Re: Anbindung von Squid an LDAP

To: user@skolelinux.de
Subject: Re: Anbindung von Squid an LDAP
From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>
Date: Mon, 27 Apr 2009 20:34:22 +0200
Message-id: <[🔎] 49F5FAAE.9090308@gmx.de>
In-reply-to: <[🔎] 200904271929.48421.rgx@gmx.de>
References: <49F45CAA.6080604@gmx.de> <20090427062424.303180@gmx.net> <49F5877C.1000000@ulrich-p-klein.de> <[🔎] 200904271929.48421.rgx@gmx.de>

Hallo Ralf,

irgendwie habe ich einige Mails nicht erhalten - will sagen es ist bei
mir die erste in diesem Thread. Da ja nicht gerade viel über diese Liste
geht meine Frage: gibt es ein Problem mit der Liste oder schlägt (bei
mir) ein Spamfilter zu? :(

RalfGesellensetter schrieb:

Am Montag 27 April 2009 12:22:52 schrieben Sie:

Es gibt auch die Philosophie, in der /etc/pam.d/other alles abzudichten
(require pam_deny) und jeden gewünschten Dienst explizit mit einer Datei
freizugeben.  Meine erste PAM-Konfiguration sah so aus, mittlerweile bin
ich bequemer geworden.

Ich verstehe. Das schützt vor Diensten, von denen man nicht weiß, warum sielaufen und ob sie Gutes tun.

Ich habe die einfache Version mal hier reingeschrieben - eine Kopie geht andie Userliste.

Gruß
Ralf

P.S.: Funktioniert das so auch mit apache/htaccess? Denkbar wäre, ein Web-
Verzeichnis nur für die Gruppe @students freizugeben (laut LDAP).


Beim Apache kann man problemlos ein Verzeichnis für die Gruppe students
freigeben. Dazu hat man 2 Möglichkeiten: in der conf-Datei des Apache
und auch direkt in einer '.htaccess'. Allerdings stehen bei Verwendung
der .htaccess nicht alle Parameter zur Verfügung wie bei der
Konfiguration direkt in der conf-Datei.

Auf meinem Debian-System (Lenny) sieht das für die *Lehrer* (die haben alle
auf diesem System die GID 1001) so in der default-ssl aus:

<Directory "/var/www/teacher/">
   AuthName                   "Zugang zum Lehrerinterface"
   AuthType                   Basic
   AuthBasicProvider          ldap
   AuthzLDAPAuthoritative     on
   AuthLDAPGroupAttribute     MemberUID
   AuthLDAPGroupAttributeIsDN off
   AuthLDAPURL "ldap:///ou=people,ou=accounts,dc=aramec,dc=de?uid?one?(gidNumber=1001)"
   Require                    valid-user
</Directory>

P.P.S.: Wie minimiert man die Anzahl der Dialoge, in der der User dann seinPasswort eingeben muss (das ja immer dasselbe LDAP-Passwort ist). Braucht manKerberos?


ja. Allerdings gibt es Alternativen, wenn man nur auf web-basierte
Dienste zugreifen will. Aber prinzipiell ist die Antwort: Kerberos.

Mit freundlichen Grüßen
Hans-Dietrich

Reply to:

References:
- Re: Anbindung von Squid an LDAP
  - From: RalfGesellensetter <rgx@gmx.de>

Prev by Date: Fwd: April/May KDE Usability Meeting
Next by Date: Benutzerkonten beschränken
Previous by thread: Re: Anbindung von Squid an LDAP
Next by thread: Fwd: April/May KDE Usability Meeting
Index(es):
- Date
- Thread