silvesterlangen.de
NTLM Auth
In den meisten Tutorials wird ein Digest-Auth vorgeschlagen. Sogar in der pfSense wird bei der optionalen Squid-Installation noch Digest-Auth angeboten. Für den Heimgebraucht ist das okay, denn das hat den Vorteil, dass man die User direkt auf dem Squid-Proxy anlegen kann und kein weiteres System benötigt. Der Nachteil ist aber, dass die Benutzerdaten im Klartext über das Netzwerk gesendet werden. Obendrein haben einige Browser Probleme damit. Wer den Firefox gerne einsetzt wird feststellen, dass dieser die Proxy-Zugangsdaten einfach nicht speichern will. Im Chrome poppt das Authentifizierungsfenster noch auf, aber es ist wenigstens bereits ausgefüllt, sofern man sich vorher schon mal angemelet und dann die Daten gespeichert hat. Einzig der IE fragt nicht mehr nach, wenn man es ein mal korrekt eingegeben hat und der Haken bei "Anmeldedaten speichern" steht.
Mit der NTLM-Authentifizierung hingegen können die Browser sich am Informationsspeicher des Betriebsystems bedienen. Das verstehen sowohl IE als auch Chrome, aber vor allem auch FF.
Sofern noch kein Authentifizierungsmechanismus implementiert ist, so können die folgenden Zeilen einfach in die Konfigurationsdatei squid.conf hineinkopiert werden. Wichtig ist, dass in der ersten Zeile hinter --domain= die Domäne steht. Natürlich in Großbuchstaben. Hier steht nun meine Testdomäne.
auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth -d --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2. -ntlmssp --domain=LANGEN --kerberos /usr/lib/squid3/squid_kerb_auth -d -s GSS_C_NO_NAMEauth_param negotiate children 10auth_param negotiate keep_alive offacl auth proxy_auth REQUIREDhttp_access allow auth
Je nach Distribution bzw. Installation, wenn man Squid selbst kompiliert hat, ist der Pfad zum "negotiate_wrapper_auth" anzupassen. Einfach vorher mal nachsehen.
In meiner Testkonfiguration habe ich diese Zeilen ziemlich weit oben in der Konfiguration gehabt.
Nachteile:
Leider ist es so, dass nicht nur die Browser sich am Proxy authentifizieren müssen, sondern auch Anwendersoftware wie Banksoftware, Elster (oder Elstam), Virenscanner usw. Im Laufe der Tests musste ich feststellen, dass viele Programme eine schlechte bzw. gar keine Implementierung für NTLM-Auth haben, was dazu führt, dass sie über den Proxy keine Verbindung aufbauen können.
Möglichkeit 1 ist, dass man eine Proxyausnahme für die Zieladressen oder IPs erstellt. Sobald eine Anwendung eine Verbindung zu seinen Servern aufbauen will, prüft Squid, ob die Adresse oder IP als Ausnahme definiert ist. Für Proxyausnahmen wird dann keine Authentifizierungsanforderung gestellt und das Programm kann einfach so sein Ziel erreichen
Möglichkeit 2 ist, dass ein weiterer Proxy für diese Anwendungen bereitgestellt wird, der die benötigte und unterstützte Authentifizierungsmethode bereitstellt.
Möglichkeit 3 ist, dass auf der Firewall für diese(n) Client-PC(s) eine Regel erstellt wird, die erlaubt, dass diese(r) Client(s) ihr Ziel erreichen dürfen.
Möglichkeit 4 ist, Alternativen zu den Anwendungen zu finden und diese zukünftig einzusetzen.
