mgubler
Goto Top

Squid LDAP-Auth. an 2003-Domänencontroller

Hallo zusammen,

auch wenn ich Gefahr laufe zu diesem Thema zu posten, so ist doch jede Squid und PDC - Konfiguration anders.
In meinem Fall haben wir einen DC (Windows 2003) mit AD.
Nun möchte ich auf einem Debian einen Squid einrichten.
Alles schön und gut.
Der Debian läuft auch soweit und lässt Anfragen ans Netz durch.
Nun möchte ich aber mittels LDAP eine Abfrage ob der Benutzer auch diesen Proxy nutzen darf.
Es soll nach Möglichkeit KEINE Abfrage "Benutzername/Passwort" kommen.
Es sollte alles am PDC abgeglichen werden.
Es gibt zwar unmengen an Anleitungen hierzu, jedoch hat bisher keine funktioniert!

Ich hoffe nun hier Hilfe für mein Problem zu finden.

Wer etwas wissen möchte, der kann gerne posten oder mir eine PN schicken.

Danke im voraus,
mgubler

P.S.:
Hier ist die aktuelle squid.conf

http_port 3128
icp_port 0

cache_mem 32 MB
cache_dir ufs /usr/local/squid/cache 100 16 256
ipcache_size 2000

quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 100

acl all src 0.0.0.0/0.0.0.0
#acl manager proto cache_object
#acl localhost src 127.0.0.1/255.255.255.255

#http_access allow all
icp_access allow all

#
#auth_param basic program /usr/lib/squid/ldap_auth -v 3 -b "DC=MEINEDOMAENE, DC=ads" -D "CN=ldapquery, CN=Users, >>DC=MEINEDOMAENE, DC=ads" -w password -f "(&(objectClass=person)(sAMAccountName=%S))" -u sAMAccountName -P >>MEIN_DC_1:3268
#auth_param basic realm
#auth_param basic children 10
#auth_param basic realm Internet
#auth_param basic credentialsttl 120 minutes
#external_acl_type AD_Group %LOGIN /usr/lib/squid/squid_ldap_group -b "DC=MEINEDOMAENE, DC=ads" -f (&(sAMAccountName=%>>u)(memberOf=%g)) -h MEIN_DC_1 -S -D "CN=ldapquery, CN=Users, DC=MEINEDOMAENE, DC=ads" -w password
#acl internetbenutzer external AD_Group cn=squid_internetbenutzer, cn=users, dc=MEINEDOMAENE, dc=ads
#acl edv external AD_Group cn=squid, cn=users, dc=MEINEDOMAENE, dc=ads
#http_access deny edv


#auth_param basic program /usr/lib/squid/ldap_auth -b "OU=Inetuser-Proxy,DC=MEINEDOMAENE,DC=ads" ->>D "CN=ldapquery,CN=Users,DC=MEINEDOMAENE,DC=ads" -w password -f "(&(objectClass="Person)(sAMAccountName=%s))" -u >>sAMAccountName -P MEIN_DC_1:3268
#auth_param basic children 5
#auth_param basic realm Webproxy Authentication
#auth_param basic credentialsttl 5 seconds
#acl password proxy_auth REQUIRED
#external_acl_type ldap_group ttl=5 %LOGIN /usr/lib/squid/squid_ldap_group -h MEIN_DC_1:3268 ->>b "ou=squid,ou=benutzer,dc=MEINEDOMAENE,dc=ads" -B "ou=benutzer,ou=squid,dc=MEINEDOMAENE,dc=ads" -f "(&(cn=%g)>>(member=%u))" -F "sAMAccountName=%s" -D "cn=ldapquery,cn=users,dc=MEINEDOMAENE,dc=ads" -w "password"

#http_access allow all


auth_param basic program /usr/lib/squid/ldap_auth -b "ou=Inetuser-Proxy,dc=MEINEDOMAENE,dc=ads" -f sAMAccountName=%s -h >>MEIN_DC_1 -D "cn=ldapquery,cn=users,dc=MEINEDOMAENE,dc=ads" -w "password"
auth_param basic children 10
auth_param basic realm "Proxy Authentifizierung"

external_acl_type AD_Group %LOGIN /usr/lib/squid/squid_ldap_group -b "ou=Inetuser-Proxy,dc=MEINEDOMAENE,dc=ads" -f (&
(sAMAccountName=%u)(memberOf)%g)) -h MEIN_DC_1 -S -D "cn=ldapquery,cn=users,dc=MEINEDOMAENE,dc=ads" -w "password"

acl wwwgroup external AD_Group cn=squid_edv,ou=users,dc=MEINEDOMAENE,dc=ads

#http_access allow wwwgroup
http_access allow all

cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log

Content-ID: 81653

Url: https://administrator.de/forum/squid-ldap-auth-an-2003-domaenencontroller-81653.html

Ausgedruckt am: 24.12.2024 um 18:12 Uhr

Dani
Dani 26.02.2008, aktualisiert am 18.10.2012 um 18:35:25 Uhr
Goto Top
Hihi,
schau dir mal den Beitrag an...


Gruß
Dani
peerteer
peerteer 06.08.2008 um 17:23:30 Uhr
Goto Top
Hi mgubler,

hab hier glaub ich was für dich Anleitung squid an ads über gruppenzugehörigkeit

ok, ist auch nur wieder ne Anleitung und auch für FreeBSD - aber bei mir hat sie einwandfrei geklappt. Wichtig ist dass du die Ldap anfrage an einen Globalen Katalogserver stellst.

ich hatte damals 3 gruppen darf_nix, darf_ein bissl und darf alles und die User wurden einfach nur den gruppen im Active Directory zugewiesen und jut.

hoffe geholfen zu haben
peerteer