Squid an LDAP [Archiv] - linuxforen.de -- User helfen Usern

Archiv verlassen und diese Seite im Standarddesign anzeigen : Squid an LDAP

pixel

14.09.05, 15:40

Hi@all,

ich möchte meinen Squid an meinen LDAP-Server anbinden. Getrennt voneinander laufen beide Dienste schon problemlos.

Ich habe auch eher eine generelle Frage. Soweit ich mir das aus den Dokus, die ich im Web gefunden habe, entnehme ist das so das ich im LDAP eine Gruppe z.B. "webaccess" anlege und dann alle User die ins Web dürfen dort hinzufüge, richtig?

Im Forum hier habe ich ein Posting gefunden wo ein User die benötigten Zeilen gepostet hat:

auth_param basic program /usr/local/squid/libexec/squid_ldap_auth -b BASE-DN -f uid=%s LDAPSERVER_IP
auth_param basic children 10
auth_param basic realm "TEXT DER IM BROWSER HOCHPOPPT"
auth_param basic credentialsttl 2 hours
external_acl_type ldapou %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "CN-DER-GRUPPE" -f "LDAP-FILTER" -B "BASE-DN" -F "LDAP-FILTER" -h LDAP-SERVER
acl ACL-NAME external NAME-DER-EXTERNEN-ACL LDAP-GROUP
#
http_access allow ACL-NAME

Hierzu hätte ich noch eine Frage zu der Zeile:

external_acl_type ldapou %LOGIN /usr/local/squid/libexec/squid_ldap_group -b "CN-DER-GRUPPE" -f "LDAP-FILTER" -B "BASE-DN" -F "LDAP-FILTER" -h LDAP-SERVER

was gebe ich bei LDAP-FILTER an was ja zweimal in dieser Zeile vorkommt?

Viele Grüße
pixel

pixel

14.09.05, 16:30

Hallo zusammen,

ich bin ein wenig weiter gekommen. Hier zunächst etwas zur Umbegung:

Proxy-Server: 192.168.111.2
LDAP-Server: 192.168.111.1

LDAP-Struktur:

[BaseDN]
dc=softwareschmied

[User]
ou=Users

[Gruppen]
ou=Groups

in den Gruppen habe ich nun eine Gruppe "webaccess" angelegt und alle User die surfen dürfen dort eingetragen -> memberUid

In der squid.conf habe ich nun die Konfiguration wie folg gemacht:

auth_param basic program /usr/sbin/squid_ldap_auth -b dc=softwareschmied -f uid=%s 192.168.111.1

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

external_acl_type ldapou %LOGIN /usr/sbin/squid_ldap_group -b "cn=webaccess,ou=Groups,dc=softwareschmied" -f "(&(cn=%g)(memberUid=%u)(objectClass=webaccess))" -B "cn=softwareschmied" -F "(cn=%s)" -h 192.168.111.1
[...]
hier dazwischen fehlt noch die Definition der ACL.
[...]
http_access allow webaccess

Nun weiß ich aber nicht wie ich die ACL definieren muß.

Wie sieht es mit dem Rest aus, habe ich das richtig drin?

Viele Grüße
pixel

crazygeek

16.09.05, 15:53

ich hab zwar nicht LDAP-Auth aber so müsste es für dich passen:

acl AUTHENTICATE proxy_auth REQUIRED
acl MYNET src 192.168.111.0/255.255.255.0
http_access allow MYNET AUTHENTICATE

in AUTHENTICATE wird definiert dass du dich anmelden musst,
in MYNET ist den subnet definiert
und in http_access ist definiert das MYNET erlaubt wird wenn ATHENTICATE richtig ist...