Hi,
hat schon mal jemand von Euch versucht, Domino-Accounts zur Authentifizierung am Squid zu nutzen? Das sollte ja irgendwie über LDAP funktionieren. Bin für jeden Hinweis dankbar.
Hi,
hat schon mal jemand von Euch versucht, Domino-Accounts zur Authentifizierung am Squid zu nutzen? Das sollte ja irgendwie über LDAP funktionieren. Bin für jeden Hinweis dankbar.
Klar, wir setzen das bei uns sogar ein.
Wo genau liegt denn dein Problem ?
Hi,
mein Problem ist einfach, daß ich null Peilung von Squid im Zusammenhang mit Auth habe. Im Domino muß ich sicherlich nur LDAP so konfigurieren, daß das Internetkennwort (Hash) herausrückt. Aber dann ... ?
Du brauchst nur den LDAP Task aktivieren und entweder den anonymen LDAP Zugriff erlauben oder aber einen entsprechenden Benutzer einzurichten.
Für squid gibt es dann ein Programm squid_ldap_auth, das mit einer entsprechenden LDAP Suchformel, Server und Benutzer/Passwort dann einfach Benutzername und Passwort an den Domino gibt und entweder OK oder ERR zurückbekommt.
Hi,
ich habe die squid.conf angepasst. Was muß ich genau bei der Suchformel noch eintragen? Mir fehlt wahrscheinlich der Teil, wo er Benutzername und Kennwort übergibt?
Hattest du davor schon irgendeine Authentifizierung laufen ?
Dann kannst du die acl genau so lassen
Hi,
in meiner Testumgebung ist SQUID jungfräulich.
Die Zeile sieht bei mir jetzt so aus:
auth_param basic program /usr/sbin/squid_ldap_auth -b "ou=sub,o=org" -h 10.3.0.7 -p 389 -D cn=Domino7 -w Domino7
Bei den acls muss eben noch eingetstellt sein dass er einen benutzer abfrägt.
Hi,
kannst Du mir mal die beiden Zeilen als Beispiel schicken ...
Ich finde nichts in der Doku dazu
Das Anmeldefenster kommt - nur dann komme ich nicht weiter ....
Kann ich, aber erst heute abend.
Auswendig weiss ich sie auch nicht
Also als acl Einträge haben wir folgendes drin
acl CONNECT method CONNECT
acl internes_netz src 192.168.85.0/255.255.255.0
acl password proxy_auth REQUIRED
Die und der auth_param sollten dann die Abfrage machen.
Testen kannst du das indem du das Programm squid_ldap_auth direkt auf der Kommandozeile aufrufst und ihm Benutzername und Passwort übergibst.
Bei einem ERR tut es nicht bzw der Zugriff wurde verweigert, bei OK stimmen der übergebene Benutzername/Passwort
Hi,
danke für die Info
Zitat
taurec schrieb:
Testen kannst du das indem du das Programm squid_ldap_auth direkt auf der Kommandozeile aufrufst und ihm Benutzername und Passwort übergibst.
... und genau da liegt der Hase im Pfeffer. Wie mache ich das nun genau? Ich habe es bis hierher ...
auth_param basic program /usr/sbin/squid_ldap_auth -b "ou=sub,o=org" -h 10.3.0.7 -p 389 -D cn=Domino7 -w Domino7
Irgendwie muß ich ja nun noch die Daten aus der Anmeldemaske mit einsortieren ...
Meinst du die die der benutzer in der browserbox angibt ?
Die gibst du ein nachdem du mit diesem Aufruf das Tool gestartet hast
Hi,
/usr/sbin/squid_ldap_auth -b "o=org" -h 192.168.1.10 -p 389 -D cn=admin -w pass admin pass
ERR
Kann man da irgendwie debuggen ???
[EDIT]bei ldapsearch muß ich noch ein -x für simply authentification eingeben[/EDIT]
Also bei mir musste ich noch die LDAP Searchformel mit angeben:
auth_param basic program /usr/sbin/squid_ldap_auth -b "c=de" -D "CN=LDAP Access" -w pass -f "(&(objectclass=person)(cn=%s))"
Das authentifiziert unter Verwendung des Common Names als Benutzer.
Hi,
probiere ich dann morgen noch aus. Hast Du evtl. noch Änderungen in der /etc/ldap.conf vorgenommen?
Nein, die ist meines Wissens nach dafür auch nicht zuständig
HI,
es sieht so aus, als ob man da u.a. die Anmeldedaten ablegen kann ...
Hi,
konnte doch nicht so lange warten
Mit dem -f "(&(objectclass=person)(cn=%s))" hats dann funktioniert ....
Zitat
taurec schrieb:
Also bei mir musste ich noch die LDAP Searchformel mit angeben:
auth_param basic program /usr/sbin/squid_ldap_auth -b "c=de" -D "CN=LDAP Access" -w pass -f "(&(objectclass=person)(cn=%s))"
Das authentifiziert unter Verwendung des Common Names als Benutzer.
Ich ernenne Dich hiermit zu Held des Abends - Du hast was gut bei mir :pint: :pint: :pint:
*Grins gern geschehen
Kommst du zum Entwicklercamp dann könnten wir ja dort einen zusammen trinken ?