Re: Anbindung von Squid an LDAP
Hallo Ralf,
irgendwie habe ich einige Mails nicht erhalten - will sagen es ist bei
mir die erste in diesem Thread. Da ja nicht gerade viel über diese Liste
geht meine Frage: gibt es ein Problem mit der Liste oder schlägt (bei
mir) ein Spamfilter zu? :(
RalfGesellensetter schrieb:
Am Montag 27 April 2009 12:22:52 schrieben Sie:
Es gibt auch die Philosophie, in der /etc/pam.d/other alles abzudichten
(require pam_deny) und jeden gewünschten Dienst explizit mit einer Datei
freizugeben. Meine erste PAM-Konfiguration sah so aus, mittlerweile bin
ich bequemer geworden.
Ich verstehe. Das schützt vor Diensten, von denen man nicht weiß, warum sie
laufen und ob sie Gutes tun.
Ich habe die einfache Version mal hier reingeschrieben - eine Kopie geht an
die Userliste.
Gruß
Ralf
P.S.: Funktioniert das so auch mit apache/htaccess? Denkbar wäre, ein Web-
Verzeichnis nur für die Gruppe @students freizugeben (laut LDAP).
Beim Apache kann man problemlos ein Verzeichnis für die Gruppe students
freigeben. Dazu hat man 2 Möglichkeiten: in der conf-Datei des Apache
und auch direkt in einer '.htaccess'. Allerdings stehen bei Verwendung
der .htaccess nicht alle Parameter zur Verfügung wie bei der
Konfiguration direkt in der conf-Datei.
Auf meinem Debian-System (Lenny) sieht das für die *Lehrer* (die haben alle
auf diesem System die GID 1001) so in der default-ssl aus:
<Directory "/var/www/teacher/">
AuthName "Zugang zum Lehrerinterface"
AuthType Basic
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPGroupAttribute MemberUID
AuthLDAPGroupAttributeIsDN off
AuthLDAPURL "ldap:///ou=people,ou=accounts,dc=aramec,dc=de?uid?one?(gidNumber=1001)"
Require valid-user
</Directory>
P.P.S.: Wie minimiert man die Anzahl der Dialoge, in der der User dann sein
Passwort eingeben muss (das ja immer dasselbe LDAP-Passwort ist). Braucht man
Kerberos?
ja. Allerdings gibt es Alternativen, wenn man nur auf web-basierte
Dienste zugreifen will. Aber prinzipiell ist die Antwort: Kerberos.
Mit freundlichen Grüßen
Hans-Dietrich
Reply to: