[linux] SQUID + LDAP

Martin Kyrc horol na developers.sk
Čtvrtek Květen 13 09:46:46 CEST 2004 

Zdravim konferu,
snazim sa vyriesit autentifikaciu pouzivatelov na proxy serveri SQUID
cez LDAP, no zastal som na mrtvom bode.

slapd 2.1.23-1
squid 2.5.5-2

hierarchia databazy je nasledovna:

        (dc=test)
    +-----+------+	
    |            |
(cn=admin)   (ou=skupina)
              |      |...
	(uid=janko) (uid=marienka)

(skusal som uvadzat zaznamy 'uid' aj priamo pod uzol 'dc', ale
nepomohlo)


$ ldapsearch -x -b "ou=skupina,dc=test"

# extended LDIF
#
# LDAPv3
# base <ou=skupina,dc=test> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# skupina, test
dn: ou=skupina,dc=test
objectClass: top
objectClass: organizationalUnit
ou: skupina

# janko, skupina, test
dn: uid=janko,ou=skupina,dc=test
objectClass: top
objectClass: posixaccount
objectClass: person
uid: janko
cn: janko
sn: janko hrasko
uidNumber: 100
gidNumber: 1
homeDirectory: /home/janko

# marienka, skupina, test
dn: uid=marienka,ou=skupina,dc=test
objectClass: top
objectClass: posixaccount
objectClass: person
uid: marienka
cn: marienka
sn: janko hrasko
uidNumber: 100
gidNumber: 1
homeDirectory: /home/janko

# search result
search: 2
result: 0 Success

# numResponses: 4
# numEntries: 3
$

test autorizacie squidu skusam takto:
$ /usr/lib/squid/ldap_auth -b "ou=skupina,dc=test" localhost

a nasledne zadam login a heslo, no stale dostanem odpoved ERR.


otazka1:
Je vyssie uvedeny format db pouzitelny pre potreby squidu?
Predpokladam, ze je to v podstate jedno, kedze sa to da ovlivnit
parametrom -b binarky ldap_auth.

otazka2:
Nie som si isty akym sposobom vlozit do LDIF suboru heslo userov (userov
nekonvertujem z existujuceho suboru /etc/passwd). skusam mkpasswd,
pripadne s parametrom -Hdes, alebo -Hmda5. do users.ldif (LDIF subor,
ktory importujem) potom vkladam tento retazec do atributu 
userpassword: {MD5}vystup_mkpasswd
ako sem dostat napr. format SHA?

otazka3: 
podla akych atributov overuje ldap_auth? je to uid (login), a
userpassword?

otazka4:
vy vyssie uvedena 'filozofia' spravna? ako 'elegantnejsie' urobit
overovanie userov cez ldap?


vdaka za vsetky nakopnutia.
-- 
horol

Další informace o konferenci linux