Squid autentifiziert sich am Domino-LDAP

    Hi,


    hat schon mal jemand von Euch versucht, Domino-Accounts zur Authentifizierung am Squid zu nutzen? Das sollte ja irgendwie über LDAP funktionieren. Bin für jeden Hinweis dankbar.

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Hi,


    mein Problem ist einfach, daß ich null Peilung von Squid im Zusammenhang mit Auth habe. Im Domino muß ich sicherlich nur LDAP so konfigurieren, daß das Internetkennwort (Hash) herausrückt. Aber dann ... ?

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Du brauchst nur den LDAP Task aktivieren und entweder den anonymen LDAP Zugriff erlauben oder aber einen entsprechenden Benutzer einzurichten.


    Für squid gibt es dann ein Programm squid_ldap_auth, das mit einer entsprechenden LDAP Suchformel, Server und Benutzer/Passwort dann einfach Benutzername und Passwort an den Domino gibt und entweder OK oder ERR zurückbekommt.

    Hi,


    ich habe die squid.conf angepasst. Was muß ich genau bei der Suchformel noch eintragen? Mir fehlt wahrscheinlich der Teil, wo er Benutzername und Kennwort übergibt?

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Hi,


    in meiner Testumgebung ist SQUID jungfräulich.


    Die Zeile sieht bei mir jetzt so aus:


    auth_param basic program /usr/sbin/squid_ldap_auth -b "ou=sub,o=org" -h 10.3.0.7 -p 389 -D cn=Domino7 -w Domino7

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Hi,


    kannst Du mir mal die beiden Zeilen als Beispiel schicken ...


    Ich finde nichts in der Doku dazu


    Das Anmeldefenster kommt - nur dann komme ich nicht weiter ....

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Also als acl Einträge haben wir folgendes drin


    acl CONNECT method CONNECT
    acl internes_netz src 192.168.85.0/255.255.255.0
    acl password proxy_auth REQUIRED


    Die und der auth_param sollten dann die Abfrage machen.


    Testen kannst du das indem du das Programm squid_ldap_auth direkt auf der Kommandozeile aufrufst und ihm Benutzername und Passwort übergibst.


    Bei einem ERR tut es nicht bzw der Zugriff wurde verweigert, bei OK stimmen der übergebene Benutzername/Passwort

    Hi,


    danke für die Info


    Zitat


    taurec schrieb:
    Testen kannst du das indem du das Programm squid_ldap_auth direkt auf der Kommandozeile aufrufst und ihm Benutzername und Passwort übergibst.


    ... und genau da liegt der Hase im Pfeffer. Wie mache ich das nun genau? Ich habe es bis hierher ...


    auth_param basic program /usr/sbin/squid_ldap_auth -b "ou=sub,o=org" -h 10.3.0.7 -p 389 -D cn=Domino7 -w Domino7


    Irgendwie muß ich ja nun noch die Daten aus der Anmeldemaske mit einsortieren ...

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Hi,


    /usr/sbin/squid_ldap_auth -b "o=org" -h 192.168.1.10 -p 389 -D cn=admin -w pass admin pass


    ERR


    :(


    Kann man da irgendwie debuggen ???


    [EDIT]bei ldapsearch muß ich noch ein -x für simply authentification eingeben[/EDIT]

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Also bei mir musste ich noch die LDAP Searchformel mit angeben:


    auth_param basic program /usr/sbin/squid_ldap_auth -b "c=de" -D "CN=LDAP Access" -w pass -f "(&(objectclass=person)(cn=%s))"


    Das authentifiziert unter Verwendung des Common Names als Benutzer.

    Hi,


    probiere ich dann morgen noch aus. Hast Du evtl. noch Änderungen in der /etc/ldap.conf vorgenommen?

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.

    Hi,


    konnte doch nicht so lange warten :)


    Mit dem -f "(&(objectclass=person)(cn=%s))" hats dann funktioniert ....


    Zitat


    taurec schrieb:
    Also bei mir musste ich noch die LDAP Searchformel mit angeben:


    auth_param basic program /usr/sbin/squid_ldap_auth -b "c=de" -D "CN=LDAP Access" -w pass -f "(&(objectclass=person)(cn=%s))"


    Das authentifiziert unter Verwendung des Common Names als Benutzer.


    Ich ernenne Dich hiermit zu Held des Abends - Du hast was gut bei mir :pint: :pint: :pint:

    Für jedes Problem gibt es eine einfache Lösung, die es noch schlimmer macht.