我想将 Squid 代理与 Active Directory 域集成,以便实现以下目标:
- 我可以根据用户帐户和/或组授予/拒绝对网站的访问。
- 域用户在访问代理时不需要明确进行身份验证,即他们会自动使用他们的 Windows 登录凭据。
- 未经身份验证的用户仍可被授予访问权限(到特定目的地)。
最后两点是我主要关心的;我知道 Squid 可以根据 AD 验证用户身份,但我不知道它是否可以管理经过验证的用户和匿名用户同时,并且它是否可以使用透明身份验证,即不需要用户明确登录到代理服务器。
另外,我知道有两种方法可以将 Squid 与 AD 集成:WinBind 和 LDAP。哪种方法更适合这种情况?
我不需要 Squid 作为透明代理;已经有一个 GPO 可以为所有域用户配置 IE 代理设置。
附加问题:当 SquidGuard 参与时,所有这些都能起作用吗?
答案1
我正在使用 Squid 作为非透明代理来验证(和数据库)生产中用户对网站的访问,并且效果非常好。
我在 Win32 上运行它,因此与 Active Directory 的集成非常轻松。因此,我无法谈论 WinBind 与 LDAP 的相对优缺点。
您正在寻找的“绕过”功能是:匿名用户可以访问一些站点记录在Squid 维基。我还没有在真正的 Squid 实例上尝试过那里的配置示例。在阅读了第一个示例配置后,我会说它应该“如广告中所述”工作。看起来这个技巧(因为 Squid 从上到下解析 ACL,在找到第一个满足请求的 ACL 后退出)是将匿名访问 ACL前任何依赖于身份验证的 ACL。