LDAP Authentifizierung mit Squid
Hallo,
ich habe versucht mit Squid2.5 einen Proxy mit LDAP authentifuzierung zu bauen, der funktioniert auch gut nur gibt es eine möglichkeit das man mehrere LDAP optionen abfragt um somit verschiedenen Nutzergruppen verschiedenes zu erlauben?
So in etwa soll das dann gehen:
User1: ist in gruppe ftpuser oder hat option useftp. -> soll nur auf ftp server zugreifen dürfen
User2: ist in gruppe httpuser oder hat option usehttp. -> soll nur auf http server zugreifen dürfen
User3: hat beide optionen oder ist in beiden gruppen. -> soll beides dürfen
User4: hat ist in kerner der gruppen und hat keine der oprionen -> soll nicht ins netz dürfen
wie kann ich das umbauen das es so funktioniert wie beschrieben
meine bisherige squid.conf macht nur die abfrage ob der user ins netz darf oder nicht:
ich habe versucht mit Squid2.5 einen Proxy mit LDAP authentifuzierung zu bauen, der funktioniert auch gut nur gibt es eine möglichkeit das man mehrere LDAP optionen abfragt um somit verschiedenen Nutzergruppen verschiedenes zu erlauben?
So in etwa soll das dann gehen:
User1: ist in gruppe ftpuser oder hat option useftp. -> soll nur auf ftp server zugreifen dürfen
User2: ist in gruppe httpuser oder hat option usehttp. -> soll nur auf http server zugreifen dürfen
User3: hat beide optionen oder ist in beiden gruppen. -> soll beides dürfen
User4: hat ist in kerner der gruppen und hat keine der oprionen -> soll nicht ins netz dürfen
wie kann ich das umbauen das es so funktioniert wie beschrieben
meine bisherige squid.conf macht nur die abfrage ob der user ins netz darf oder nicht:
#port
http_port 8080
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
#auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
# angepasste auth
auth_param basic program /usr/sbin/squid_ldap_auth -b "o=isp" -f "(&(uid=%s)(usehttp=active))" ldap.server
acl ldap-auth proxy_auth REQUIRED
http_access allow ldap-auth
cache_dir diskd /data/squid/cache 33000 30 500
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_reply_access allow all
icp_access allow all
cache_effective_user squid
coredump_dir /var/cache/squid
cache_effective_group nogroup
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 28039
Url: https://administrator.de/contentid/28039
Ausgedruckt am: 25.11.2024 um 21:11 Uhr
1 Kommentar
Da Squid selbst nur eine Quelle für die Authentifizierung kennt kommst du da mit Bordmitteln nicht weiter.
Was Du brauchst ist ein externer Redirector, wie bspw. http://www.squidguard.org/
Was Du brauchst ist ein externer Redirector, wie bspw. http://www.squidguard.org/