[Tech] Squid e NTLM

Artini Alessio AArtini@comune.pontassieve.fi.it
Lun 18 Feb 2008 11:42:33 CET


Ciao a tutti.

Rieccomi con qualche beguccia da risolvere.

Utilizzo una Debian Etch come proxy per la navigazione internet e filtraggio dei contenuti (dansguardian).
I programmi installati:
- Samba 3.0.24,
- Dansguardian 2.8.0.6,
- Squid Cache: Version 2.6.STABLE5.

Premetto che ho già "google-ato" e guardato vari how-to e faq.

Ho dei problemi nella configurazione dell'autenticazione tramite ntlm_auth (ho Windows 2003 come DC).
Ho trovato delle guide che mi dicono di utilizzare ntlm_auth di samba (/usr/bin/)
e non quello di squid (usr/lib/squid/)
Il server in questione è nel dominio e tutti i comandi di test/verifica del tipo "wbinfo -t" ecc...
non rilevano alcun tipo di problema. 

Adesso ho questa configurazione in squid.conf:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of='DOMINIO\Internet'

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of='DOMINIO\Internet'
auth_param basic children 5
auth_param basic realm Specificare credenziali di accesso
auth_param basic credentialsttl 2 hours
authenticate_cache_garbage_interval 10 seconds
authenticate_ttl 0 seconds

Vorrei che gli utenti appartenenti al gruppo "internet" passino dal proxy senza
alcuna richiesta di password, mentre a quelli che non fanno parte di tale gruppo
si dovrebbe aprire la maschera per l'interimento di utente e password.

Ma:

- Tutti gli utenti riescono comunque a navigare anche se non fanno parte del gruppo "internet"
  e senza che il sistema richieda loro comunque una password.
- Nei file di log di squid e dansguardian non si vedono gli utenti che accedono ad internet 
  ma solo l'ip che origina le richieste delle pagine web.
- Perché squid non riconosce "use_ntlm_negotiate on" ?

Dov'è il problema????

Grazie


Alessio



Maggiori informazioni sulla lista flug-tech