Squid gegen LDAP einer Windows 2003 Domäne prüfen...

Hier eine einfache abfrage aller Benutzer gegen eine Windows 2003 Domäne :

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
auth_param basic realm Den Benutzernamen bitte mit @domäne.de eingeben Bsp. squid@domäne.de

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -P -R -b "(wo sind die benutzer in der ADS)dc=domain,dc=de" -D "(der account der sich für squid zur abfrage an der ADS anmeldet) cn=,dc=domain,dc=de" -w "passwort des accounts" -f "(&(userPrincipalName=%s)(objectClass=User))" -h 123.456.789.000 die IP des ADS katalogservers

nun noch wacker eine passende ACL gebaut

acl ldap-auth proxy_auth REQUIDED

http_access deny !ldap-auth --> allen verbieten, es sei denn deren name gibts in der ADS

das war einfach... :-)

Last update: 18-06-2008 10:40

Squid und Gruppenrechte aus einer Windows2003 ADS über LDAP

Ziel war es gewisse URLs (Ebay, Youtube etc pp) nur einem gewissen Teil der Benutzer zugänglich zu machen.
Als erstes musste eine neue OU namens Squid in die die ADS gebaut werden, in Diese OU legte ich dann neue Gruppen an, in denen die Benutzer waren, die auf diese URLs zugreifen dürfen (vorzugsweise heissen die Gruppen so, wie die URL die sie erlaubt).

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "OU=OU,DC=domäne,DC=de" -D "cn=Account,cn=der,dc=sich,dc=bei ldap anmedet" -w "Passwort des Accounts" -f "(&(objectClass=Person)(sAMAccountName=%s))" -u sAMAccountName -P -h 123.456.789.000 IP des Katalogservers (wichtig ist hier, dass ein katalog server der ADS angegeben wird!)

external_acl_type ldapgroup ttl=600 children=12 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v3 -b "OU=XXX,DC=XXX,DC=XX" -D "CN=squid,CN=users,DC=XXX,DC=XX" -w "XXXXX" -h 123.456.789.000 -f "(&(objectClass=User)(sAMAccountName=%u)(memberOf=CN=%g,OU=Squid,DC=XXX,DC=XX))" -d

hier nun das stück Software, die die Abfrage einer Gruppenmitgliedschaft ermögtlicht squid_ldap_group

external_acl_type ldapgroup ttl=2 children=12 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v3 -b "DC=domäne,DC=de" --> hier angeben wo die benutzer in der ads gesucht werden sollen -D "CN=Benutzer,OU=der,OU=sich,DC=an,DC=LDAP anmeldet" -w "sein passwort" -->kann der gleiche account wie bei squid_ldap_auth sein -h 123.456.789.000 --> IP des ADS-LDAP-SERVERS hier wichtig, dass es der Betriebsmaster der Domäne ist-f "(&(objectClass=User)(sAMAccountName=%u)(memberOf=CN=%g,OU=WO,OU=Die,DC=Gruppen,DC=Sind)) -D -->hier angeben, wo die neue OU mit den Gruppen ist

das war das grundgerüst...nun noch die acls...

als erstes hab ich mir eine datei erzeugt, die ldap-urls.acl heisst, in dieser stehen urls die man nicht betreten darf z.b. youtube.com

acl ldap-urls url_regex "/usr/local/etc/squid/ldap-urls.acl -->squid sagen, welche datei er durchsuchen soll

acl ldapgroup-enabled external ldapgroup youtube --> hier sagen wir squid, welche ADS Gruppe durchsucht werden soll

http_access deny ldap-urls !ldapgroup-enabled --> und nun den Zugang auf grundsätzlich beschränken, es sei denn der benutzer ist in der Gruppe youtube

das war auch nicht wirklich schwer...nur nen bisserl tricky... :-)

Last update: 20-04-2009 14:01