johnny_TF
Anmeldungsdatum: 19. Juli 2017
Beiträge: Zähle...
|
Grüße! ☺ Ich zerbreche mir jetzt schon eine ganze Weile meinen Kopf, aber ich finde keine Lösung. Folgendes Problem: Ich habe einen Squid als HTTP-Proxy auf einem Ubuntu 16.04. Server laufen, der mir Benutzer mit LDAP gegen ein Windows Active Directory authentifiziert. Soweit funktioniert das auch alles wunderbar.
Nebenher läuft allerdings noch eine zweite Domäne(alt), in der sich noch viele Nutzerkonten befinden, die ebenfalls Internetzugriff haben sollen. Dafür läuft momentan noch ein alter Squid.
Es soll nun aber nur noch ein Squid die Authentifizierung gegen beide Domänen übernehmen, allerdings ist das wohl gar nicht so vorgesehen. Momentan sieht die betreffende Stelle in der squid.conf so aus: | # Authentifizierung an Active Directory mit LDAP
auth_param basic program /usr/lib/squid/basic_ldap_auth -R -b "dc=domain,dc=neu" -h domaincontroller.domain.neu -D "CN=service_ldap,OU=Service_User,dc=domain,dc=neu" -W "/etc/squid/ldap_passwd" -f (&(objectclass=person)(sAMAccountName=%s)(memberof=cn=SQUID-USER,ou=Gruppen,dc=domain,dc=neu))
auth_param basic children 5
auth_param basic utf8 on
auth_param basic realm Squid WebProxy
auth_param basic credentialsttl 30 minutes
auth_param basic casesensitive off
|
In der squid.conf soll wohl eine if else Bedingung machbar sein. Nur habe ich keinen Dunst, wie man das einbauen soll. Meine Programmier-Kenntnisse beschränken sich auf einen C++ Crashkurs... Stelle mir etwas in Richtung
if (!auth)
{ "authentifizierung an domaincontroller.domäne.alt}
else
{continue}
endif
vor. Ich hoffe es ist halbwegs verständlich, wie ich das meine. Vielen Dank im Voraus Johnny
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Moin Wie lange wollt ihr die alte Windows-Server-Domäne denn noch durchfüttern, isses nicht besser mal nen cut zu machen und alles in die neue zu migrieren statt wieder was neues für ollen Krams zu basteln? 😕 Was ist denn die alte Domäne bei dir, etwa noch NT4 also kein AD? 😊
|
johnny_TF
(Themenstarter)
Anmeldungsdatum: 19. Juli 2017
Beiträge: 6
|
Die "alte" Domäne ist gar nicht so alt, die läuft auf einem 2008R2 Server. Die "neue" schon auf einem 2012er server.
Das Problem ist, das in der alten Domäne noch viele alte XP Clients und andere Systeme laufen, die sich noch nicht in eine neuere Version integrieren lassen, weswegen diese noch auf nicht absehbare Zeit bestehen bleibt. Ein cut würde wohl zu einem Ausfall führen und der kann hier auf keinen Fall riskiert werden. Sonst wäre das natürlich auch meine erste Lösung gewesen :/
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
Ok, dass XP angeblich nicht mehr Domänenmitglied sein kann wenn man ein AD hat, das aus Server 2012 beruht ist mir neu. Biste dir sicher, dass du da nicht nur was umstellen musst? Lies mal –> https://social.technet.microsoft.com/Forums/de-DE/00e65abe-3c4a-4de5-aa6b-25e7c7a26170/windows-server-2012-und-xp-client-kein-zugriff-auf-serverfreigaben?forum=windowsserver8de Und mal ganz ehrlich, XP muss echt mal rausfliegen, drei Jahre EOL!!! Wir haben nur noch 2 XP Clients, die sind aber nichtmal im internen Netz, die sind völlig OFFLINE (ohne Netzwerk)
|
johnny_TF
(Themenstarter)
Anmeldungsdatum: 19. Juli 2017
Beiträge: 6
|
Es liegt ja nicht an XP per se. Hier laufen noch ~350 verschiedene Dienste und nicht alle davon vertragen sich schon mit 2012er Domänen. Neue User werden ja auch nur noch in der neuen Domäne angelegt und man lässt die alte nach und nach absterben, aber forcieren kann man es eben nicht. Das eigentliche Problem habe ich ja schon beschrieben, gibt es denn keine Möglichkeit in 2 Domänen nach Usern zu suchen?
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
|
johnny_TF
(Themenstarter)
Anmeldungsdatum: 19. Juli 2017
Beiträge: 6
|
Vielen Dank, aber da habe ich mich schon bis zur Verzweiflung durchgewühlt...
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
johnny_TF schrieb: Das eigentliche Problem habe ich ja schon beschrieben, gibt es denn keine Möglichkeit in 2 Domänen nach Usern zu suchen?
Wie du schon herausgefunden hast, ist das nativ mit Squid nicht möglich. Du kannst dir aber einen eigenen Wrapper schreiben, der beide Domänen kennt und entsprechend befragt. Ein Beispiel habe ich hier gefunden. Statt der Unterscheidung anhand von Anfangsbuchstaben kannst du auch andere Kriterien nutzen, oder du befragst einfach beide Server, sofern der erste einen Fehler wirft. Alternativ kannst du das OpenLDAP Meta-Backend nutzen. Dieses kann man als Proxy für mehrere Instanzen konfigurieren.
|
johnny_TF
(Themenstarter)
Anmeldungsdatum: 19. Juli 2017
Beiträge: 6
|
DU meinst es bestimmt gut mit> mir, aber wie gesagt ich habe keinen Schimmer vom Programmieren. Ich hatte gehofft es gibt da eine bessere Lösung. Naja. Schade :/
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
johnny_TF schrieb: DU meinst es bestimmt gut mit mir, aber wie gesagt ich habe keinen Schimmer vom Programmieren. Ich hatte gehofft es gibt da eine bessere Lösung. Naja. Schade :/
Beim OpenLDAP Meta-Backend musst du nicht programmieren. Hier gibt es eine Anleitung. Dort müsstest du den Abschnitt "Set up meta database" angucken.
|
cosinus
Anmeldungsdatum: 11. Mai 2010
Beiträge: 1374
Wohnort: HB
|
johnny_TF schrieb: DU meinst es bestimmt gut mit> mir, aber wie gesagt ich habe keinen Schimmer vom Programmieren. Ich hatte gehofft es gibt da eine bessere Lösung. Naja. Schade :/
Ach komm schon, die alte Domäne mit den XP-Zombie-Dosen braucht keinen Proxy, muss nicht ins Netz! 😊
|
johnny_TF
(Themenstarter)
Anmeldungsdatum: 19. Juli 2017
Beiträge: 6
|
So. Vielen Dank schonmal, ich habe jetzt dieses Script hier gefunden. Das scheint mir genau das zu sein, das ich brauche. Allerdings kriege ich es noch nicht zum laufen. Wenn ich es starte und Nutzerdaten eingebe kommt immer ERR als Rückgabewert. Kann mir jemand sagen, wie ich dieses Script korrekt implementiere? Grüße
Johnny
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
johnny_TF schrieb: Das scheint mir genau das zu sein, das ich brauche. Allerdings kriege ich es noch nicht zum laufen. Wenn ich es starte und Nutzerdaten eingebe kommt immer ERR als Rückgabewert.
Dann musst du entweder selbst debuggen, oder du wendest dich an den Entwickler.
|