Squid Kerberos Authentifizierung
squid_kerb_auth mit SquidGuard LDAP-Abfragen
Hallo an alle,
ich habe ein Problem mit meiner Squid-Authentifizierung. Ich habe einen Squid 3.1 mit squid_kerb_auth auf einem Gentoo-System Compiliert und eingrerichtet. Der Squid läuft auch soweit und Authentifiziert sich gegenüber meinem Windows-2003 Domain Controller. Nun würde ich gern noch die SquidGuard Block-Listen an hand von Active-Directory Benutzergruppen steuern. Nun ist aber das Problem, dass der squid_kerb_auth Helper den User als username@domain an den SquidGuard weitergibt. der SquidGuard möchte aber für die LDAP-Abfrage nur den Benutzernamen ohne @Domain haben. Somit findet SquidGuard den Benutzer natürlich nicht in der angegebenen Benuzergruppe.
Meine Konfigurationsdateien sehen wie folgt aus
Squid.conf:
SquidGuard.conf:
Nun ist die Frage ob es möglich ist dem squid_kerb_auth Helper beizubringen den Benutzernamen anders an den squidGuard zu übergeben. Ich hoffe ich konnte mich verständlich ausdrücken und hoffe auch eure Hilfe
Viele Grüße
Taucher4000
Hallo an alle,
ich habe ein Problem mit meiner Squid-Authentifizierung. Ich habe einen Squid 3.1 mit squid_kerb_auth auf einem Gentoo-System Compiliert und eingrerichtet. Der Squid läuft auch soweit und Authentifiziert sich gegenüber meinem Windows-2003 Domain Controller. Nun würde ich gern noch die SquidGuard Block-Listen an hand von Active-Directory Benutzergruppen steuern. Nun ist aber das Problem, dass der squid_kerb_auth Helper den User als username@domain an den SquidGuard weitergibt. der SquidGuard möchte aber für die LDAP-Abfrage nur den Benutzernamen ohne @Domain haben. Somit findet SquidGuard den Benutzer natürlich nicht in der angegebenen Benuzergruppe.
Meine Konfigurationsdateien sehen wie folgt aus
Squid.conf:
......
#--------------------------
#Kerberos Authentifizierung
#--------------------------
auth_param negotiate program /usr/local/squid/sbin/squid_kerb_auth -i -s HTTP/proxysrv01.domain.local
auth_param negotiate children 10
redirect_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
acl AD-AUTH proxy_auth REQUIRED
http_access allow AD-AUTH
http_access deny all
#--------------------------
#Kerberos Authentifizierung
#--------------------------
auth_param negotiate program /usr/local/squid/sbin/squid_kerb_auth -i -s HTTP/proxysrv01.domain.local
auth_param negotiate children 10
redirect_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
acl AD-AUTH proxy_auth REQUIRED
http_access allow AD-AUTH
http_access deny all
SquidGuard.conf:
.....
ldapbinddn cn=proxy-admin, ou=xyz, dc=domain, dc=local
ldapbindpass secret
src icafe {
ldapusersearch ldap://ldapserver:3268/dc=domain,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s(memberOf=cn=Internetzugriff,ou=Gruppenruppenrechte,dc=domain,dc=local))
}
acl {
icafe {
pass !bl_drugs !bl_models !bl_aggressive !bl_porn !bl_redirector !bl_hacking !bl_violence !bl_warez !bl_tracker !bl_custom_bad all
redirect http://proxysrv01/err/err_access_new.php?grund=%t&url=%u
}
ldapbinddn cn=proxy-admin, ou=xyz, dc=domain, dc=local
ldapbindpass secret
src icafe {
ldapusersearch ldap://ldapserver:3268/dc=domain,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s(memberOf=cn=Internetzugriff,ou=Gruppenruppenrechte,dc=domain,dc=local))
}
acl {
icafe {
pass !bl_drugs !bl_models !bl_aggressive !bl_porn !bl_redirector !bl_hacking !bl_violence !bl_warez !bl_tracker !bl_custom_bad all
redirect http://proxysrv01/err/err_access_new.php?grund=%t&url=%u
}
Nun ist die Frage ob es möglich ist dem squid_kerb_auth Helper beizubringen den Benutzernamen anders an den squidGuard zu übergeben. Ich hoffe ich konnte mich verständlich ausdrücken und hoffe auch eure Hilfe
Viele Grüße
Taucher4000
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 152880
Url: https://administrator.de/forum/squid-kerberos-authentifizierung-152880.html
Ausgedruckt am: 25.12.2024 um 14:12 Uhr
1 Kommentar