• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

squid_ldap_auth und pam_auth

E

endor

Member
ich moechte gern einen proxy so zum laufen bringen, dass er die authentifizierung einem ldap server ueberlaesst. hierzu hab ich zwei wege gefunden: squid_ldap_auth und pam_auth.

in der squid.conf hab ich debug_options auf ALL,5. gibt es da eine sinnvolle angabe, die nicht zu viel loggt, aber zumindest den authentifizierungsversuch? in welcher datei schau ich da nach? cache.log?

wenn ich pam_auth verwende, erscheint beim beenden folgende fehlermeldung:
beim beenden
Code: 
Shutting down WWW-proxy squid 2006/09/14 11:42:53| parseConfigFile: line 1243 unrecognized: 'auth_param_basic program /usr/sbin/pam_auth'
access.log
Code: 
403 1534 TCP_DENIED:NONE
das programm gibt es aber an genau dieser position. coolerweise klappt damit sogar die authentifizierung.

wenn ich squid_ldap_auth verwende, dann kommt folgendes:
access.log
Code: 
"407 1837 TCP_DENIED:NONE".
cache.log
Code: 
2006/09/14 11:57:14| authenticateAuthenticate: no connection authentication type
2006/09/14 11:57:14| authenticateValidateUser: Validated Auth_user request '0x83cf548'.
2006/09/14 11:57:14| authenticateValidateUser: Validated Auth_user request '0x83cf548'.
2006/09/14 11:57:14| User not authenticated or credentials need rechecking.
2006/09/14 11:57:14| authenticateValidateUser: Validated Auth_user request '0x83cf548'.
2006/09/14 11:57:14| User not authenticated or credentials need rechecking.
...
2006/09/14 11:57:14| WARNING: All basicauthenticator processes are busy.
2006/09/14 11:57:14| WARNING: up to 1 pending requests queued
FATAL: Too many queued basicauthenticator requests (1 on 0)

oehm, ja.. sind dann wohl zwei probleme? jemand ne idee oder tipps? :)
das die fehlermeldungen in der acces.log anders aussehen.. kann das vielleicht daran liegen, dass ich es mit zwei verschiedenen seiten probiert habe?

tcpdump zeigt auch, dass kein traffc zum ldap server geht.
 
ThomasF

ThomasF

Hacker
Hallo,

ich habe bisher noch nie squid mit ldap zusammen verheiratet ;-)

Ich erinnere mich aber daran in den Sourcen von Gosa eine Configdatei von Squid gesehen zu haben

Die einzige Zeile in dieser squid.conf die etwas mit LDAP zu tun hat ist folgende :

Code: 
...
auth_param basic program /usr/lib/squid/squid_ldap_auth -b ou=People,dc=example,dc=com -f (&(uid=%s)(objectClass=gosaProxyAccount))
...

Wie sieht denn dein Eintrag in der squid.conf aus ?

Kannst du damit etwas anfangen ???

So long

ThomasF
 
OP
E

endor

Member
also ich bin so weit, dass der grossteil der fehler anscheinend darauf zurueck zu fuehren war, dass auf dem lo device keine 127.0.0.1 eingetragen war. warum auch immer -grummel-

jetzt komm ich dahin, dass die authentifizierung ueber squid_ldap_auth funktioniert. aber nur unverschluesselt! so bald ich verschluesselung einschalte (option -Z von squid_ldap_auth), liefert er zugriff verweigert zurueck.
Code: 
Could not Activate TLS connection

merkwuerdigerweise funktioniert die tls verschluesselung aber, wenn ich mich versuche am system anzumelden und in der ldap.conf steht: ssl start_tls.
wenn ich die pam_ldap bibliothek und das squid_ldap_auth ding untersuche scheinen beide auf /lib/tls/* zu verweisen. Optionen kann ich da ja auch nicht angeben.
 
OP
E

endor

Member
ja, hatte ich. da ich das binary pam_auth schon auf dem rechner fand, nahm ich an, ich muesste es nicht nochmal per hand installieren. als ich es auf eben diese weise in die squid.conf eingebunden habe, kam ja der besagte fehler. deswegen hatte ich es jetzt ueber squid_ldap_auth versucht, was ja auch, bis auf die verschlüsselung, geklappt hat. deswegen dachte ich es wäre besser jetzt zu überlegen wieso es mit der verschlüsselung hapert. hab ich ja auch überlegt.. nur bin ich leider nicht sehr weit gekommen. vor allem da die andere ldap verbindung ja verschlüsselt funktioniert.
 
OP
E

endor

Member
kann das was damit zu tun haben: http://sunsite.bilkent.edu.tr/pub/infosystems/Squid/Versions/v2/2.5/bugs/#squid-2.5.STABLE10-LDAP_TLS ?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben