IPCop-Forum.de

www.ipcop-forum.de


IPCop-Community
CL-Systems
Home Home   Doku Doku   Links Links   Downloads Downloads
UnIPCop Der (Un)IPCop   IFS IPCop-ForumSpy
CopTime CopTime   Galerie IPCop-Galerie   IPCop Userkarte Userkarte
Aktuelle Zeit: 13.12.2017, 19:39

Alle Zeiten sind UTC+01:00




Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 
Autor Nachricht
BeitragVerfasst: 04.07.2014, 09:26 
Offline
Inspector
Themenstarter
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 97
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
Da die lokale Verwaltung vieler Proxyanwender mittels IPCop leider schnell unübersichtlich wird, setze ich nun auf die LDAP-Authentisierung.

Auf einem Debain 7-Rechner im Netz läuft daziu OpenLDAP (slapd).
Eingerichtet habe eine OU "groups" mit den zwei Posixgruppen "admin" und "dsluser".
In der OU "users" befinden sich die Posixaccounts mit den Anwendern.
Die Anwender werden grundsätzlich der Gruppe "dsluser" zugewiesen.

Die Authentisierung klappt ohne Probleme, solange ich nicht die "Gruppenbasierte Zugriffskontrolle" aktiviere.
In der squid.conf findet sich dann der folgende Eintrag:
Code:
/usr/lib/squid/basic_ldap_auth -b "dc=tux-net, dc=xxxxx" -D "cn=admin,dc=tux-net, dc=xxxxx" -w ??????? -f "(&(&(objectClass=person)(uid=%s))(posixGroup=cn=dsluser,ou=groups,dc=tux-net,dc=xxxxx))" -v 3 -u uid -P 192.168.12.210:389

Wenn ich dieses Skript auf der Shell des IPCop ausführe erhalte ich nach Eingabe des Usernames und des Passwortes folgende Fehlermeldung:
Code:
ERR Success


Woran könnte das liegen?

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
BeitragVerfasst: 24.06.2015, 13:46 
Offline
Deputy Sergeant
Deputy Sergeant

Registriert: 13.04.2010
Beiträge: 45
Hallo,

versuche IPCop mit LDAP innerhalb einer Windows Domain zum Laufen zu bringen.

Leider bekomme ich es nicht recht hin. Alle Einträge sind korrekt gesetzt aber der IPCop fragt immer nach Username und Passwort.

Ist bekannt wie man IPCop und LDAP hinbekommt?

Danke.


Nach oben
   
BeitragVerfasst: 24.06.2015, 15:35 
Offline
Inspector
Themenstarter
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 97
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
halloway hat geschrieben:
Hallo,

versuche IPCop mit LDAP innerhalb einer Windows Domain zum Laufen zu bringen.

Leider bekomme ich es nicht recht hin. Alle Einträge sind korrekt gesetzt aber der IPCop fragt immer nach Username und Passwort.

Ist bekannt wie man IPCop und LDAP hinbekommt?

Danke.


Du möchtest wahrscheinlich, dass die Prüfung im Windows Active Directory automatisch erfolgt (Single Logon).
Mit dem AD habe ich keine Erfahrung, sondern dazu einen LDAP-Server im grünen Netzwerk aufgesetzt. (Siehe meinen Ausgangsbeitrag). In der 4ma haben wir auch Webanwendungen (APEX) laufen, die über das AD die Berechtigung prüfen. Auf der Startseite erscheint auch dort ein Loginfenster mit Benutzername und Passwort; das lässt sich wahrscheinlich nicht umgehen.
Mit gruppenbasierten Zugriffsregeln per OpenLDAP bin ich leider nicht mehr weitergekommen; ich habe dann eben auf die nutzerbasierte Regel zurückgegriffen; diese hat wenigstens funktioniert.

Suche in der squid.conf nach einem entsprechenden Eintrag (...ldap...) und versuche dieses Skript auf der Konsole des IPCop auszuführen. Dann solltest Du ein Ergebnis erhalten.
Momentan kann ich dir leider keine Hardcopy meiner LDAP-Einstellungen senden, weil ich nicht im Produktivnetz hänge.

Nachtrag:
Google nach 'squid ldap authentication'.
Dort findest Du auch diesen Link:
http://wiki.squid-cache.org/ConfigExamp ... djustments

Vielleicht hilft das weiter.

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
BeitragVerfasst: 24.06.2015, 20:51 
Offline
Deputy Sergeant
Deputy Sergeant

Registriert: 13.04.2010
Beiträge: 45
Habe mir das nochmal genau angesehen und ein paar seltsame Dinge entdeckt.
Hier sind einmal die Option zu sehen für basic_ldap_auth:

Bild

Hier mal was letztlich in die squid.conf geschrieben wird, wenn ich LDAP aktiviere und etwas eintrage.

auth_param basic program /usr/lib/squid/basic_ldap_auth -b "OU=Locations,OU=Service\ Delivery,DC=MY,DC=Domain,DC=Local" -D "CN=scanuser,OU=Users,OU=VTBER\ -\ VT\ Berlin,OU=Locations,OU=Service\ Delivery,DC=MY,DC=Domain,DC=Local" -w P@ssword -f "(&(&(objectClass=person)(sAMAccountName=%s))(memberOf=CN=HEGP\ VTBER\ Internet,OU=Groups,OU=VTBER\ -\ VT\ Berlin,OU=Locations,OU=Service\ Delivery,DC=MY,DC=Domain,DC=Local))" -u sAMAccountName -P 10.43.126.11:389

Zum einen bin ich mir hier nicht sicher, ob vor der IP des LDAP-Servers nicht ein -h anstatt eines -P stehen sollte?
Weiterhin bin ich mir bei der Maskierung der Leerzeichen nicht ganz sicher oder ob man nicht jeden Wert separat in "" setzen sollte?

Wenn ich das ganze im Terminal so laufen lasse kommt vom IPCop keine Meldung zurück egal wie lange man wartet.

Hier noch ein interessanter Link: http://www.papercut.com/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory


Nach oben
   
BeitragVerfasst: 25.06.2015, 07:14 
Offline
Inspector
Themenstarter
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 97
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
halloway hat geschrieben:

Wenn Du den Link in meinem vorhergehenden Beitrag nutzt, dann findest Du am Ende der Seite noch einen Link.
http://wiki.squid-cache.org/CategoryConfigExample
Dort findest Du Konfigurationsbeispiele mit Erläuterungen für fast alle Fälle.
Ein Beispiel von vielen: "Configuring a Squid Server to authenticate off Active Directory"
Bei die Website handelt es sich im das offizielle Wiki von squid.
Informationen aus erster Hand also, die Dir sicherlich weiter helfen.

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
BeitragVerfasst: 25.06.2015, 08:19 
Offline
Deputy Sergeant
Deputy Sergeant

Registriert: 13.04.2010
Beiträge: 45
Habe das auch gesehen, allerdings wird hier beschrieben wie man es unter Debian macht und nicht speziell unter IPCop.

Allein schon das File basic_ldap_auth trägt einen anderen Namen und scheint andere Parameter zu nutzen.

Gerne würde ich auch das Original File nutzen aus dem WIKI welches sich squid_ldap_auth nennt.
Woher bekomme ich das?

Weiterhin bin ich mir wegen der Parameter nicht sicher und dem Maskieren von Leerzeichen.

Danke.


Nach oben
   
BeitragVerfasst: 26.06.2015, 10:43 
Offline
Inspector
Themenstarter
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 97
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
halloway hat geschrieben:
Habe mir das nochmal genau angesehen und ein paar seltsame Dinge entdeckt.

Hier mal was letztlich in die squid.conf geschrieben wird, wenn ich LDAP aktiviere und etwas eintrage.

auth_param basic program /usr/lib/squid/basic_ldap_auth -b "OU=Locations,OU=Service\ Delivery,DC=MY,DC=Domain,DC=Local" -D "CN=scanuser,OU=Users,OU=VTBER\ -\ VT\ Berlin,OU=Locations,OU=Service\ Delivery,DC=MY,DC=Domain,DC=Local" -w P@ssword -f "(&(&(objectClass=person)(sAMAccountName=%s))(memberOf=CN=HEGP\ VTBER\ Internet,OU=Groups,OU=VTBER\ -\ VT\ Berlin,OU=Locations,OU=Service\ Delivery,DC=MY,DC=Domain,DC=Local))" -u sAMAccountName -P 10.43.126.11:389
Zum einen bin ich mir hier nicht sicher, ob vor der IP des LDAP-Servers nicht ein -h anstatt eines -P stehen sollte?
Weiterhin bin ich mir bei der Maskierung der Leerzeichen nicht ganz sicher oder ob man nicht jeden Wert separat in "" setzen sollte?

Wenn ich das ganze im Terminal so laufen lasse kommt vom IPCop keine Meldung zurück egal wie lange man wartet.

Das Squid-Hilfsprogramm
Code:
basic_ldap_auth
erwartet als Pparameter nach dem Start den Anwendernamen und dessen Passwort getrennt durch ein Leerzeichen.
Wenn die Authentisierung funktioniert hat, dann erhältst Du als Rückgaewert "OK" ansonsten "ERR xxx" wobei xxx sein kann:
"Success" --> Nutzer nicht gefunden bzw.
"Invalid credentials" --> Passwort nicht in Ordnung.

Das Programm in der Befehlszeile mit STRG-C abbrechen.
Vielleicht kommst Du damit weiter.

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
BeitragVerfasst: 29.06.2015, 12:34 
Offline
Deputy Sergeant
Deputy Sergeant

Registriert: 13.04.2010
Beiträge: 45
Vielen DANK!!!!! :D

Habe das Problem nun behoben. Das Problem war die Maskierung von Leerzeichen im String. Es Bedarf keine Maskierung von Leerzeichen.

Nun kommen wir zur nächsten "Baustelle".

Leider möchte der IPCop immer ein Username und Passwort haben unter Windows. Ich hatte die Hoffnung, dass der IPCop die Daten aus dem Windows Client (Windows 7 Prof.) verwendet.
Wenn man seinen Username und Passwort eingibt lässt der IPCop einen auch ins Internet.
Allerdings wäre es doch sehr elegant, wenn er das automatisch machen würde.

Wo müsste ich hier ansetzen? IPCop? Windows 7? IE?

Danke.


Nach oben
   
BeitragVerfasst: 30.06.2015, 09:49 
Offline
Inspector
Themenstarter
Inspector
Benutzeravatar

Registriert: 02.05.2013
Beiträge: 97
Wohnort: Hünfeld (Konrad-Zuse-Stadt)
halloway hat geschrieben:
Vielen DANK!!!!! :D

Leider möchte der IPCop immer ein Username und Passwort haben unter Windows. Ich hatte die Hoffnung, dass der IPCop die Daten aus dem Windows Client (Windows 7 Prof.) verwendet.
Wenn man seinen Username und Passwort eingibt lässt der IPCop einen auch ins Internet.
Allerdings wäre es doch sehr elegant, wenn er das automatisch machen würde.

Wo müsste ich hier ansetzen? IPCop? Windows 7? IE?

Danke.

Das hängt mit der Art der Authentisierung zusammen: alles was mit "Basic" anfängt funktioniert über das bekannte Login-Fenster. Die transparente Authentisierung funktioniert unter Windows über NTLM bzw. Kerberos.
Dazu habe ich unter dem Linlk http://sourceforge.net/p/ipcop/feature-requests/532/#4056 folgende Information zu einem Request für die Erweiterung des IPCop um diese Funktionen gefunden:
Zitat:
#532 Add support for kerberos authentication to proxy server
Status: open
Priority: 5
Updated: 2014-08-23
Created: 2013-04-17
Adding support for squid to use kerberos authentication would help increase security when wanting to use Windows integrated (transparent) authentication.
Currently only LM/NTLM authentication is supported for Windows integrated (transparent) authentication.
The problem with the above is on windows vista/2008 and higher only NTLMv2 responses are supported by default
(Microsoft has disabled LM & NTLM responses to increase domain security)

currently the squid auth helper squid_kerb_auth and negotiate_kerb_auth are installed but the libraries libkrb5support.so.0 is missing, so they can not be used.
At minimum can the libraries to be able to run squid_kerb_auth and negotiate_kerb_auth be included, so it can be configured manually though ssh?
and work on adding web GUI support in the future after that.

Offenbar sind die o.a. libraries in der aktuellen Cop-Version bereits verfügbar.
Leider habe ich hier selbst keinen Windows-Spielserver im Netz, um den Zugriff per Kerberos zu testen.
Mit den Suchbegriffen "IPCop kerberos ntlm" bzw. "squid kerberos ntlm" solltest Du aber einiges an Information finden. Selbst die englische IPCop-Doku ist zu diesem Thema leider wenig hilfreich.

_________________
... von den Baumwollfeldern der Rhön


Nach oben
   
Beiträge der letzten Zeit anzeigen:  Sortiere nach  
Ein neues Thema erstellen  Auf das Thema antworten  [ 9 Beiträge ] 

Alle Zeiten sind UTC+01:00


Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 2 Gäste


Du darfst keine neuen Themen in diesem Forum erstellen.
Du darfst keine Antworten zu Themen in diesem Forum erstellen.
Du darfst deine Beiträge in diesem Forum nicht ändern.
Du darfst deine Beiträge in diesem Forum nicht löschen.

Suche nach:
Gehe zu Forum:  
Powered by phpBB® Forum Software © phpBB Limited
Deutsche Übersetzung durch phpBB.de