auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

Более подробную информацию о параметрах хелпера htlm_auth можно получить из команды man ntlm_auth.

Как обычно, следите за тем, чтобы ntlm_auth в /usr/local/bin был из сборки Samba, потому что Squid тоже собирает свой собственный хелпер ntlm_auth (--enable-ntlm-auth-helpers=”SMB”). Но хелпер Squid не умеет работать с winbindd, входящим в комплект Samba 3.x. И конечно, хелпер, обслуживающий запросы Internet Explorer, должен располагаться перед хелпером, принимающем пароль со стандартного ввода.

Отличительной (и приятной) особенностью работы данного хелпера является то, что при общении с Internet Explorer имя пользователя передается в лог без доменной части (myusername вместо MYDOMAINmyusername при взаимодействии с хелперами, входящими в комплект Squid).

Стоит отметить еще одну особенность данного хелпера – для нормальной работы ему необходим доступ к pipe winbindd, который по умолчанию располагается в /var/db/samba/winbindd_privileged. Собственно pipe имеет права 0777, но каталог, в котором он находится, имеет права 0750.

Для решения этой проблемы достаточно изменить группу пользователей каталога winbindd_privileged на squid:

chown root:squid /var/db/samba/winbindd_privileged

Squid 2.5, Samba и наличие пользователей в определенной группе

Модифицируем нашу систему дальше. Сделаем так, чтобы пользователь мог получить доступ к прокси-серверу, только если его учетная запись находится в группе My Proxy. Для решения этой проблемы можно использовать как стандартные аутентификаторы прокси-сервера (ntlm_auth и wbinfo_group), так и аутентификатор ntlm_auth из комплекта сборки Samba. Рассмотрим каждый вариант.

Использование аутентификаторов из комплекта прокси-сервера

Для того чтобы использовать аутентификаторы прокси-сервера вместе с Samba (версия не имеет значения), необходимо использовать другие программы-хелперы.

Для использования хелперов из комплекта прокси-сервера задача аутентификации разбивается на две части – используется хелпер ntlm_auth и внешняя программа wbinfo_group.pl, представляющая из себя скрипт на языке Perl. Перестраиваем конфигурацию аутентификаторов следущим образом:

auth_param ntlm program /usr/local/libexec/ntlm_auth MY_DOMAIN\dcone MY_DOMAIN\dctwo

auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/libexec/wb_auth

auth_param basic children 5