
<font size=2 face="sans-serif">All;</font>

<br>

<br><font size=2 face="sans-serif">we have Squid proxy configured with

Windows SSO with Kerberos which work fine for WIndows AD users.</font>

<br><font size=2 face="sans-serif">we have new requirement where one Linux

application server need to access Internet via squid proxy, we allowed

Linux host access via ACL but  getting denied access error.</font>

<br><font size=2 face="sans-serif">below is the configuration done to allow

Linux Server host IWCCP02.</font>

<br>

<br><font size=2 face="sans-serif">###################################</font>

<br><font size=2 face="sans-serif">auth_param negotiate program /usr/lib64/squid/squid_kerb_auth

-s HTTP/proxy02.cust.in@CUST.IN</font>

<br><font size=2 face="sans-serif">auth_param negotiate children 20</font>

<br><font size=2 face="sans-serif">auth_param negotiate keep_alive on</font>

<br>

<br><font size=2 face="sans-serif">acl ad_auth proxy_auth REQUIRED</font>

<br>

<br><font size=2 face="sans-serif">####  AD Group membership  ####</font>

<br>

<br><font size=2 face="sans-serif">external_acl_type AD_Group ttl=300 negative_ttl=0

%LOGIN /usr/lib64/squid/squid_ldap_group -P -R -b "DC=CUST, DC=IN"

-D svcproxy -W /etc/squid/pswd/pswd -f "(&(objectclass=person)(userPrincipalName=%v)(memberof=cn=%a,ou=InternetAccess,ou=Groups,DC=CUST,

DC=IN))" -h Cust.in -s sub -v 3</font>

<br><font size=2 face="sans-serif">#</font>

<br><font size=2 face="sans-serif">#</font>

<br><font size=2 face="sans-serif">acl USER external AD_Group lgInternetAccess_Users</font>

<br><font size=2 face="sans-serif">acl allowedsite dstdomain "/etc/squid/sitelist/dbs_allowed_site"</font>

<br>

<br><font size=2 face="sans-serif">acl manager proto cache_object</font>

<br><font size=2 face="sans-serif">acl localhost src 127.0.0.1/32 ::1</font>

<br><font size=2 face="sans-serif">acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

::1</font>

<br>

<br><font size=2 face="sans-serif"># Example rule allowing access from

your local networks.</font>

<br><font size=2 face="sans-serif"># Adapt to list your (internal) IP networks

from where browsing</font>

<br><font size=2 face="sans-serif"># should be allowed</font>

<br>

<br><font size=2 face="sans-serif">acl IWCCP01 src 10.xx.15.103  

# Linux Application server</font>

<br><font size=2 face="sans-serif">acl localnet src 10.0.0.0/8    

   # RFC1918 possible internal network</font>

<br><font size=2 face="sans-serif">acl localnet src 172.16.0.0/12  

     # RFC1918 possible internal network</font>

<br><font size=2 face="sans-serif">acl localnet src 192.168.0.0/16  

     # RFC1918 possible internal network</font>

<br><font size=2 face="sans-serif">acl localnet src fc00::/7    

  # RFC 4193 local private network range</font>

<br><font size=2 face="sans-serif">acl localnet src fe80::/10    

 # RFC 4291 link-local (directly plugged) machines</font>

<br><font size=2 face="sans-serif">#</font>

<br><font size=2 face="sans-serif">acl SSL_ports port 443</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 80    

           # http</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 21    

           # ftp</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 443    

           # https</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 70    

           # gopher</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 210    

           # wais</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 1025-65535  

     # unregistered ports</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 280    

           # http-mgmt</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 488    

           # gss-http</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 591    

           # filemaker</font>

<br><font size=2 face="sans-serif">acl Safe_ports port 777    

           # multiling http</font>

<br><font size=2 face="sans-serif">acl CONNECT method CONNECT</font>

<br>

<br><font size=2 face="sans-serif"># Recommended minimum Access Permission

configuration:</font>

<br><font size=2 face="sans-serif">#</font>

<br><font size=2 face="sans-serif"># Only allow cachemgr access from localhost</font>

<br><font size=2 face="sans-serif">http_access allow manager localhost</font>

<br><font size=2 face="sans-serif">http_access deny manager</font>

<br>

<br><font size=2 face="sans-serif"># Deny requests to certain unsafe ports</font>

<br><font size=2 face="sans-serif">http_access deny !Safe_ports</font>

<br>

<br><font size=2 face="sans-serif"># Deny CONNECT to other than secure

SSL ports</font>

<br><font size=2 face="sans-serif">http_access deny CONNECT !SSL_ports</font>

<br>

<br><font size=2 face="sans-serif"># We strongly recommend the following

be uncommented to protect innocent</font>

<br><font size=2 face="sans-serif"># web applications running on the proxy

server who think the only</font>

<br><font size=2 face="sans-serif"># one who can access services on "localhost"

is a local user</font>

<br><font size=2 face="sans-serif">#http_access deny to_localhost</font>

<br>

<br><font size=2 face="sans-serif"># INSERT YOUR OWN RULE(S) HERE TO ALLOW

ACCESS FROM YOUR CLIENTS</font>

<br><font size=2 face="sans-serif">#</font>

<br><font size=2 face="sans-serif"># Example rule allowing access from

your local networks.</font>

<br><font size=2 face="sans-serif"># Adapt localnet in the ACL section

to list your (internal) IP networks</font>

<br><font size=2 face="sans-serif"># from where browsing should be allowed</font>

<br>

<br>

<br><font size=2 face="sans-serif">http_access allow IWCCP01 allowedsite</font>

<br><font size=2 face="sans-serif">http_access allow USER allowedsite</font>

<br><font size=2 face="sans-serif">http_access deny all</font>

<br><font size=2 face="sans-serif">http_access allow ad_auth</font>

<br>

<br><font size=2 face="sans-serif"># And finally deny all other access

to this proxy</font>

<br><font size=2 face="sans-serif">http_access deny all</font>

<br>

<br><font size=2 face="sans-serif"># Squid normally listens to port 3128</font>

<br><font size=2 face="sans-serif">http_port 8080</font>

<br><font size=2 face="sans-serif">never_direct allow all</font>

<br>

<br><font size=2 face="sans-serif">cache_peer 10.xx.xx.108 parent 8080

0 default</font>

<br><font size=2 face="sans-serif">#######################################################################</font>

<br>

<br>

<br><font size=2 face="sans-serif">Thanks & Regards<br>

Nilesh Suresh Gavali<br>

</font><p>=====-----=====-----=====<br>

Notice: The information contained in this e-mail<br>

message and/or attachments to it may contain <br>

confidential or privileged information. If you are <br>

not the intended recipient, any dissemination, use, <br>

review, distribution, printing or copying of the <br>

information contained in this e-mail message <br>

and/or attachments to it are strictly prohibited. If <br>

you have received this communication in error, <br>

please notify us by reply e-mail or telephone and <br>

immediately and permanently delete the message <br>

and any attachments. Thank you</p>


<p></p>