User eines SQUID-Proxy gegen LDAP authentifizieren


Möchte man seine Proxy-User nur nach einem Login in das Internet lassen bietet es sich an, die User gegen das ohnehin vorhandene Directory zu authentifizieren. Dazu verwenden man am einfachsten eine LDAP-Anfrage. Zusätzlich soll der Zugriff nur solchen Usern gestattet sein, die auch in einer entsprechenden Gruppe Mitglied sind.

Zunächst die  Authentifizierung:

auth_param basic program /usr/lib/squid/ldap_auth -b „o=FLADI“ -f „(&(cn=%s)(objectClass=Person))“ -s sub -v 3 -h ldap.fladi.de
Ein paar zusätzlichen Konfigurationen (z.B. Meldung bei erstem Proxy-Kontakt)
auth_param basic children 8
auth_param basic realm Internetzugang bei der Fladi.net
auth_param basic credentialsttl 8 hours
Auslesen der Gruppen des vorher authentifizierten Users
external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -b „o=FLADI“ -f „(&(cn=%u)(groupMembership=%g))“ -s sub -v 3 -h ldap.fladi.de
Gruppe, in der der User Mitglied sein muss um Zugriff zu erhalten
acl wwwgroup external ldap_group cn=ProxyUser,ou=mynet,o=FLADI
Fertig. ;-)