Zum Inhalt springen

LDAP Authentifizierung + ACLs mit Squid


Empfohlene Beiträge

Geschrieben

Hallo,

ich habe folgendes Problem:

Ein Ziel meiner Projektarbeit lautet: "Protokollierung des Internetverkehrs", sprich es soll protokolliert werden, wann welcher Benutzer auf welcher Seite war.

(Die Datenschutzrechtlichen Dinge habe ich schon alle geklärt: Einsicht in die log-Dateien ist nur mit Einverständnis des Behördenleiters zulässig.)

Ich habe einen Windows 2003 Server als DC eingerichtet und einen Ubuntu Server mit Squid installiert.

Nun möchte ich, dass sich Benutzer, die sich in der Active Directory Ou "Users" befinden über den Squid surfen dürfen.

Alternativ könnte man auch ein ACL verwenden, welches alle User, welche an der Domäne angemeldet sind zulässt.

Ich habe auch schon einen sogenannten "Binduser" eingerichtet, allerdings bekomme ich das korrekte LDAP-Statement und die ACLs nicht eingerichtet. :(

Hier einige Daten:

Domäne:Internet.local

OU in der sich die Benutzer, welche surfen dürfen befinden: cn=Users

Ort des bindusers: cn=binduser,cn=Users,dc=Internet,dc=local

IP des Domänencontrollers (mit AD): 192.168.10.1

Ich habe schon im squid-handbuch nachgeschaut, allerdings sind mir manche Begriffe noch nicht klar, z.B.:

Was ist der Unterschied zwischen auth_param und proxy_auth_realm und was wäre in meinem Fall sinnvoll zu verwenden?

Muss ich für die ACLs zwingend eine Gruppe auf dem DC anlegen, oder kann ich sagen: "Alle Benutzer in der OU Users dürfen surfen?"

Vielleicht habt ihr ja einige Ideen und könntet mir Tipps geben, wie die Authentifizierung + ACLs in der squid.conf auszusehen hat?

Würde mich über einige Antworten freuen.

Gruß

Geschrieben

Hallo,

ich habe Squid mit LDAP zwar noch nicht konfiguriert aber der Pfad für den Binduser muss doch garantiert so lauten:

cn=binduser,ou=Users,dc=Internet,dc=local

In der Regel ist es vollkommen egal in welcher OU sich das Benutzerkonto befindet. Soll heißen. Du benötigst eine Gruppe in der die Surfuser eingetragen sind und der Squid kann dann prüfen ob der User der surfen möchte Mitglied dieser Gruppe ist.

Frank

Geschrieben

Ich habe es jetzt einfach so gemacht, dass jeder Benutzer, der sich am LDAP authentifizieren kann, berechtigt ist.

Hier der Auszug aus der squid.conf:

auth_param_basic program /usr/lib/squid/ldap_auth -R -b dc=Internet,dc=local -D cn=binduser,cn=Users,dc=Internet,dc=local -w passwort -f sAMAcoountName=%s -h 192.168.10.1

acl AD-Auth proxy_auth REQUIRED

http_access allow AD_Auth

So kann nun jeder Benutzer, der sich im AD befindet und sich erfolgreich anmelden kann, surfen.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...