auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

Здесь dcone и dctwo – соответственно первый и второй контроллеры домена (имеются в виду NetBIOS-имена). Следует заметить, что здесь мы меняем только конфигурацию для браузеров, которые умеют работать с конструкциями MY_DOMAINmyname и не меняем конфигурацию для прочих браузеров. Кроме того, в секцию external_acl_type мы добавляем дополнительную внешнюю программу wbinfo_group.pl (для установки данной программы следует указать:

--with-external-acl-helpers=”wbinfo_group”

в строке запуска configure при сборке прокси-сервера, последняя версия Makefile в портах установит его по умолчанию) таким образом:

external_acl_type ntgroup concurrency=5 %LOGIN /usr/local/libexec/wbinfo_group.pl

Что мы сделали: задали использование внешней программы-аутентификатора, с именем ntgroup (будет использоваться при задании ACL), пять одновременно работающих копий в памяти, передаваться ей будет регистрационное имя, в ответ программа должна вернуть OK или ERR, в зависимости от проверяемого условия.

Кроме того, изменяем условие предоставления доступа к прокси-серверу на следующее:

acl NTDCgroup    external     ntgroup Internet

acl NTLMauth     proxy_auth   REQUIRED

http_access      allow        NTLMauth NTDCgroup

С условием NTLMauth мы уже знакомы – оно задает представление доступа только в случае успешного возврата от хелперов аутентификации. Условие NTDCgroup задает вызов внешней программы, описанной в условии ntgroup, при этом в качестве параметра внешней программе передается имя группы, вхождение в которую должно быть проверено. В данном примере это группа Internet. Доступ к прокси будет предоставлен только в случае одновременного выполнения обоих условий.

Достоинством данного метода является независимость его от версии Samba – wb_ntlmauth и wbinfo_group работают путем передачи команд демону winbindd – можно спокойно перейти с версии Samba 2.х на версию 3.х и не заметить момент перехода.

Использование аутентификаторов из комплекта Samba (только Samba 3.x)

Поскольку хелперы прокси-сервера не умеют работать с winbindd демоном из сборки Samba 3.x, рекомендуется отказаться от их применения и использовать хелпер ntlm_auth из сборки прокси-сервера (не путать с одноименным хелпером из сборки Samba! Хелпер прокси-сервера обычно лежит в /usr/local/libexec, а хелпер Samba – в /usr/local/bin). Кроме того, использование wbinfo_group.pl имеет один отрицательный момент – это скрипт, он написан на языке Perl, следовательно, в оперативной памяти постоянно находится некоторое количество копий процесса perl, интерпретирующего скрипт. Отказ от wbinfo_group.pl позволит сократить объем требуемой памяти. Использование аутентификаторов из комплекта Samba значительно проще: не нужно никаких внешних программ, не нужно никаких дополнительных правил – сам хелпер ntlm_auth имеет параметр --require-membership-of=”Group”. Поэтому возвращаем наше правило, регулирующее доступ к прокси-серверу, к виду, описанному в разделе «Samba 2.5 и Samba 2.2.x».

http_access      allow NTLMauth

и заменяем хелперы из поставки squid на хелпер ntlm_auth из поставки samba следующим образом:

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MY_DOMAIN+My Proxy"