Clark's Home page

Tecnicismi vari di un Sysadmin Linux ma anche qualcosa della sua vita

Squid una modifica per evitare che siano effettuate connessioni non autorizzate. —

Tempo di grandi cambiamenti in azienda a breve partirà la realizzazione di VLAN dedicate, sino ad oggi un po per comodità un po per innocenza sciocca abbiamo gestito tutto sotto un unica LAN dando i permessi da AD, con l’avvento di NIS2 del GDPO, dell’industria 4.0 e chi più ne più ne metta si è reso necessario mettere in pista questa cosa.

Però per il momento si trattava di impedire l’accesso ad internet ad alcune macchine e quindi ho dovuto trovare una soluzione che non fosse invasiva in modo inaccettabile ma che servisse allo scopo.
Le strade erano due la prima era di bloccare sul firewall in uscita sulle porta 80 e 443 da quelle macchine che erano comunque poche, la seconda agire tramite proxy che mi pareva una soluzione un po più pulita quindi mi sono messo in caccia e ho trovato questa opzione per squid  –require-membership-of=dominio\gruppo che era esattamente quel che mi serviva visto che il nostro proxy usa  auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp e auth_param basic program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-basic per l’autenticazione.

Quindi su AD mi sono creato il gruppo Internet_access e ci ho messo dentro tutte le login che possono accedere a internet, e ho aggiunto alle due stringhe di autenticazione l’opzione –require-membership-of=INTRANET\Internet_access ma non c’è stato verso di farlo funzionare, loggandomi come utente ammesso mi chiedeva utente e password e pur dandogli valori corretti non mi permetteva l’accesso, ci ho davvero lavorato su molto ma non riuscivo a trovare un sistema per farlo funzionare.

La ricerca in internet mi ha portato a questo link

https://lists.squid-cache.org/pipermail/squid-users/2019-February/020201.html

Che sostanzialmente diceva la stessa cosa degli altri link che avevo studiato ma proponeva anche di usare il SID del gruppo da ricavarsi con wbinfo -n INTRANET\Internet_access che restituisce S-1-5-21-4195839646-2535273969-1743056692-5106

Onestamente molto scettico ho provato con questa grammatica e invece con non poca sorpresa nella forma senza gli “” ad inizio e fine ha funzionato a dovere

Tagged with: |

Categorised as: Linux | proxy | Work

Comments are disabled on this post

Comments are closed.

Hide picture