Mein Arbeitsproxyserver erfordert eine Authentifizierung mit den Benutzeranmeldeinformationen der Microsoft AD-Domäne. Jeder weiß, wie es funktioniert: Wenn Sie sich an einer Windows-Workstation anmelden, werden Ihre browserbasierten Internetzugriffsanforderungen "Internet Explorer" automatisch anhand Ihrer Domain-Anmeldeinformationen authentifiziert (und identifiziert).
Ich fand heraus, dass Firefox sich auch gegen diese Proxyserver authentifizieren kann, und ging lange davon aus, dass sie "etwas Besonderes tun". Kürzlich hat ein Kollege Linux Mint in einer VM installiert und zu meiner Überraschung war er damit beschäftigt, Updates aus dem Internet zu erhalten. Als ich fragte, wie er es zur Arbeit gebracht habe, zuckte er die Achseln und sagte: "Es hat einfach funktioniert."
Dies veranlasste mich, die Proxy-Einstellungen erneut zu überprüfen. Ich führe Kubuntu aus (mit einer Mischung aus G * - und K * -Anwendungen, aber ich verwende die GTK-Anwendungen nur, wenn ich überzeugt bin, dass sie viel besser sind als alles K *)
Ich habe immer noch eine Kopie des Windows-Gasts in einer VirtualBox-VM, hauptsächlich zum Drucken und zum Zugriff auf interne / Unternehmenswebsites (für die sowohl eine Authentifizierung und Identifizierung über MS-Domänenanmeldeinformationen erforderlich ist) als auch zum Ändern meines Domänenkennworts alle paar Tage .
Es wäre also sehr hilfreich, wenn ich [einige / die meisten / alle] meiner Linux-Anwendungen über den Proxyserver zum Laufen bringen könnte. Meine dringendsten Bedürfnisse sind, dass Akregator und Muon arbeiten können. Andere Anwendungen, die davon profitieren können, sind einige Apps, die automatisch aktualisiert werden (z. B. Virtual Box Extentions) oder sich um einen Browser wickeln (Get More Themes / Wall Papers / etc, und die gelegentliche Verwendung von wget).
SSH / SCP-Clients können ohne Authentifizierung über die Firewall arbeiten.
Was ist der richtige Weg (Tool und / oder Verfahren), um dies zu konfigurieren, idealerweise an einem einzigen Ort, da die Pflege meines Passworts an mehreren Orten ein Rezept für die Sperrung meines Kontos ist: - /
Oh, und es wäre ein wahr gewordener Traum, wenn ich das Äquivalent zum Firefox-Dienstprogramm zum Deaktivieren / Aktivieren von Proxys "Quick Proxy" haben könnte, z. B. einen Klick, um die Verwendung von Proxys zu aktivieren oder zu deaktivieren, ohne sich ab- und wieder anzumelden. je nachdem in welchem Netzwerk ich bin. Wenn Sie darüber nachdenken, sollte ein Dienstprogramm trainierbar sein, um Ihre IP-Adresse zu überprüfen und zu wissen, wann Sie den Proxy verwenden müssen! Aber ich schweife ab.
Ich stelle mir vor, dass die Ausführung eines lokalen Proxyservers, der die Authentifizierung dynamisch hinzufügen und bei Bedarf an einen Upstream-Proxyserver weiterleiten kann, die einzige echte Lösung sein könnte.
Antworten:
Lösungsoption : Führen Sie einen Webproxy auf Ihrer Windows-VM aus. Richten Sie Ihr System so ein, dass diese Instanz als Proxy verwendet wird.
Da Ihre Windows-VM bereits authentifiziert ist und Datenverkehr durch sie zugelassen wird, werden durch das Einrichten eines SOCKS-Proxys auf dieser VM-Instanz Ihre Authentifizierungsanforderungen zentralisiert. Wenn es nur für Sie und Ihre Boxen ist, sollte dies in Ordnung sein und ist wahrscheinlich ziemlich einfach.
Huckepack auf dieser Idee ist, einen SSHD-Daemon auf der Windows-VM zum Laufen zu bringen, damit Sie Dinge wie SSH SOCKS-Tunnel von Ihren anderen Boxen über die VM ausführen können:
Für Apps, bei denen möglicherweise Probleme auftreten oder bei denen Sie die Apps nicht neu konfigurieren möchten, können Sie sshtunnel verwenden , mit dem iptables-Regeln für die Weiterleitung des Datenverkehrs eingerichtet werden. Funktioniert für Linux- und Mac-Systeme.
Wenn Sie die Installation eines Proxys auf der Windows-VM selbst vermeiden müssen, können Sie eine Squid-Proxy-Box einrichten, die so konfiguriert ist, dass sie sich bei Windows AD authentifiziert. Eine Anleitung dazu finden Sie hier:
Lösungsoption : Squid Proxy Authentifiziert über AD / NTLM
http://techmiso.com/1934/howto-install-squid-web-proxy-server-with-active-directory-authentication/( toter Link )Eine andere NTLM-Proxy-Lösung, obwohl ich denke, dass diese tatsächlich auf einem Windows-Computer ausgeführt wird:
Lösungsoption : NTLM-Proxy http://cntlm.sourceforge.net/
quelle
http://
bei der Konfiguration des Proxys weggelassen)cntlm
bietet eine Lösung zusammen mit einigen Konfigurationen.Die grundlegenden Schritte sind:
Starten Sie den cntlm-Dienst, z. B. über
Mit cntlm können Sie den Proxy testen und aus Ihrem Kennwort einen Hash generieren - z. B. mit dem Befehl (als root).
cntlm fordert Sie zur Eingabe Ihres Domain-Passworts auf. Anschließend werden verschiedene Authentifizierungsmechanismen für den konfigurierten Proxyserver getestet. Wenn eine Arbeitsmethode gefunden wird, werden zwei Zeilen gedruckt, die in die Konfigurationsdatei aufgenommen werden müssen.
/etc/cntlm.conf
.Jetzt
cntlm
läuft und ist einsatzbereit. An mehreren Stellen können verschiedene Programme für die Verwendung konfiguriert werden.cntlm
Anschließend werden ausgehende Pakete transparent mit NT-Domänenauthentifizierungstoken versehen und an den konfigurierten Proxyserver weitergeleitet.Verwenden von Qt / KDE
Geben Sie für native Qt / KDE-Anwendungen unter " KDE-Systemeinstellungen -> Netzwerkeinstellungen -> Proxyeinstellungen " "Manuell konfigurierten Proxyserver verwenden" an . Der Proxy wird wie
http://localhost
beim Port 3128 angegeben (Standardeinstellung für,cntlm
sofern Sie ihn nicht geändert haben). Diese Anwendungen werden dynamisch mit neuen Einstellungen aktualisiert und es ist kein Neustart oder Abmelden / Anmelden erforderlich, um die Einstellungen zu aktualisieren.Dropbox- und Google-Clients
Viele Anwendungen können Shell-Umgebungsvariablen verwenden. Bemerkenswert sind hier die Dropbox- und Google Earth-Clients. Verwenden Sie für diese Anwendungen folgende Shell-Umgebungsvariablen:
s3cmd, locken & wget
Hinweis: Einige Anwendungen verwenden nur Kleinbuchstaben, andere nur Großbuchstaben. Einige versuchen zuerst den einen und dann den anderen.
s3cmd
(Der Amazon S3-Client)curl
undwget
kann bei Bedarf zusätzlich über eigene Konfigurationsdateien konfiguriert werden. Dies ist praktisch, da sie bei jedem Aufruf ihre eigenen Konfigurationsdateien lesen. Da diese Programme in der Regel nur von kurzer Dauer sind (ein einzelner Aufruf besteht nach Abschluss eines Downloads), ist dies sehr nützlich.Das Format für
s3cmd
in~/.s3cfg
ist:Das Format für wget in
~/.wgetrc
ist:Das Format für
curl
in~/.curlrc
ist:Andererseits erfordert das Bearbeiten des Shell-Profils oder anderer Umgebungskonfigurationsdateien normalerweise einen Neustart, ein Abmelden und ein erneutes Anmelden oder ähnliches. Es lohnt sich zu untersuchen
/etc/environment
,~/.pam_environment
,~/.kde/env/proxy.sh
etc , da diese Standardplätze sind Proxy - Einstellungen über Shell - Umgebungsvariablen konfiguriert setzen, besonders alle Benutzer und Dienste auf dem System zu beeinflussen.Ich verstehe auch, dass es möglich ist, die Umgebungseinstellungen auf Anwendungsbasis unter Verwendung der jeweiligen
.desktop
Dateien zu ändern , habe es jedoch noch nicht (erfolgreich) versucht.VirtualBox
VirtualBox kann so konfiguriert werden, dass ein Proxy (z. B. zum Suchen und Herunterladen von Softwareupdates) über die GUI oder über den folgenden Befehl verwendet wird:
Um der Vollständigkeit halber zu deaktivieren, verwenden Sie:
Feuerfuchs
Für Firefox verwende ich das QuickProxy-Addon. Wenn Firefox selbst manuell für die Verwendung des Proxyservers auf dem lokalen Computer konfiguriert wurde, aktiviert / deaktiviert QuickProxy die Einstellung lediglich.
GEEIGNET
APT (im Hintergrund von Synaptic, Myon und Freunden verwendet) verwendet eine Konfigurationsdatei in
/etc/apt/apt.conf.d/
z. B. Die00proxy
Aktivierung des Proxys für APT erfolgt über folgende Zeilen:Hinweis: add-apt-repository verwendet das Stammprofil, oder Sie können sudo so konfigurieren, dass alle http * _proxy-Einstellungen durchlaufen werden.
Ein Skript, um sie alle zu regieren
FWIW Ich bin gerade dabei, ein modulares Skript zu schreiben, um den Proxy für zahlreiche Programme zu aktivieren / deaktivieren. Ich habe bisher folgende Module geschrieben:
Sowie eine Steuerungsanwendung. Diese werden hoffentlich bald in einen Github oder ein anderes Online-Zuhause verlegt.
quelle
Die Proxy-Authentifizierung mit ntlm wird unter den folgenden Links ausführlich erläutert.
Das Problem mit ntlm ist jedoch, dass Sie die
cntlm
Konfigurationsdatei mehrmals täglich aktualisieren müssen . Stellen Sie sich eine Situation vor, in der verschiedene Benutzer einen gemeinsamen Computer gemeinsam nutzen und beicntlm
jeder Anmeldung am System ihr AD-Kennwort in der Konfigurationsdatei aktualisieren müssen . Möglicherweise steht eine Methode zur Verfügung, mit der diecntlm
Konfigurationsdatei automatisch aktualisiert wird, wenn ein Benutzer angemeldet ist.quelle