Squid-Kit-ldap: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 48: Zeile 48:
 
*cd /etc/squid
 
*cd /etc/squid
 
*grep "^[^#]" squid.conf.org > squid.conf
 
*grep "^[^#]" squid.conf.org > squid.conf
 +
===Die Änderungen===
 +
*vi /etc/squid/squi.conf
 +
acl localnet src 0.0.0.1-0.255.255.255
 +
acl localnet src 10.0.0.0/8
 +
acl localnet src 100.64.0.0/10
 +
acl localnet src 169.254.0.0/16
 +
acl localnet src 172.16.0.0/12
 +
acl localnet src 192.168.0.0/16
 +
acl localnet src fc00::/7
 +
acl localnet src fe80::/10
  
 +
acl SSL_ports port 443
  
 +
acl Safe_ports port 80
 +
acl Safe_ports port 21
 +
acl Safe_ports port 443
 +
acl Safe_ports port 70
 +
acl Safe_ports port 210
 +
acl Safe_ports port 1025-65535
 +
acl Safe_ports port 280
 +
acl Safe_ports port 488
 +
acl Safe_ports port 591
 +
acl Safe_ports port 777
  
 +
http_access deny !Safe_ports
 +
http_access deny CONNECT !SSL_ports
  
 +
http_access allow localhost manager
 +
http_access deny manager
  
 +
<span style="color:blue"># http_access allow localhost</span>
 +
http_access deny to_localhost
 +
http_access deny to_linklocal
  
;Konfiguration der LDAP-Authentifizierung in Squid.
+
  include /etc/squid/conf.d/*.conf
;Squid prüft Benutzername/Passwort direkt im LDAP.
 
  auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b ou=users,dc=it113,dc=int -D cn=admin,dc=it113,dc=int -w 123Start$ -f uid=%s -h ldap.it113.int
 
auth_param basic children 20 startup=0 idle=1
 
auth_param basic concurrency 0
 
auth_param basic credentialsttl 500 seconds
 
auth_param basic realm xinux proxy server
 
auth_param basic casesensitive off
 
  
;ACL für alle erfolgreich authentifizierten Benutzer.
+
<span style="color:red">auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f uid=%s -h ldap.it213.int</span>
;REQUIRED bedeutet: Login ist zwingend notwendig.
+
<span style="color:red">auth_param basic children 20 startup=0 idle=1</span>
  acl ldap-auth proxy_auth REQUIRED
+
<span style="color:red">auth_param basic concurrency 0</span>
 +
<span style="color:red">auth_param basic credentialsttl 500 seconds</span>
 +
<span style="color:red">auth_param basic realm it213 proxy server</span>
 +
  <span style="color:red">auth_param basic casesensitive off</span>
  
;Erlaubt Zugriff für authentifizierte Benutzer.
+
  <span style="color:red">acl ldap-auth proxy_auth REQUIRED</span>
  http_access allow ldap-auth
 
  
 +
<span style="color:red">http_access allow ldap-auth</span>
  
===Erklärung===
+
http_access deny all
;basic_ldap_auth prüft Benutzername/Passwort gegen LDAP.
 
;-b gibt die Base-DN an, in der gesucht wird.
 
;-D und -w sind die Zugangsdaten für den LDAP-Bind.
 
;-f uid=%s bedeutet: Loginname wird auf das Attribut uid gemappt.
 
;-h ist der LDAP-Server.
 
 
 
;Wichtig:
 
;Für TLS sollte ldaps:// oder StartTLS verwendet werden.
 
;Zertifikate müssen auf dem System vertraut sein.
 
 
 
 
 
===Voraussetzungen im LDAP===
 
;Es muss eine OU für Benutzer existieren.
 
;Benutzer benötigen mindestens uid und userPassword.
 
  
;Beispiel Benutzerstruktur:
+
  http_port 3128
dn: uid=martha,ou=users,dc=it113,dc=int
+
  coredump_dir /var/spool/squid
objectClass: inetOrgPerson
 
objectClass: posixAccount
 
  uid: martha
 
cn: Martha
 
sn: User
 
userPassword: {SSHA}...
 
 
 
;Das Attribut uid wird für den Login verwendet.
 
;Das Passwort muss im LDAP gesetzt sein.
 
 
 
 
 
===Authentifizierung mit LDAP-Gruppen===
 
;Gruppen werden verwendet, um Zugriffe gezielt zu steuern.
 
;Squid fragt dabei LDAP ab, ob ein Benutzer Mitglied einer Gruppe ist.
 
 
 
;Definition einer externen ACL für LDAP-Gruppen.
 
  external_acl_type ldap_group %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -b ou=groups,dc=it113,dc=int -D cn=admin,dc=it113,dc=int -w 123Start$ -f "(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))" -h ldap.it113.int
 
 
 
;ACL für eine konkrete Gruppe (hier: it).
 
;Nur Mitglieder dieser Gruppe matchen diese ACL.
 
acl it external ldap_group it
 
 
 
;Erlaubt Zugriff nur für Mitglieder der Gruppe.
 
http_access allow it
 
 
 
 
 
===Erklärung===
 
;external_acl_type ruft ein externes Programm zur Prüfung auf.
 
;%LOGIN übergibt den Benutzernamen an das Script.
 
;%g steht für Gruppenname, %u für Benutzername.
 
 
 
;Filter:
 
;Es wird geprüft, ob user (%u) in Gruppe (%g) ist.
 
;Dazu wird memberUid im posixGroup verwendet.
 
 
 
 
 
===Voraussetzungen im LDAP (Gruppen)===
 
;Es muss eine OU für Gruppen existieren.
 
;Gruppen müssen vom Typ posixGroup sein.
 
 
 
;Beispiel Gruppe:
 
dn: cn=it,ou=groups,dc=it113,dc=int
 
objectClass: posixGroup
 
cn: it
 
gidNumber: 10000
 
memberUid: martha
 
memberUid: leroy
 
 
 
;memberUid enthält die Benutzernamen (uid).
 
;Diese müssen mit den Login-Namen übereinstimmen.
 
 
 
 
 
===Wichtig===
 
;Reihenfolge der Regeln beachten:
 
;Gruppenprüfung sollte vor allgemeinen allow-Regeln stehen.
 
 
 
;Beispiel:
 
http_access allow it
 
http_access deny all
 
  
;Wenn vorher allow ldap-auth steht, greift die Gruppenprüfung nicht mehr.
+
refresh_pattern ^ftp:        1440    20%    10080
 +
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
 +
refresh_pattern .           0      20%    4320

Version vom 2. April 2026, 13:41 Uhr

Auf dem LDAP Server

Wir legen 2 Gruppen an

Wir trennen Benutzer nach Berechtigungen in Gruppen.
Die Gruppe „teamleitung“ bekommt später vollen Zugriff, „agents“ wird eingeschränkt.
  • ldapaddgroup teamleitung
  • ldapaddgroup agents
Benutzer werden den Gruppen zugeordnet.
Die Gruppenzugehörigkeit steuert später den Zugriff im Squid.
  • ldapadduser wilma teamleitung
  • ldapadduser betty teamleitung
  • ldapadduser fred agents
  • ldapadduser barney agents
Setzt die Passwörter für die Benutzer.
Diese werden für die Anmeldung am Proxy verwendet.
  • ldapsetpasswd wilma
  • ldapsetpasswd betty
  • ldapsetpasswd fred
  • ldapsetpasswd barney

Auf dem SQUID Server

Authentifizierung mit LDAP

Authentifizierung erfolgt gegen einen LDAP-Server.
TLS sollte verwendet werden, damit Benutzername und Passwort nicht im Klartext übertragen werden.
Benötigte Pakete für LDAP-Unterstützung.

ldap-utils enthält Tools zum Testen der Verbindung.

Installation

  • apt install libldap2 ldap-utils

Wenn noch nicht geschehen

  • apt install squid-openssl

Wir testen die Verbindung zum LDAP Server

Wir erstellen die Konfiguration
  • vi /etc/ldap/ldap.conf
BASE    dc=it213,dc=int
URI     ldaps://ldap.it213.int
ldap_version

Kommen wir auf den Ldap Server?

  • ldapsearch -x

Verschlüsselung ok?

  • openssl s_client -host ldap.it213.int -port 636

Die Konfiguration

Wir fangen wieder bei null an

  • cd /etc/squid
  • grep "^[^#]" squid.conf.org > squid.conf

Die Änderungen

  • vi /etc/squid/squi.conf
acl localnet src 0.0.0.1-0.255.255.255
acl localnet src 10.0.0.0/8
acl localnet src 100.64.0.0/10
acl localnet src 169.254.0.0/16
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16
acl localnet src fc00::/7
acl localnet src fe80::/10

acl SSL_ports port 443

acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

# http_access allow localhost
http_access deny to_localhost
http_access deny to_linklocal

include /etc/squid/conf.d/*.conf

auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f uid=%s -h ldap.it213.int
auth_param basic children 20 startup=0 idle=1
auth_param basic concurrency 0
auth_param basic credentialsttl 500 seconds
auth_param basic realm it213 proxy server
auth_param basic casesensitive off

acl ldap-auth proxy_auth REQUIRED

http_access allow ldap-auth

http_access deny all

http_port 3128
coredump_dir /var/spool/squid

refresh_pattern ^ftp:        1440    20%     10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern .            0       20%     4320
Abgerufen von „http://wiki.ixheim.de/index.php?title=Squid-Kit-ldap&oldid=68420