Squid-Kit-ldap: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(20 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 3: Zeile 3:
 
;Wir trennen Benutzer nach Berechtigungen in Gruppen.
 
;Wir trennen Benutzer nach Berechtigungen in Gruppen.
 
;Die Gruppe „teamleitung“ bekommt später vollen Zugriff, „agents“ wird eingeschränkt.
 
;Die Gruppe „teamleitung“ bekommt später vollen Zugriff, „agents“ wird eingeschränkt.
 
+
===Gruppen anlegen===
 +
*ldapaddgroup callcenter
 
*ldapaddgroup teamleitung
 
*ldapaddgroup teamleitung
 
*ldapaddgroup agents
 
*ldapaddgroup agents
 
 
;Benutzer werden den Gruppen zugeordnet.
 
;Benutzer werden den Gruppen zugeordnet.
 
;Die Gruppenzugehörigkeit steuert später den Zugriff im Squid.
 
;Die Gruppenzugehörigkeit steuert später den Zugriff im Squid.
  
*ldapadduser wilma teamleitung
+
===Nutzer anlegen===
*ldapadduser betty teamleitung
+
*ldapadduser wilma callcenter
*ldapadduser fred agents
+
*ldapadduser betty callcenter
*ldapadduser barney agents
+
*ldapadduser fred callcenter
 +
*ldapadduser barney callcenter
 +
 
 +
===Nutzer den beiden Gruppen hinzufügen ===
 +
*ldapaddusertogroup wilma teamleitung
 +
*ldapaddusertogroup betty teamleitung
 +
*ldapaddusertogroup fred agents
 +
*ldapaddusertogroup barney agents
 +
 
  
 
;Setzt die Passwörter für die Benutzer.
 
;Setzt die Passwörter für die Benutzer.
Zeile 49: Zeile 57:
 
*grep "^[^#]" squid.conf.org > squid.conf
 
*grep "^[^#]" squid.conf.org > squid.conf
 
===Die Änderungen===
 
===Die Änderungen===
*vi /etc/squid/squi.conf
+
*vi /etc/squid/squid.conf
 
  acl localnet src 0.0.0.1-0.255.255.255
 
  acl localnet src 0.0.0.1-0.255.255.255
 
  acl localnet src 10.0.0.0/8
 
  acl localnet src 10.0.0.0/8
Zeile 69: Zeile 77:
 
  acl Safe_ports port 591
 
  acl Safe_ports port 591
 
  acl Safe_ports port 777
 
  acl Safe_ports port 777
 
 
  http_access deny !Safe_ports
 
  http_access deny !Safe_ports
 
  http_access deny CONNECT !SSL_ports
 
  http_access deny CONNECT !SSL_ports
Zeile 78: Zeile 85:
 
  http_access deny to_linklocal
 
  http_access deny to_linklocal
 
  include /etc/squid/conf.d/*.conf
 
  include /etc/squid/conf.d/*.conf
  <span style="color:red">auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f uid=%s -h ldap.it213.int</span>
+
  <span style="color:red">auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f uid=%s -H ldaps://ldap.it213.int</span>
 
  <span style="color:red">auth_param basic children 20 startup=0 idle=1</span>
 
  <span style="color:red">auth_param basic children 20 startup=0 idle=1</span>
 
  <span style="color:red">auth_param basic concurrency 0</span>
 
  <span style="color:red">auth_param basic concurrency 0</span>
Zeile 92: Zeile 99:
 
  refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
 
  refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
 
  refresh_pattern .            0      20%    4320
 
  refresh_pattern .            0      20%    4320
 +
 +
===Neu starten===
 +
*systemctl restart squid
 +
===Die Änderungen===
 +
*vi /etc/squid/squid.conf
 +
acl localnet src 0.0.0.1-0.255.255.255
 +
acl localnet src 10.0.0.0/8
 +
acl localnet src 100.64.0.0/10
 +
acl localnet src 169.254.0.0/16
 +
acl localnet src 172.16.0.0/12
 +
acl localnet src 192.168.0.0/16
 +
acl localnet src fc00::/7
 +
acl localnet src fe80::/10
 +
acl SSL_ports port 443
 +
acl Safe_ports port 80
 +
acl Safe_ports port 21
 +
acl Safe_ports port 443
 +
acl Safe_ports port 70
 +
acl Safe_ports port 210
 +
acl Safe_ports port 1025-65535
 +
acl Safe_ports port 280
 +
acl Safe_ports port 488
 +
acl Safe_ports port 591
 +
acl Safe_ports port 777
 +
http_access deny !Safe_ports
 +
http_access deny CONNECT !SSL_ports
 +
http_access allow localhost manager
 +
http_access deny manager
 +
<span style="color:blue"># http_access allow localhost</span>
 +
http_access deny to_localhost
 +
http_access deny to_linklocal
 +
include /etc/squid/conf.d/*.conf
 +
auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f uid=%s -H ldaps://ldap.it213.int
 +
auth_param basic children 20 startup=0 idle=1
 +
auth_param basic concurrency 0
 +
auth_param basic credentialsttl 500 seconds
 +
auth_param basic realm it213 proxy server
 +
auth_param basic casesensitive off
 +
acl ldap-auth proxy_auth REQUIRED
 +
<span style="color:red">external_acl_type ldap_group %LOGIN %DATA /usr/lib/squid/ext_ldap_group_acl -v 3 -b ou=groups,dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f "(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))" -H ldaps://ldap.it213.int</span>
 +
<span style="color:red">acl teamleitung external ldap_group teamleitung</span>
 +
<span style="color:red">acl agents external ldap_group agents</span>
 +
<span style="color:red">acl badsites url_regex "/etc/squid/badsites.txt"</span>
 +
<span style="color:red">http_access allow teamleitung</span>
 +
<span style="color:red">http_access allow agents !badsites</span>
 +
http_access deny all
 +
http_port 3128
 +
coredump_dir /var/spool/squid
 +
refresh_pattern ^ftp:        1440    20%    10080
 +
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
 +
refresh_pattern .            0      20%    4320
 +
 +
===Badsites füllen===
 +
*cat <<EOF > /etc/squid/badsites.txt
 +
bild.de
 +
spiegel.de
 +
faz.de
 +
tagesschau.de
 +
lol.de
 +
EOF
 +
 +
===Neu starten===
 +
*systemctl restart squid
 +
=Debugging=
 +
==Fehlersuche LDAP-Gruppen==
 +
;Wenn Gruppen nicht greifen, liegt es fast immer an LDAP oder am Filter.
 +
;Diese Checks helfen, das Problem schnell einzugrenzen.
 +
 +
==Gruppe im LDAP vorhanden?==
 +
;Prüfen ob die Gruppe existiert.
 +
;Name muss exakt mit der Squid-ACL übereinstimmen.
 +
*ldapsearch -x -b ou=groups,dc=it213,dc=int cn=agents
 +
 +
==Benutzer in Gruppe enthalten?==
 +
;Wichtig: memberUid muss den Login-Namen enthalten.
 +
;uid und memberUid müssen identisch sein.
 +
*ldapsearch -x -b ou=groups,dc=it213,dc=int cn=agents | grep memberUid
 +
 +
==Helper direkt testen==
 +
;Testet die Gruppenabfrage unabhängig von Squid.
 +
;Nur wenn hier OK kommt, funktioniert es auch im Proxy.
 +
*echo "fred agents" | /usr/lib/squid/ext_ldap_group_acl -v 3 -b ou=groups,dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f "(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))" -H ldaps://ldap.it213.int
 +
 +
==LDAP Login testen==
 +
;Prüft ob Benutzer sich überhaupt authentifizieren kann.
 +
;Wenn das fehlschlägt, funktioniert Squid ebenfalls nicht.
 +
*ldapwhoami -x -D "uid=fred,ou=users,dc=it213,dc=int" -W
 +
 +
==Squid Logs prüfen==
 +
;Zeigt ob Anfragen erlaubt oder geblockt werden.
 +
;User steht in der Logzeile am Ende.
 +
*tail -f /var/log/squid/access.log
 +
 +
==Typische Fehler==
 +
*Falscher Gruppenname (agents vs agent)
 +
*memberUid fehlt oder falsch geschrieben
 +
*uid stimmt nicht mit Login überein
 +
*Filter passt nicht zum Schema (posixGroup vs memberOf)
 +
*Reihenfolge der http_access Regeln falsch

Aktuelle Version vom 2. April 2026, 14:53 Uhr

Auf dem LDAP Server

Wir legen 2 Gruppen an

Wir trennen Benutzer nach Berechtigungen in Gruppen.
Die Gruppe „teamleitung“ bekommt später vollen Zugriff, „agents“ wird eingeschränkt.

Gruppen anlegen

  • ldapaddgroup callcenter
  • ldapaddgroup teamleitung
  • ldapaddgroup agents
Benutzer werden den Gruppen zugeordnet.
Die Gruppenzugehörigkeit steuert später den Zugriff im Squid.

Nutzer anlegen

  • ldapadduser wilma callcenter
  • ldapadduser betty callcenter
  • ldapadduser fred callcenter
  • ldapadduser barney callcenter

Nutzer den beiden Gruppen hinzufügen

  • ldapaddusertogroup wilma teamleitung
  • ldapaddusertogroup betty teamleitung
  • ldapaddusertogroup fred agents
  • ldapaddusertogroup barney agents


Setzt die Passwörter für die Benutzer.
Diese werden für die Anmeldung am Proxy verwendet.
  • ldapsetpasswd wilma
  • ldapsetpasswd betty
  • ldapsetpasswd fred
  • ldapsetpasswd barney

Auf dem SQUID Server

Authentifizierung mit LDAP

Authentifizierung erfolgt gegen einen LDAP-Server.
TLS sollte verwendet werden, damit Benutzername und Passwort nicht im Klartext übertragen werden.
Benötigte Pakete für LDAP-Unterstützung.

ldap-utils enthält Tools zum Testen der Verbindung.

Installation

  • apt install libldap2 ldap-utils

Wenn noch nicht geschehen

  • apt install squid-openssl

Wir testen die Verbindung zum LDAP Server

Wir erstellen die Konfiguration
  • vi /etc/ldap/ldap.conf
BASE    dc=it213,dc=int
URI     ldaps://ldap.it213.int
ldap_version

Kommen wir auf den Ldap Server?

  • ldapsearch -x

Verschlüsselung ok?

  • openssl s_client -host ldap.it213.int -port 636

Die Konfiguration

Wir fangen wieder bei null an

  • cd /etc/squid
  • grep "^[^#]" squid.conf.org > squid.conf

Die Änderungen

  • vi /etc/squid/squid.conf
acl localnet src 0.0.0.1-0.255.255.255
acl localnet src 10.0.0.0/8
acl localnet src 100.64.0.0/10
acl localnet src 169.254.0.0/16
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16
acl localnet src fc00::/7
acl localnet src fe80::/10
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
# http_access allow localhost
http_access deny to_localhost
http_access deny to_linklocal
include /etc/squid/conf.d/*.conf
auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f uid=%s -H ldaps://ldap.it213.int
auth_param basic children 20 startup=0 idle=1
auth_param basic concurrency 0
auth_param basic credentialsttl 500 seconds
auth_param basic realm it213 proxy server
auth_param basic casesensitive off
acl ldap-auth proxy_auth REQUIRED
http_access allow ldap-auth
http_access deny all
http_port 3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:        1440    20%     10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern .            0       20%     4320

Neu starten

  • systemctl restart squid

Die Änderungen

  • vi /etc/squid/squid.conf
acl localnet src 0.0.0.1-0.255.255.255
acl localnet src 10.0.0.0/8
acl localnet src 100.64.0.0/10
acl localnet src 169.254.0.0/16
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16
acl localnet src fc00::/7
acl localnet src fe80::/10
acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
# http_access allow localhost
http_access deny to_localhost
http_access deny to_linklocal
include /etc/squid/conf.d/*.conf
auth_param basic program /usr/lib/squid/basic_ldap_auth -v 3 -b dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f uid=%s -H ldaps://ldap.it213.int
auth_param basic children 20 startup=0 idle=1
auth_param basic concurrency 0
auth_param basic credentialsttl 500 seconds
auth_param basic realm it213 proxy server
auth_param basic casesensitive off
acl ldap-auth proxy_auth REQUIRED
external_acl_type ldap_group %LOGIN %DATA /usr/lib/squid/ext_ldap_group_acl -v 3 -b ou=groups,dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f "(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))" -H ldaps://ldap.it213.int
acl teamleitung external ldap_group teamleitung
acl agents external ldap_group agents
acl badsites url_regex "/etc/squid/badsites.txt"
http_access allow teamleitung
http_access allow agents !badsites
http_access deny all
http_port 3128
coredump_dir /var/spool/squid
refresh_pattern ^ftp:        1440    20%     10080
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern .            0       20%     4320

Badsites füllen

  • cat <<EOF > /etc/squid/badsites.txt
bild.de
spiegel.de
faz.de
tagesschau.de
lol.de

EOF

Neu starten

  • systemctl restart squid

Debugging

Fehlersuche LDAP-Gruppen

Wenn Gruppen nicht greifen, liegt es fast immer an LDAP oder am Filter.
Diese Checks helfen, das Problem schnell einzugrenzen.

Gruppe im LDAP vorhanden?

Prüfen ob die Gruppe existiert.
Name muss exakt mit der Squid-ACL übereinstimmen.
  • ldapsearch -x -b ou=groups,dc=it213,dc=int cn=agents

Benutzer in Gruppe enthalten?

Wichtig
memberUid muss den Login-Namen enthalten.
uid und memberUid müssen identisch sein.
  • ldapsearch -x -b ou=groups,dc=it213,dc=int cn=agents | grep memberUid

Helper direkt testen

Testet die Gruppenabfrage unabhängig von Squid.
Nur wenn hier OK kommt, funktioniert es auch im Proxy.
  • echo "fred agents" | /usr/lib/squid/ext_ldap_group_acl -v 3 -b ou=groups,dc=it213,dc=int -D cn=admin,dc=it213,dc=int -w 123Start$ -f "(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))" -H ldaps://ldap.it213.int

LDAP Login testen

Prüft ob Benutzer sich überhaupt authentifizieren kann.
Wenn das fehlschlägt, funktioniert Squid ebenfalls nicht.
  • ldapwhoami -x -D "uid=fred,ou=users,dc=it213,dc=int" -W

Squid Logs prüfen

Zeigt ob Anfragen erlaubt oder geblockt werden.
User steht in der Logzeile am Ende.
  • tail -f /var/log/squid/access.log

Typische Fehler

  • Falscher Gruppenname (agents vs agent)
  • memberUid fehlt oder falsch geschrieben
  • uid stimmt nicht mit Login überein
  • Filter passt nicht zum Schema (posixGroup vs memberOf)
  • Reihenfolge der http_access Regeln falsch
Abgerufen von „http://wiki.ixheim.de/index.php?title=Squid-Kit-ldap&oldid=68442