[bglug] Proxy Squid + Active Directory

Marco coda892@hotmail.it
Sab 22 Gen 2011 14:02:56 CET


Il 22/01/2011 13:14, Manuel ha scritto:
> i vari pc ospitano utenti diversi (che di
> volta in volta si autenticano sul pc) con diritti diversi. Giusto?
Si
> puoi fare un tentativo configurando squid per lavorare con username e
> password e configurare iptables come se squid stesse lavorando in
> transparent, ma dubito che funzionerebbe... non ho mai provato, ma
> penso che se è venuto in mente a me su due piedi e non ho mai sentito
> di una configurazione simile, un motivo ci sarà....
>
> iptables -t nat -A PREROUTING -i<INTERFACCIA_LAN>  -p tcp --dport 80
> -j DNAT --to<SQUID_SERVER>:<SQUID_PORT>
Già provato. La connessione del client (settato solo col gateway) va in 
timeout. Però reindirizzando il traffico in questo modo son riuscito ad 
usare un'unica porta del proxy sia per la transparent mode (porta 80 
"virtualle", reindirizzata sulla vera porta di squid), sia per l'auth 
mode (porta di squid)
>
>> (Anche perchè il gateway è modificabile da remoto con AD, le impostazioni
>> del browser invece sarebbero da modificare a mano, e i clients sono più di
>> 100)
> questo non è vero... almeno se il browser è configurato per l'auto
> detect di un eventuale proxy :-)
Ma in questo caso bisogna comunque settare a mano l'opzione "individua 
automaticamente le impostazioni di proxy per questa rete" (->firefox) 
oppure è un'opzione di default dei browsers (che quindi si 
autoconfigurerebbero da soli, senza wpad)?
> se invece c'è un mix di borwsers, dovresti risolvere con il proxy.pac
> : http://www.grape-info.com/doc/win2000srv/internet-gw/wpad/index.html
Dato che uso il wpad (sempre per il problema della configurazione 
manuale) e nella rete non c'è il dhcp mi affiderei alla terza opzione. 
In questo caso il proxy verrebbe impostato a livello di sistema (non a 
livello di browser), e la configurazione sarebbe settata automatica, 
appena l'utente effettua il login, giusto? Si tratta in pratica di un 
wpad a livello di sistema, ma configurabile da Active Directory

Ho visto tra l'altro che è possibile configurare Internet Explorer con 
AD. Il problema è che noi usiamo anche firefox (che non si interfaccia 
con AD o simili...)
> Ciao,
> Manuel
Ciao e grazie



Maggiori informazioni sulla lista bglug