Archiv verlassen und diese Seite im Standarddesign anzeigen : Squid - squid_ldap_group
Tach,
wollte mich mit dem Squid ueber squid_ldap_group an Active Directory anmelden. Die Benutzer der Gruppe internet sollten Zugriff aufs Internet haben.Die Gruppe Internet ist in der Organisationseinheit test. Mein Server hat die IP-Adresse 192.168.1.1. Kann mir jemand den Eintrag schreiben, den ich in der squid.conf machen muss. Benutzer Squid 2.5 Stable4. Benoetige ich, um dies umsetzen zu koennen noch das Modul squid_ldap_auth, oder langt das group Modul. Vielen Dank Sascha
du brauchst auch das ldap auth module ...
auth_param basic program /usr/local/squid/libexec/squid_ldap_auth -b BASE-DN -f uid=%s LDAPSERVER_IP
auth_param basic children 10
auth_param basic realm "TEXT DER IM BROWSER HOCHPOPPT"
auth_param basic credentialsttl 2 hours
external_acl_type ldapou %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "CN-DER-GRUPPE" -f "LDAP-FILTER" -B "BASE-DN" -F "LDAP-FILTER" -h LDAP-SERVER
#
acl ACL-NAME external NAME-DER-EXTERNEN-ACL LDAP-GROUP
#
http_access allow ACL-NAME
beispiel:
# -> auth gegen NDS über stunnel (SSL Verschlüsselung) -> User Auth
auth_param basic program /usr/local/squid/libexec/squid_ldap_auth -b o=test -f cn=%s 127.0.0.1
# 10 children funzen optimal
auth_param basic children 10
# was bekommt der user zu sehn ?
auth_param basic realm Stadtsparkasse Muenchen - Usercheck
# cache die infos 2 stunden
auth_param basic credentialsttl 2 hours
# ldap entrys die gesucht werden sollen:
external_acl_type ldapou %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "ou=MainGroupsTest,o=test" -f "(&(cn=%g)(member=%u)(objectClass=groupOfNames))" -B "o=test" -F "(cn=%s)" -h 127.0.0.1:14000
#
acl internetsurfer external ldapou internet_www
#
http_access allow internetsurfer
hope that helps
Danke fuer die schnelle Antwort. Eine Frage hab ich noch. Habe die ActiveDirectory Strukter ou=test,dc=domaene,dc=de. In der ou test liegt die Gruppe webaccess, in dieser Gruppe sind web01 und web02 Mitglieder. Der User web01 liegt in ou=test,dc=domaene,dc=de, der User web02 aber liegt in ou=technik,dc=domaene,dc=de. Der User web01 funktioniert auch soweit, nur der user web02 (weil er ja nicht in der ou=test sondern in der ou=technik ist) nicht. Wie stelle ich das noch ein, oder welcher Parameter ist dafuer verantwortlich !!
Dank Sascha
wie lautet denn der dn für die webaccess group ? das ist doch die gruppe die interessiert ... der rest ist wurscht ...
-> squid mit ldap auth und gruppen sind immer 2 aktionen:
1) authentication des users selbst
2) gruppenzugehörigkeit checken
also für die gruppenzugehörigkeit sollte es absolut kein problem sein wenn der user an sich unter ner anderen dn hängt
für die auth benötigst du eventuell eine art contextless login ... ich hab leider keine ahung von active directory... wir benutzen ein richtiges directory (http://www.novell.com/de-de/products/edirectory/) und nicht eine vergewaltigte nt domäne ;)
guten tag
Original geschrieben von Bauchi
external_acl_type ldapou %LOGIN /usr/local/squid/libexec/squid_ldap_group -b usw.
#
gilt diese zeile auch für squid_ldap_auth? mit andern worten, kann ich anstatt squid_ldap_group auch squid_ldap_auth und den nötigen optionen angeben?
die zeile da sorgt dafür das nach der erfolgten authentication gegen das directory dann auch noch in der gruppe gesucht wird ob der da mitglied ist ...
wenn du nur die ldap auth willst, dann langt das auth_param basic programm ...
hallo,
ich lasse das thema, aus für mich aktuellem anlaß, wieder aufleben.
ich bin dabei die authentifizierung beim squid von smb_auth auf die ldap-authentifizierung umzustellen, da demnächst eine domänen-migration stattfindet.
bei der alten authentifizierung war es bisher so, dass die benutzer im browser noch einmal ihre anmelde daten der nt4-domäne angeben mußten. dies soll nach möglichkeit nicht mehr nötig sein. ich möchte, dass die mitgliedschaft der gruppe , in der allte benutzer aufgenommen sind, die in internet dürfen, durch squid überprüft wird.
die gruppe HTTP_User liegt in folgender Organisationseinheit TestOU, die direkt unter dem verzeichnisstamm der test.unternehmen.de leigt.
ou=TestOU,dc=test,dc=unternehmen,dc=de
in der squid.conf habe ich nun folgende Einträge und möchte den squid_ldap_auth-auftruf vor dem einsatz testen.
auth_param basic program /usr/local/squid/libexec/squid_ldap_auth -b ou=TestOU,dc=test,dc=unternehmen,dc=de -f cn=%s 192.168.1.1
auth_param basic children 10
auth_param basic realm Internetzugang
auth_param basic credentialsttl 2 hours
external_acl_type ldapou %LOGIN /usr/local/squid/libexec/squid_ldap_group -b HTTP_User -f "LDAP-FILTER" -B ou=TestOU,dc=test,dc=unternehmen,dc=de -F "LDAP-FILTER" -h 192.168.1.1
#
acl ACL-NAME external NAME-DER-EXTERNEN-ACL LDAP-GROUP
#
http_access allow ACL-NAME
sind meine angaben in den auth_param und den external_acl_typ auftruf richtig eingetragen oder sind dort noch änderungen vorzunehmen.
schonmal danke im voraus für die hilfe
gruß
felix
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.