Active-Directory

Squid 和 Active Directory 身份驗證

  • February 26, 2010

我想將 Squid 代理與 Active Directory 域集成,從而實現以下目標:

  • 我可以根據使用者帳戶和/或組授予/拒絕對網站的訪問權限。
  • 域使用者在訪問代理時不需要顯式驗證,即他們會自動使用他們的 Windows 登錄憑據。
  • 未經身份驗證的使用者仍然可以被授予訪問權限(對特定目的地)。

最後兩點是我主要關心的;我知道 Squid 可以針對 AD 對使用者進行身份驗證,但我不知道它是否可以同時管理經過身份驗證使用者和匿名使用者,以及是否可以使用透明身份驗證,即不需要使用者顯式登錄到代理伺服器。

另外,我知道有兩種方法可以將 Squid 與 AD 集成:WinBind 和 LDAP。哪個更適合這種情況?

我不需要 Squid 成為透明代理;已經有一個 GPO 可以為所有域使用者配置 IE 代理設置。

額外的問題:當涉及 SquidGuard 時,所有這些都可以工作嗎?

我使用 Squid 作為非透明代理來驗證(和數據庫)使用者對生產中網站的訪問,它執行良好。

我在 Win32 上執行它,因此與 Active Directory 的集成非常輕鬆。因此,我無法談論 WinBind 與 LDAP 的相對優點。

您正在尋找的“繞過”功能:可以訪問某些網站的匿名使用者記錄在Squid wiki中。我還沒有在真正的 Squid 實例上嘗試過配置範例。在閱讀了第一個範例配置後,我會說它應該“像宣傳的那樣”工作。看起來技巧(因為 Squid 從上到下解析 ACL,在它找到滿足請求的第一個 ACL 之後退出)是將匿名訪問 ACL 放在任何依賴於身份驗證的 ACL之前。

引用自:https://serverfault.com/questions/117050