzer ausliest. Fakt um, ich bekomme als Internetnutzer immer nur ein „access denied“. Für eine Lösung wäre ich überaus dankbar, denn dieses Problem nervt unglaublich. mfG MicroWulf Zitieren Link zu diesem Kommentar
Zoni 10 Geschrieben 1. Dezember 2012 Melden Teilen Geschrieben 1. Dezember 2012 Moin, ohne genau über die Konfiguration Bescheid zu wissen, würde ich die beiden "access"-Zeilen tauschen. Denn was bringt es der Inet ACL den Zugriff zu erlauben und danach wiederum allen (inkl. der Inet ACL) den Zugriff zu verbieten. Viele Grüße Zoni Zitieren Link zu diesem Kommentar
microwulf 10 Geschrieben 1. Dezember 2012 Autor Melden Teilen Geschrieben 1. Dezember 2012 Vielen Dank für die schnelle Antwort, den Ansatz finde ich interessant, werde ich nachher gleich mal ausprobieren. Welche Daten der Konfiguration werden benötigt? Zitieren Link zu diesem Kommentar
Zoni 10 Geschrieben 1. Dezember 2012 Melden Teilen Geschrieben 1. Dezember 2012 (bearbeitet) Hi, ich habe mir gerade mal das Beispiel aus der squid-Konfiguration readme.txt - cacheboy - A continuation of the Squid-2 development tree - Google Project Hosting angeschaut. Mein Ansatz ist demnach doch nicht richtig. Dein Beispiel bräuchte demnach ein paar Korrekturen: external_acl_type win_domain_group ttl=120 %LOGIN c:/squid/libexec/mswin_check_ad_group.exe -d -G acl Inet external [color="DarkRed"][b]win_domain_group[/b] [/color]INTERNET [color="DarkRed"][b]http_[/b][/color]access allow Inet [color="DarkRed"][b]http_[/b][/color]acces[color="DarkRed"][b]s[/b][/color] deny all Außerdem weiß ich nicht genau, ob noch folgende Zeile benötigt wird: acl password proxy_auth REQUIRED Der Name der Gruppe "INTERNET" ist auch im AD groß geschrieben? Die Abfrage auf den Gruppennamen unterscheidet zwischen Groß- und Kleinschreibung. bearbeitet 1. Dezember 2012 von Zoni Zitieren Link zu diesem Kommentar
NorbertFe 2.104 Geschrieben 1. Dezember 2012 Melden Teilen Geschrieben 1. Dezember 2012 Normalerweise ist die letzte Regel immer ein deny all. ;) Zitieren Link zu diesem Kommentar
microwulf 10 Geschrieben 1. Dezember 2012 Autor Melden Teilen Geschrieben 1. Dezember 2012 Vielen Dank für Eure schnelle Hilfe. zZ steht folgendes in der squid.conf: external_acl_type win_domain_group ttl=120 %LOGIN c:/squid/libexec/mswin_check_ad_group.exe -d -G acl Inet external win_domain_group INTERNET acl password proxy_auth REQUIRED http_access allow Inet http_access deny all Leider startet squid nicht, wenn die Zeile "acl password proxy_auth REQUIRED" drinnen bleibt. Zoni: Die Gruppe Internet habe ich auf Ebene "univers.it" angelegt und auch groß geschrieben. mfG MicroWulf Zitieren Link zu diesem Kommentar
microwulf 10 Geschrieben 8. Februar 2013 Autor Melden Teilen Geschrieben 8. Februar 2013 Hallo, kleines update: Leider unterstützt squid 2.7 für Windows den Server2008r2 (noch) nicht. Somit sind die Nutzergruppen nur bis zur Version 2003 auswertbar. mfG MicroWulf Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.