2
Squid LDAP-Auth. an 2003-Domänencontroller
Hallo zusammen,
auch wenn ich Gefahr laufe zu diesem Thema zu posten, so ist doch jede Squid und PDC - Konfiguration anders.
In meinem Fall haben wir einen DC (Windows 2003) mit AD.
Nun möchte ich auf einem Debian einen Squid einrichten.
Alles schön und gut.
Der Debian läuft auch soweit und lässt Anfragen ans Netz durch.
Nun möchte ich aber mittels LDAP eine Abfrage ob der Benutzer auch diesen Proxy nutzen darf.
Es soll nach Möglichkeit KEINE Abfrage "Benutzername/Passwort" kommen.
Es sollte alles am PDC abgeglichen werden.
Es gibt zwar unmengen an Anleitungen hierzu, jedoch hat bisher keine funktioniert!
Ich hoffe nun hier Hilfe für mein Problem zu finden.
Wer etwas wissen möchte, der kann gerne posten oder mir eine PN schicken.
Danke im voraus,
mgubler
P.S.:
Hier ist die aktuelle squid.conf
auch wenn ich Gefahr laufe zu diesem Thema zu posten, so ist doch jede Squid und PDC - Konfiguration anders.
In meinem Fall haben wir einen DC (Windows 2003) mit AD.
Nun möchte ich auf einem Debian einen Squid einrichten.
Alles schön und gut.
Der Debian läuft auch soweit und lässt Anfragen ans Netz durch.
Nun möchte ich aber mittels LDAP eine Abfrage ob der Benutzer auch diesen Proxy nutzen darf.
Es soll nach Möglichkeit KEINE Abfrage "Benutzername/Passwort" kommen.
Es sollte alles am PDC abgeglichen werden.
Es gibt zwar unmengen an Anleitungen hierzu, jedoch hat bisher keine funktioniert!
Ich hoffe nun hier Hilfe für mein Problem zu finden.
Wer etwas wissen möchte, der kann gerne posten oder mir eine PN schicken.
Danke im voraus,
mgubler
P.S.:
Hier ist die aktuelle squid.conf
http_port 3128
icp_port 0
icp_port 0
cache_mem 32 MB
cache_dir ufs /usr/local/squid/cache 100 16 256
ipcache_size 2000
cache_dir ufs /usr/local/squid/cache 100 16 256
ipcache_size 2000
quick_abort_min 0 KB
quick_abort_max 0 KB
quick_abort_pct 100
quick_abort_max 0 KB
quick_abort_pct 100
acl all src 0.0.0.0/0.0.0.0
#acl manager proto cache_object
#acl localhost src 127.0.0.1/255.255.255.255
#acl manager proto cache_object
#acl localhost src 127.0.0.1/255.255.255.255
#http_access allow all
icp_access allow all
icp_access allow all
#
#auth_param basic program /usr/lib/squid/ldap_auth -v 3 -b "DC=MEINEDOMAENE, DC=ads" -D "CN=ldapquery, CN=Users, >>DC=MEINEDOMAENE, DC=ads" -w password -f "(&(objectClass=person)(sAMAccountName=%S))" -u sAMAccountName -P >>MEIN_DC_1:3268
#auth_param basic realm
#auth_param basic children 10
#auth_param basic realm Internet
#auth_param basic credentialsttl 120 minutes
#external_acl_type AD_Group %LOGIN /usr/lib/squid/squid_ldap_group -b "DC=MEINEDOMAENE, DC=ads" -f (&(sAMAccountName=%>>u)(memberOf=%g)) -h MEIN_DC_1 -S -D "CN=ldapquery, CN=Users, DC=MEINEDOMAENE, DC=ads" -w password
#acl internetbenutzer external AD_Group cn=squid_internetbenutzer, cn=users, dc=MEINEDOMAENE, dc=ads
#acl edv external AD_Group cn=squid, cn=users, dc=MEINEDOMAENE, dc=ads
#http_access deny edv
#auth_param basic program /usr/lib/squid/ldap_auth -v 3 -b "DC=MEINEDOMAENE, DC=ads" -D "CN=ldapquery, CN=Users, >>DC=MEINEDOMAENE, DC=ads" -w password -f "(&(objectClass=person)(sAMAccountName=%S))" -u sAMAccountName -P >>MEIN_DC_1:3268
#auth_param basic realm
#auth_param basic children 10
#auth_param basic realm Internet
#auth_param basic credentialsttl 120 minutes
#external_acl_type AD_Group %LOGIN /usr/lib/squid/squid_ldap_group -b "DC=MEINEDOMAENE, DC=ads" -f (&(sAMAccountName=%>>u)(memberOf=%g)) -h MEIN_DC_1 -S -D "CN=ldapquery, CN=Users, DC=MEINEDOMAENE, DC=ads" -w password
#acl internetbenutzer external AD_Group cn=squid_internetbenutzer, cn=users, dc=MEINEDOMAENE, dc=ads
#acl edv external AD_Group cn=squid, cn=users, dc=MEINEDOMAENE, dc=ads
#http_access deny edv
#auth_param basic program /usr/lib/squid/ldap_auth -b "OU=Inetuser-Proxy,DC=MEINEDOMAENE,DC=ads" ->>D "CN=ldapquery,CN=Users,DC=MEINEDOMAENE,DC=ads" -w password -f "(&(objectClass="Person)(sAMAccountName=%s))" -u >>sAMAccountName -P MEIN_DC_1:3268
#auth_param basic children 5
#auth_param basic realm Webproxy Authentication
#auth_param basic credentialsttl 5 seconds
#acl password proxy_auth REQUIRED
#external_acl_type ldap_group ttl=5 %LOGIN /usr/lib/squid/squid_ldap_group -h MEIN_DC_1:3268 ->>b "ou=squid,ou=benutzer,dc=MEINEDOMAENE,dc=ads" -B "ou=benutzer,ou=squid,dc=MEINEDOMAENE,dc=ads" -f "(&(cn=%g)>>(member=%u))" -F "sAMAccountName=%s" -D "cn=ldapquery,cn=users,dc=MEINEDOMAENE,dc=ads" -w "password"
#auth_param basic children 5
#auth_param basic realm Webproxy Authentication
#auth_param basic credentialsttl 5 seconds
#acl password proxy_auth REQUIRED
#external_acl_type ldap_group ttl=5 %LOGIN /usr/lib/squid/squid_ldap_group -h MEIN_DC_1:3268 ->>b "ou=squid,ou=benutzer,dc=MEINEDOMAENE,dc=ads" -B "ou=benutzer,ou=squid,dc=MEINEDOMAENE,dc=ads" -f "(&(cn=%g)>>(member=%u))" -F "sAMAccountName=%s" -D "cn=ldapquery,cn=users,dc=MEINEDOMAENE,dc=ads" -w "password"
#http_access allow all
auth_param basic program /usr/lib/squid/ldap_auth -b "ou=Inetuser-Proxy,dc=MEINEDOMAENE,dc=ads" -f sAMAccountName=%s -h >>MEIN_DC_1 -D "cn=ldapquery,cn=users,dc=MEINEDOMAENE,dc=ads" -w "password"
auth_param basic children 10
auth_param basic realm "Proxy Authentifizierung"
auth_param basic children 10
auth_param basic realm "Proxy Authentifizierung"
external_acl_type AD_Group %LOGIN /usr/lib/squid/squid_ldap_group -b "ou=Inetuser-Proxy,dc=MEINEDOMAENE,dc=ads" -f (&
(sAMAccountName=%u)(memberOf)%g)) -h MEIN_DC_1 -S -D "cn=ldapquery,cn=users,dc=MEINEDOMAENE,dc=ads" -w "password"
(sAMAccountName=%u)(memberOf)%g)) -h MEIN_DC_1 -S -D "cn=ldapquery,cn=users,dc=MEINEDOMAENE,dc=ads" -w "password"
acl wwwgroup external AD_Group cn=squid_edv,ou=users,dc=MEINEDOMAENE,dc=ads
#http_access allow wwwgroup
http_access allow all
http_access allow all
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
cache_log /var/log/squid/access.log
cache_store_log /var/log/squid/store.log
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 81653
Url: https://administrator.de/contentid/81653
Ausgedruckt am: 15.11.2024 um 15:11 Uhr
2 Kommentare
Neuester Kommentar
Hi mgubler,
hab hier glaub ich was für dich Anleitung squid an ads über gruppenzugehörigkeit
ok, ist auch nur wieder ne Anleitung und auch für FreeBSD - aber bei mir hat sie einwandfrei geklappt. Wichtig ist dass du die Ldap anfrage an einen Globalen Katalogserver stellst.
ich hatte damals 3 gruppen darf_nix, darf_ein bissl und darf alles und die User wurden einfach nur den gruppen im Active Directory zugewiesen und jut.
hoffe geholfen zu haben
peerteer
hab hier glaub ich was für dich Anleitung squid an ads über gruppenzugehörigkeit
ok, ist auch nur wieder ne Anleitung und auch für FreeBSD - aber bei mir hat sie einwandfrei geklappt. Wichtig ist dass du die Ldap anfrage an einen Globalen Katalogserver stellst.
ich hatte damals 3 gruppen darf_nix, darf_ein bissl und darf alles und die User wurden einfach nur den gruppen im Active Directory zugewiesen und jut.
hoffe geholfen zu haben
peerteer
