squid basic_ldap_auth 从用户名中去除 nt 域

Question

我需要从基于 Windows 的代理迁移到 Linux 代理。 在旧服务器中，Squid 使用 mswin_auth.exe 针对 Active Directory 域对用户进行身份验证。出于这个原因，我的用户现在在浏览器弹出窗口中输入 ntdomain\username 进行代理身份验证。

在 linux Centos 服务器中 Squid 将使用 basic_ldap_auth，在这种情况下用户不能输入 ntdomain。我的用户改变旧习惯会很烦人。有没有办法从输入的用户名中自动删除 ntdomain？

在 squid.conf 我有

    auth_param basic program /usr/lib64/squid/basic_ldap_auth -R -b "dc=ntdomain,dc=parentd,dc=it" -D "CN=squid,OU=Squid,OU=Sede,DC=ntdomain,DC=parentd,DC=it" -W /etc/squid/squid.adpwd -f sAMAccountName=%s -h vfdc1.ntdomain.parentd.it
        ...
    external_acl_type ldap_group %LOGIN /usr/lib64/squid/ext_ldap_group_acl -R -b "dc=ntdomain,dc=parentd,dc=it" -D "CN=squid,OU=Squid,OU=Sede,DC=ntdomain,DC=parentd,DC=it" -W /etc/squid/squid.adpwd -f "(&(objectclass=person) (sAMAccountname=%u)(memberof:1.2.840.113556.1.4.1941:=cn=%g,OU=Squid,OU=Sede,DC=ntdomain,DC=parentd,DC=it))" -h vfdc1.ntdomain.parentd.it -S

提前致谢

Answer 1

在您的请求中使用 -K 选项（它从用户名中剥离 Kerberos 领域）：

external_acl_type ldap_group %LOGIN /usr/lib64/squid/ext_ldap_group_acl -R -K -b "dc=ntdomain,dc=parentd,dc=it" -D "CN=squid,OU=Squid,OU=Sede,DC =ntdomain,DC=parentd,DC=it" -W /etc/squid/squid.adpwd -f "(&(objectclass=person) (sAMAccountname=%u)(memberof:1.2.840.113556.1.4.1941:=cn =%g,OU=Squid,OU=Sede,DC=ntdomain,DC=parentd,DC=it))" -h vfdc1.ntdomain.parentd.it

一切都很好。

Answer 2

这是我的解决方案：我创建了一个基于 sed 的小型 bash 脚本来剥离域并像在 squid.conf 中一样使用它

auth_param basic program /usr/local/bin/squid_auth

文件 /usr/local/bin/squid_auth 在哪里

#!/bin/bash
/usr/bin/sed -u "s/^ve[\\]//i"|/usr/bin/sed -u "s/^ve%5c//i"|/usr/lib64/squid/basic_ldap_auth  -R -b "dc=ve,dc=dipvvf,dc=it" -D "CN=squid,OU=Squid,OU=Sede,DC=ve,DC=dipvvf,DC=it" -W /etc/squid/squid.adpwd -f sAMAccountName=%s -h vfdc1.ve.dipvvf.it

域名是ve