Active-Directory
Squid 和 Active Directory 身份驗證
我想將 Squid 代理與 Active Directory 域集成,從而實現以下目標:
- 我可以根據使用者帳戶和/或組授予/拒絕對網站的訪問權限。
- 域使用者在訪問代理時不需要顯式驗證,即他們會自動使用他們的 Windows 登錄憑據。
- 未經身份驗證的使用者仍然可以被授予訪問權限(對特定目的地)。
最後兩點是我主要關心的;我知道 Squid 可以針對 AD 對使用者進行身份驗證,但我不知道它是否可以同時管理經過身份驗證的使用者和匿名使用者,以及是否可以使用透明身份驗證,即不需要使用者顯式登錄到代理伺服器。
另外,我知道有兩種方法可以將 Squid 與 AD 集成:WinBind 和 LDAP。哪個更適合這種情況?
我不需要 Squid 成為透明代理;已經有一個 GPO 可以為所有域使用者配置 IE 代理設置。
額外的問題:當涉及 SquidGuard 時,所有這些都可以工作嗎?
我使用 Squid 作為非透明代理來驗證(和數據庫)使用者對生產中網站的訪問,它執行良好。
我在 Win32 上執行它,因此與 Active Directory 的集成非常輕鬆。因此,我無法談論 WinBind 與 LDAP 的相對優點。
您正在尋找的“繞過”功能:可以訪問某些網站的匿名使用者記錄在Squid wiki中。我還沒有在真正的 Squid 實例上嘗試過配置範例。在閱讀了第一個範例配置後,我會說它應該“像宣傳的那樣”工作。看起來技巧(因為 Squid 從上到下解析 ACL,在它找到滿足請求的第一個 ACL 之後退出)是將匿名訪問 ACL 放在任何依賴於身份驗證的 ACL之前。