Linux Squid + WIN AD autentifikacija – deo 1 uvod

Šta je potrebno postići :
Da se korisnici (koji su na WIN 7 mašinama, i koriste IE) autentifikuju na Squid Proxy serveru kada izlaze na Internet, ali kroz secure vezu. Autentifikacija treba da se vuče sa WIN AD servera. Oba puta (između proxy servera i klijenta i između proxy servera i WIN AD servera) treba da su secure.
Napomena : ja koristim RHEL ili CentOS Linux.

Šta su opcije
Povezivanje Squid-WIN AD
Na proxy serveru postaviti LDAP (Lightweight Directory Access Protocol, open, vendor-neutral, industry standard application protocol for accessing and maintaining distributed directory information services over an Internet Protocol (IP) network), da bi on razgovarao sa WIN AD.
Na proxy serveru postaviti Samba Winbind, da bi on razgovarao sa WIN AD.
Kerberos is a network authentication protocol. It is designed to provide strong authentication for client/server applications by using secret-key cryptography. Kerberos needs to have the time syncronised with Windows Domain Controllers for authentication. Kerberos nosi sa sobom automatsko osiguranje komunikacije, što je velika prednost.
NSS – Name Service Switch – it is a facility in Unix-like operating systems that provides a variety of sources for common configuration databases and name resolution mechanisms. These sources include local operating system files (such as /etc/passwd, /etc/group, and /etc/hosts), the Domain Name System (DNS), the Network Information Service (NIS), and LDAP.
NSS omogućava da se razni podaci, vezani za nalog (user info, mail adresa, hostname, aliases) sakuplja iz više različitih izvora. Takođe omogućava da se Winbind pojavi kao izvor podataka pri razlučivanju Linux user+passord podataka.
Glavni konfiguracioni fajl NSS-a je /etc/nsswitch
PAM – Winbind uses the authentication management and password management PAM interface to integrate Windows NT users into a UNIX system.
Samba+Winbind (Winbind je deo Sambe) – Winbind vereint die UNIX- und Windows NT-Konten-Verwaltung, indem es einer UNIX-Maschine erlaubt, ein vollwertiges Mitglied einer NT-Domäne zu werden.
Winbind konvertuje WIN RID-ove (relative identifier) u Linux ID-jeve.
Winbind provides three separate functions:
*Authentication of user credentials (via PAM). This makes it possible to log onto a UNIX/Linux system using user and group accounts from a Windows NT4 (including a Samba domain) or an Active Directory domain.
*Identity resolution (via NSS). This is the default when winbind is not used.
*Winbind maintains a database called winbind_idmap.tdb in which it stores mappings between UNIX UIDs, GIDs, and NT SIDs. This mapping is used only for users and groups that do not have a local UID/GID.

Dakle :
Samba (Winbind kao njen deo) proksira komunikaciju između PAM+NSS na Linux-u i AD na WIN serveru.
Winbind koristi Kerberos za autentifikaciju nad WIN AD.
Winbind koristi LDAP da povuče podatke o nalozima i grupama sa WIN AD-a.

Neophodni početni uslovi
1. Usklađeno vreme između Linux i WIN servera (ako koriste iste NTP servere, to je to), ali i hostova u mreži. Kerberos ne trpi razliku veću od 5min.
2. Voditi računa o tome da Squid NE MOŽE da povuče AD grupe povezane sa određenim nalogom.
3. Podesiti direktne DNS i reverzne DNS zapise, tako da se Linux i AD server pinguju međusobno po imenima i IP adresama
4. Podesiti nalog na AD koji je RO, ali ima pristupa svim ostalim nalozima

Ovde je odličan dokument za razumevanje cele ove (prilično komplikovane) zavrzlame.