Szia!
Haladok, ha lassan is, de aztán természetesen elakadtam...
Ami kész virtuális gépeken:
- szerver: debian9, sama4 ad
- Windows 7 kliens, működik rendesen (roaming profil, stb.)
- tűzfal: debian9, squid3 transzparens proxy.
Amit kiemelnék: _transzparens_ proxy
A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak,
wbinfo -u és wbinfo -g mutatja, amit kell.
Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak
létre az AD-ban lévő csoportok alapján: wbinfo_group a neve.
https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/
És itt az elakadás: nem indul a squid.
Ennyi van a konfigomban egyelőre, mint acl:
external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl
Ez meg a másik: %LOGIN
acl inetcsoport1 external wbinfo_check inet1
acl inetcsoport2 external wbinfo_check inet2
http_access allow inetcsoport2
http_access allow inetcsoport2
Indítanám, az eredménye:
ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1
ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1
A transzparens proxy lényege, hogy a kliensen nem csak hogy nem kell
hozzá semmit sem konfigurálni, de a kliens igazából nem is tud arról,
hogy proxy-n megy át - ezt a tűzfal fogja intézni.
Viszont ebből következik egy másik dolog is: a kliens _nem_ fogja magát
authentikálni egy olyan komponens felé, amelynek a létezéséről nem is
tud!
Tehát vagy van proxy auth, de akkor nem transzparens, vagy transzparens,
de akkor nincs auth a proxy felé!
Ez ugyan nem az előző hiba magyarázata (hacsak nem nagyon okos
a squid3 és ki nem szúrta ezt a logikai bukfencet), ellenben egy másik
logikai hibáról jelzés.
Zsolt
_________________________________________________
linux lista - linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux
