1
Squid Kerberos Authentifizierung
squid_kerb_auth mit SquidGuard LDAP-Abfragen
Hallo an alle,
ich habe ein Problem mit meiner Squid-Authentifizierung. Ich habe einen Squid 3.1 mit squid_kerb_auth auf einem Gentoo-System Compiliert und eingrerichtet. Der Squid läuft auch soweit und Authentifiziert sich gegenüber meinem Windows-2003 Domain Controller. Nun würde ich gern noch die SquidGuard Block-Listen an hand von Active-Directory Benutzergruppen steuern. Nun ist aber das Problem, dass der squid_kerb_auth Helper den User als username@domain an den SquidGuard weitergibt. der SquidGuard möchte aber für die LDAP-Abfrage nur den Benutzernamen ohne @Domain haben. Somit findet SquidGuard den Benutzer natürlich nicht in der angegebenen Benuzergruppe.
Meine Konfigurationsdateien sehen wie folgt aus
Squid.conf:
SquidGuard.conf:
Nun ist die Frage ob es möglich ist dem squid_kerb_auth Helper beizubringen den Benutzernamen anders an den squidGuard zu übergeben. Ich hoffe ich konnte mich verständlich ausdrücken und hoffe auch eure Hilfe
Viele Grüße
Taucher4000
ich habe ein Problem mit meiner Squid-Authentifizierung. Ich habe einen Squid 3.1 mit squid_kerb_auth auf einem Gentoo-System Compiliert und eingrerichtet. Der Squid läuft auch soweit und Authentifiziert sich gegenüber meinem Windows-2003 Domain Controller. Nun würde ich gern noch die SquidGuard Block-Listen an hand von Active-Directory Benutzergruppen steuern. Nun ist aber das Problem, dass der squid_kerb_auth Helper den User als username@domain an den SquidGuard weitergibt. der SquidGuard möchte aber für die LDAP-Abfrage nur den Benutzernamen ohne @Domain haben. Somit findet SquidGuard den Benutzer natürlich nicht in der angegebenen Benuzergruppe.
Meine Konfigurationsdateien sehen wie folgt aus
Squid.conf:
......
#--------------------------
#Kerberos Authentifizierung
#--------------------------
auth_param negotiate program /usr/local/squid/sbin/squid_kerb_auth -i -s HTTP/proxysrv01.domain.local
auth_param negotiate children 10
redirect_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
acl AD-AUTH proxy_auth REQUIRED
http_access allow AD-AUTH
http_access deny all
#--------------------------
#Kerberos Authentifizierung
#--------------------------
auth_param negotiate program /usr/local/squid/sbin/squid_kerb_auth -i -s HTTP/proxysrv01.domain.local
auth_param negotiate children 10
redirect_program /usr/local/bin/squidGuard -c /usr/local/squidGuard/squidGuard.conf
acl AD-AUTH proxy_auth REQUIRED
http_access allow AD-AUTH
http_access deny all
SquidGuard.conf:
.....
ldapbinddn cn=proxy-admin, ou=xyz, dc=domain, dc=local
ldapbindpass secret
src icafe {
ldapusersearch ldap://ldapserver:3268/dc=domain,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s(memberOf=cn=Internetzugriff,ou=Gruppenruppenrechte,dc=domain,dc=local))
}
acl {
icafe {
pass !bl_drugs !bl_models !bl_aggressive !bl_porn !bl_redirector !bl_hacking !bl_violence !bl_warez !bl_tracker !bl_custom_bad all
redirect http://proxysrv01/err/err_access_new.php?grund=%t&url=%u
}
ldapbinddn cn=proxy-admin, ou=xyz, dc=domain, dc=local
ldapbindpass secret
src icafe {
ldapusersearch ldap://ldapserver:3268/dc=domain,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s(memberOf=cn=Internetzugriff,ou=Gruppenruppenrechte,dc=domain,dc=local))
}
acl {
icafe {
pass !bl_drugs !bl_models !bl_aggressive !bl_porn !bl_redirector !bl_hacking !bl_violence !bl_warez !bl_tracker !bl_custom_bad all
redirect http://proxysrv01/err/err_access_new.php?grund=%t&url=%u
}
Nun ist die Frage ob es möglich ist dem squid_kerb_auth Helper beizubringen den Benutzernamen anders an den squidGuard zu übergeben. Ich hoffe ich konnte mich verständlich ausdrücken und hoffe auch eure Hilfe
Viele Grüße
Taucher4000
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 152880
Url: https://administrator.de/contentid/152880
Printed on: April 25, 2024 at 17:04 o'clock
1 Comment
Hallo, gibt es dazu irgendeine Lösung?
