moe Veteran
Joined: 28 Mar 2003 Posts: 1289 Location: Potsdam / Germany
|
Posted: Mon Aug 16, 2004 6:05 pm Post subject: [OT] Squid Authentifizierung mit Samba PDC (Single Sign On)? |
|
|
Hallo,
ich bastel gerade einen Server für unser Netzwerk, der soll hauptsächlich als PDC (Primary Domain Controller) für die Windows-Clienten meines Nachbarn, und vielleicht auch für meine Linuxrechner dienen. Und noch n paar Sachen die im Netz unverzichtbar sind, z.B. email und proxy.
Das ganze soll möglichst sicher sein, nicht weil ich paranoid bin, sondern um auch mal etwas richtig zu machen und nicht immer nur son Heimgebrauchs Gefrickel.
Deshalb soll der Squid auch mit Authentifizierung laufen, und nur Benutzern denen es explizit erlaubt wurde Zugriff gewähren (der DSL-Router hängt in einem anderen phys. Netz und ist von den Clienten nicht zu erreichen).
Samba benutzt für die Benutzerkonten LDAP, und der Rechner ist auch so konfiguriert, dass auch andere Authentifizierungen diesen LDAP Server benutzen können (pam_ldap, nsswitch).
Soweit sogut, Squid so zu konfigurieren, dass er eben diese BEnutzerkonten in LDAP zur Auth. benutzt, sollte ja kein Problem darstellen, aber es wäre natürlich bequemer wenn sich der User nicht nochmal beim Proxy einloggen muss, sondern Squid die schon erfolgte Anmeldung am PDC sozusagen mitbenutzt.
Was für Möglichkeiten gibts da?
Ich habe auch schon gesucht und überlegt und folgendes gefunden:
1. Authentifizierung mit Kerberos
Dabei werden wohl irgendwelche Tickets verwendet die eine Zeitlang gültig sind, und nochmaliges Einloggen ist nicht erforderlich. Nur weiss ich nicht, ob das auch mit Squid möglich ist, und wie gross der Konfigurationsaufwand wäre (Migrationen sind nicht nötig, ist eh noch alles frisch). Und was mir auch unklar ist, wie das genau abläuft, woher soll Squid denn wissen, dass die Anfrage von IP x.y Benutzer z zuzuordnen ist? Oder cyrus-imapd kann ja auch kerberos, was trag ich da im Mailclienten als Benutzer/Passwort ein?
Also wenn jmd. schonmal was mit Kerberos gemacht hat, wärs ganz interessant wenn er mal kurz umreisst, wie die Funktionsweise ist, und wie gross der Konfigurationsaufwand.
2. Skriptlösung mit Iptables
Irgendwie wird man ja in Samba sicherlich einen Ansatzpunkt für ein Skript finden, dass wenn ein Benutzer angemeldet wird, eine iptables Regel schreibt, die dann die IP, wo der Benutzer gerade angemeldet ist, auf den Squid-Port lässt (bzw. alle Anfragen --dport 80 usw. dorthin umleitet), und wenn nicht auf einen anderen Port, wo meinetwegen ein mini httpd läuft, der dann sagt <h1>Ätsch iss nich</h1>.
Das wäre ja an sich noch recht simpel denke ich, allerdings wirds dann komplizierter, wenn man Benutzerspezifische Zusatzregeln wie ftp ja/nein, Internet nur von 8-18:00 Uhr, implementieren will, und Benutzerbasierte Filtereinstellungen wären gar nicht mehr möglich.
3. <eure Ideen hier>
Ich habe auch einige Sachen in diversen Foren gefunden, die von Single Sign On mit Samba und Squid sprachen, wo aber nicht von kerberos die Rede war, gibts da noch was anderes?
Gruss & Danke fürs Lesen Maurice |
|