auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/libexec/wb_auth

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

после чего необходимо будет перезапустить прокси-сервер.

Что мы сделали:

n  первые четыре строки описывают хелпер аутентификации wb_ntlmauth, который предназначен для работы с браузером Microsoft Internet Explorer, а также с другими браузерами, распознающими конструкции вида MYDOMAINmyusername (еще к браузерам такого типа относятся Mozilla/Firefox);

n  остальные строки описывают хелпер аутентификации wb_auth, который предназначен для проверки имени и пароля, передаваемого со стандартного ввода с помощью winbindd. Это позволяет использовать любые браузеры – как графические, так и нет (lynx, например).

Обращаю внимание на следующие моменты:

n  Строки в конфигурационном файле должны стоять в том же порядке, что и в примере, приведенном выше. По умолчанию дело обстоит именно так. Обьясняется это одним странным свойством браузера Microsoft Internet Explorer – он способен использовать только первый описанный хелпер. Если первым описать хелпер wb_auth, Explorer доступ к прокси-серверу получить не сможет.

n  Необходим будет полный перезапуск через останов сервера и его последующий старт. Команды squid -k reconfigure недостаточно, поскольку при изменении параметров аутентификации squid выгружает и загружает хелперы аутентификации самостоятельно.

Кроме того, необходимо изменить правила получения доступа к прокси-серверу таким образом, чтобы доступ предоставлялся только в случае, если пользователь ввел имя и пароль действительной записи в домене Windows.

Для этого в файл squid.conf следует добавить следующие строки:

acl NTLMauth     proxy_auth   REQUIRED

http_access      allow        NTLMauth

Первая строка создает правило, согласно которому:

n  Доступом к прокси-серверу управляет внешняя программа (программы), описанная в секции auth_param (см. выше описание данного параметра). Если какая-либо из программ завершается с ошибкой, отсутствует или дает отрицательный ответ, то вызывается следующая по списку, пока не будут просмотрены все присутствующие в файле squid.conf строки auth_param.

n  Для доступа к прокси-серверу необходим положительный ответ от программы-аутентификатора (хелпера), иначе доступ предоставлен не будет. Завершение с ошибкой, отсутствие или отрицательный ответ всех хелперов считаются отрицательным результатом и являются основанием для отказа в доступе.