Tempo di grandi cambiamenti in azienda a breve partir\u00e0 la realizzazione di VLAN dedicate, sino ad oggi un po per comodit\u00e0 un po per innocenza sciocca abbiamo gestito tutto sotto un unica LAN dando i permessi da AD, con l’avvento di NIS2 del GDPO, dell’industria 4.0 e chi pi\u00f9 ne pi\u00f9 ne metta si \u00e8 reso necessario mettere in pista questa cosa.<\/p>\n
Per\u00f2 per il momento si trattava di impedire l’accesso ad internet ad alcune macchine e quindi ho dovuto trovare una soluzione che non fosse invasiva in modo inaccettabile ma che servisse allo scopo.
\nLe strade erano due la prima era di bloccare sul firewall in uscita sulle porta 80 e 443 da quelle macchine che erano comunque poche, la seconda agire tramite proxy che mi pareva una soluzione un po pi\u00f9 pulita quindi mi sono messo in caccia e ho trovato questa opzione per squid\u00a0 –require-membership-of=dominio\\gruppo che era esattamente quel che mi serviva visto che il nostro proxy usa\u00a0 auth_param ntlm program \/usr\/bin\/ntlm_auth –helper-protocol=squid-2.5-ntlmssp e auth_param basic program \/usr\/bin\/ntlm_auth –helper-protocol=squid-2.5-basic per l’autenticazione.<\/p>\n
Quindi su AD mi sono creato il gruppo Internet_access e ci ho messo dentro tutte le login che possono accedere a internet, e ho aggiunto alle due stringhe di autenticazione l’opzione –require-membership-of=INTRANET\\Internet_access ma non c’\u00e8 stato verso di farlo funzionare, loggandomi come utente ammesso mi chiedeva utente e password e pur dandogli valori corretti non mi permetteva l’accesso, ci ho davvero lavorato su molto ma non riuscivo a trovare un sistema per farlo funzionare.<\/p>\n
La ricerca in internet mi ha portato a questo link<\/p>\n