Re: Squid proxy server + ldap

[Jeroen Hooyberghs <jeroen@hooyberghs.org>]

Ik heb nog eens gekeken wat het verschil zou kunnen zijn. Ik merk wel 
dat er in jouw config geen -f "uid=%s" bij staat. Kan je dat eens 
toevoegen en testen? (bij "auth_param basic program")


On 12/02/2009 12:22 PM, Tha Docta wrote:
> Jeroen,
>
> Van /usr/lib/squid/ldap_auth -h ben ik al heel wat wijzer geworden maar
> om een of andre reden wil het niet lukken.
> Met root kan ik dus wel inloggen, in de log files komt het volgende:
>
> 1259336205.517 228 172.16.5.15 TCP_MISS/503 2362 GET
> http://google.nl/favicon.ico root DIRECT/*MailScanner warning: numerical
> links are often malicious:* 216.239.59.104 <http://216.239.59.104>
> text/html (uit access.log)
>
> Maar met een andere gebruiker (henk) lukt het niet:
>
> 1259336714.792 10 172.16.5.15 TCP_DENIED/407 2648 GET http://google.nl/
> henk NONE/- text/html (uit access.log)
>
> Wat mij ook opvalt is dat er in cache.log het volgende staat:
>
> 2009/11/27 19:49:07| Starting Squid Cache version 3.0.STABLE8 for
> i486-pc-linux-gnu...
> 2009/11/27 19:49:07| Process ID 5500
> 2009/11/27 19:49:07| With 65535 file descriptors available
> 2009/11/27 19:49:07| DNS Socket created at 0.0.0.0, port 42796, FD 7
> 2009/11/27 19:49:07| Adding nameserver 172.16.1.249 from /etc/resolv.conf
> 2009/11/27 19:49:07| Adding domain linux.eu <http://linux.eu> from
> /etc/resolv.conf
> 2009/11/27 19:49:07| helperOpenServers: Starting 30 'squid_ldap_auth'
> processes
> 2009/11/27 19:49:09| Unlinkd pipe opened on FD 42
> 2009/11/27 19:49:09| Local cache digest enabled; rebuild/rewrite every
> 3600/3600 sec
> 2009/11/27 19:49:09| Swap maxSize 102400 KB, estimated 7876 objects
> 2009/11/27 19:49:09| Target number of buckets: 393
> 2009/11/27 19:49:09| Using 8192 Store buckets
> 2009/11/27 19:49:09| Max Mem size: 8192 KB
> 2009/11/27 19:49:10| Max Swap size: 102400 KB
> 2009/11/27 19:49:10| Version 1 of swap file with LFS support detected...
> 2009/11/27 19:49:10| Rebuilding storage in /var/spool/squid3 (CLEAN)
> 2009/11/27 19:49:10| Using Least Load store dir selection
> 2009/11/27 19:49:10| Set Current Directory to /var/spool/squid3
> 2009/11/27 19:49:10| Loaded Icons.
> *2009/11/27 19:49:10| Accepting HTTP connections at 0.0.0.0, port 3128,
> FD 44.*
> *2009/11/27 19:49:10| Accepting ICP messages at 0.0.0.0, port 3130, FD 45.*
> 2009/11/27 19:49:10| HTCP Disabled.
> 2009/11/27 19:49:10| Ready to serve requests.
> 2009/11/27 19:49:10| Done reading /var/spool/squid3 swaplog (0 entries)
> 2009/11/27 19:49:10| Finished rebuilding storage from disk.
> *2009/11/27 19:49:10| 0 Entries scanned*
> *2009/11/27 19:49:10| 0 Invalid entries.*
> *2009/11/27 19:49:10| 0 With invalid flags.*
> *2009/11/27 19:49:10| 0 Objects loaded.*
> *2009/11/27 19:49:10| 0 Objects expired.*
> *2009/11/27 19:49:10| 0 Objects cancelled.*
> *2009/11/27 19:49:10| 0 Duplicate URLs purged.*
> *2009/11/27 19:49:10| 0 Swapfile clashes avoided.*
> 2009/11/27 19:49:10| Took 0.30 seconds ( 0.00 objects/sec).
> 2009/11/27 19:49:10| Beginning Validation Procedure
> 2009/11/27 19:49:10| Completed Validation Procedure
> 2009/11/27 19:49:10| Validated 25 Entries
> 2009/11/27 19:49:10| store_swap_size = 0
> 2009/11/27 19:49:10| storeLateRelease: released 0 objects
>
> Ik kan hieruit op maken dat er ergens een verbinding wordt gemaakt die
> ook geaccepteerd wordt maar vervolgen op 0.0.0.0 gaat luisteren naar
> inkomende verbindingen.
>
> Wat zie ik over het hoofd ?
>
> squid.conf is helemaal standaard op dit na (staat als eerst bovenaan);
>
> auth_param basic program /usr/lib/squid3/squid_ldap_auth -b
> "dc=linux,dc=eu" -D "cn=admin,dc=linux,dc=eu" -w Mynpasshier -v 3 -s "sub"
> auth_param basic children 30
> auth_param basic realm Squid proxy-caching web server
> auth_param basic credentialsttl 1 hours
> acl ldapuser proxy_auth REQUIRED
> http_access allow ldapuser
>
> Mvg,
>
> Roland
>
>
>
>
> Op 1 december 2009 16:33 schreef Jeroen Hooyberghs
> <jeroen@hooyberghs.org <mailto:jeroen@hooyberghs.org>> het volgende:
>
>
>
>     On 12/01/2009 03:44 PM, Tha Docta wrote:
>
>
>         Het lukt nu enkel alleen met m'n root gebruiker maar niet met een
>         gebruiker uit de ldap database.
>         Kan er iets van een search link toegevoegd/aangemaakt worden
>         voor het
>         aanwijzen van de ou waar de gebruikers in staan ?
>
>
>     Kan het zijn dat je moet inloggen op je ldap database om opvragingen
>     te doen? Ik heb gewoon overal read-only rechten namelijk.
>
>     Meer opties voor ldap_auth kan je opvragen door
>     /usr/lib/squid/ldap_auth -h
>
>
>
>         On 12/01/2009 02:01 PM, Tha Docta wrote:
>
>         Jeroen,
>
>         Dat komt aardig in de richting er wordt namelijk gevraagd voor
>         username
>         en password maar als ik deze heb ingevoerd dan lijkt het alsof de
>         gegevens niet gecontrolleerd worden omdat hij blijft vragen om
>         inloggegevens zonder te laden in de browser. In access.log stat de
>         melding TCP_DENIED/407 1750 GET http://www.google.nl/ gebruikersnaam
>
>         Enig idee?
>
>
>         Kan je eens proberen van die instellingen gewoon helemaal
>         bovenaan je
>         squid.conf te zetten? Om zeker te zijn dat er niet nog een andere
>         http_access deny voor zit?
>
>         Met deze instellingen werkt het bij mij en zie ik dit in de log:
>
>         1259677211.571 493 192.168.5.233 TCP_MISS/200 5469 GET
>         http://nl.gnome.org/ jh DIRECT/*MailScanner warning: numerical
>         links are
>         often malicious:* 62.58.32.76 <*MailScanner warning: numerical
>         links are often malicious:* http://62.58.32.76/> text/html
>
>         1259677211.875 303 192.168.5.233 TCP_REFRESH_HIT/200 6196 GET
>         http://nl.gnome.org/images/kovoks.banner-groot.gif jh
>         DIRECT/*MailScanner warning: numerical links are often malicious:*
>         62.58.32.76 <*MailScanner warning: numerical links are often
>         malicious:* http://62.58.32.76/> image/gif
>
>         1259677212.551 672 192.168.5.233 TCP_REFRESH_HIT/200 36228 GET
>         http://nl.gnome.org/images/background04.png jh DIRECT/*MailScanner
>         warning: numerical links are often malicious:* 62.58.32.76
>         <*MailScanner warning: numerical links are often malicious:*
>         http://62.58.32.76/> image/png
>
>
>
>
>
>         Groeten,
>
>         Roland
>
>         Op 1 december 2009 12:41 schreef Jeroen Hooyberghs
>         <jeroen@hooyberghs.org <mailto:jeroen@hooyberghs.org>
>         <mailto:jeroen@hooyberghs.org <mailto:jeroen@hooyberghs.org>>
>         <mailto:jeroen@hooyberghs.org <mailto:jeroen@hooyberghs.org>
>         <mailto:jeroen@hooyberghs.org <mailto:jeroen@hooyberghs.org>>>> het
>
>         volgende:
>         - Tekst uit oorspronkelijke bericht weergeven -
>         <mailto:debian-user-dutch-request@lists.debian.org
>         <mailto:debian-user-dutch-request@lists.debian.org>
>         <mailto:debian-user-dutch-request@lists.debian.org
>         <mailto:debian-user-dutch-request@lists.debian.org>>>
>
>         with a subject of "unsubscribe". Trouble? Contact
>         listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>
>         <mailto:listmaster@lists.debian.org
>         <mailto:listmaster@lists.debian.org>>
>         <mailto:listmaster@lists.debian.org
>         <mailto:listmaster@lists.debian.org>
>         <mailto:listmaster@lists.debian.org
>         <mailto:listmaster@lists.debian.org>>>
>
>
>
>     --
>     To UNSUBSCRIBE, email to debian-user-dutch-request@lists.debian.org
>     <mailto:debian-user-dutch-request@lists.debian.org>
>
>     with a subject of "unsubscribe". Trouble? Contact
>     listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>