User eines SQUID-Proxy gegen LDAP authentifizieren

Möchte man seine Proxy-User nur nach einem Login in das Internet lassen bietet es sich an, die User gegen das ohnehin vorhandene Directory zu authentifizieren. Dazu verwenden man am einfachsten eine LDAP-Anfrage. Zusätzlich soll der Zugriff nur solchen Usern gestattet sein, die auch in einer entsprechenden Gruppe Mitglied sind.

Zunächst die  Authentifizierung:

auth_param basic program /usr/lib/squid/ldap_auth -b “o=FLADI” -f “(&(cn=%s)(objectClass=Person))” -s sub -v 3 -h ldap.fladi.de
Ein paar zusätzlichen Konfigurationen (z.B. Meldung bei erstem Proxy-Kontakt)
auth_param basic children 8
auth_param basic realm Internetzugang bei der Fladi.net
auth_param basic credentialsttl 8 hours
Auslesen der Gruppen des vorher authentifizierten Users
external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -b “o=FLADI” -f “(&(cn=%u)(groupMembership=%g))” -s sub -v 3 -h ldap.fladi.de
Gruppe, in der der User Mitglied sein muss um Zugriff zu erhalten
acl wwwgroup external ldap_group cn=ProxyUser,ou=mynet,o=FLADI
Fertig. ;-)

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>