[linux] SQUID + LDAP

Martin Kyrc martin.kyrc na gjavsnv.edu.sk
Čtvrtek Květen 13 15:01:08 CEST 2004 

On Thu, May 13, 2004 at 12:36:12PM +0200, Karol Mares wrote:
> Zdravim,
> 
> * Martin Kyrc (horol na developers.sk) wrote:
> > Zdravim konferu,
> > snazim sa vyriesit autentifikaciu pouzivatelov na proxy serveri SQUID
> > cez LDAP, no zastal som na mrtvom bode.
> > 
> > test autorizacie squidu skusam takto:
> > $ /usr/lib/squid/ldap_auth -b "ou=skupina,dc=test" localhost
> > 
> > a nasledne zadam login a heslo, no stale dostanem odpoved ERR.
> > 
> > 
> > otazka1:
> > Je vyssie uvedeny format db pouzitelny pre potreby squidu?
> > Predpokladam, ze je to v podstate jedno, kedze sa to da ovlivnit
> > parametrom -b binarky ldap_auth.
> 
>  squid_ldap_auth...
> 
>  man squid_ldap_auth, mas tam aj overovanie cez -b 

presne toto skusam, ale stale dostanem odpoved ERR

/usr/lib/squid/ldap_auth -b ou=skupina,dc=test localhost
/usr/lib/squid/ldap_auth -b ou=skupina,dc=test -f uid=%s localhost

> > otazka2:
> > Nie som si isty akym sposobom vlozit do LDIF suboru heslo userov (userov
> > nekonvertujem z existujuceho suboru /etc/passwd). skusam mkpasswd,
> > pripadne s parametrom -Hdes, alebo -Hmda5. do users.ldif (LDIF subor,
> > ktory importujem) potom vkladam tento retazec do atributu 
> > userpassword: {MD5}vystup_mkpasswd
> > ako sem dostat napr. format SHA?
> > 

heslo ziskavam takto:
slappasswd -h{SHA}

>  skus napr nieco ako:
>  ldapadd -f nejaky.ldif -xv -D "uid=blabla ,ou=blabla, dc=blabla " -w pass

myslim, ze robim to iste:
ldapadd -x -f user.ldif -w admin_pass -D "cn=admin, dc=test"
(ak pridam este -v, tak vlozenie/modifikacia prebehne v poriadku)

pricom user.ldif je:
dn: uid=janko,ou=skupina,dc=test
objectClass: top
objectClass: posixaccount
objectClass: person
uid: janko
userpassword: {SHA}bgF7VGT4IKbBu16fbXEaZnqA2Oo=
cn: janko
sn: janko hrasko
#givenname: janko
uidnumber: 100
gidnumber: 1
homedirectory: /home/janko

Po vlozeni/aktualizovani zaznamu, je heslo este cryptovane
samotnym ldap-om (userpassword v slapd je ine ako v tom LDIF subore, ale
to je asi v poriadku)

> > otazka3: 
> > podla akych atributov overuje ldap_auth? je to uid (login), a
> > userpassword?

odpovedam si sam: 
login: uid (explicitne sa da zmenit cez '-u')
passwd: userpassword (moze mi to niekto potvrdit?)

> Ja to mam takto:
> 
> squid:
> 
> auth_param basic program /usr/local/squid/libexec/squid_ldap_auth ....
> auth_param basic credentialsttl 1  hours
> http_access allow password
> acl password proxy_auth REQUIRED

mozes plz definovat '....'? :)

> 
> vela stastia
> 
> km
> 
> > 
> > vdaka za vsetky nakopnutia.
> > -- 
> > horol
> > _______________________________________________
> > http://lists.linux.sk/listinfo/linux
> > Prehladavanie archivu: http://search.lists.linux.sk
> > Meta FAQ: http://faq.lists.linux.sk
> _______________________________________________
> http://lists.linux.sk/listinfo/linux
> Prehladavanie archivu: http://search.lists.linux.sk
> Meta FAQ: http://faq.lists.linux.sk

-- 
                                                         \ /
                                                       /\ o -
                                                    /\/  \ \ 
+-[ horol ]----------------------------------------/ /    \---+
| e-mail .............. martin.kyrc(at)gjavsnv(dot)edu(dot)sk |
| ICQ number ....................................... 95090557 |
| IRC nick/channel ..................... horol/ #ta3, #kosice |
+-------------------------------------------------------------+
| Please do not send me any attachments in proprietary        |
| formats (*.doc,*.xls, *.pps,...). Read more at              |       
| http://www.gnu.org/philosophy/no-word-attachments.html      |
+-------------------------------------------------------------+

Další informace o konferenci linux