Maakt (helaas) weinig verschil, hij ziet er als volgt uit;auth_param basic program /usr/lib/squid3/squid_ldap_auth -b "dc=linux,dc=eu" -v 3 -f "uid=%s" -s "sub" -h 172.16.5.15auth_param basic children 30auth_param basic realm Squid proxy-caching web serverauth_param basic credentialsttl 1 hoursacl ldapuser proxy_auth REQUIREDhttp_access allow ldapuserOp 3 december 2009 09:56 schreef Jeroen Hooyberghs <jeroen@hooyberghs.org> het volgende:Ik heb nog eens gekeken wat het verschil zou kunnen zijn. Ik merk wel dat er in jouw config geen -f "uid=%s" bij staat. Kan je dat eens toevoegen en testen? (bij "auth_param basic program")
On 12/02/2009 12:22 PM, Tha Docta wrote:
Jeroen,
Van /usr/lib/squid/ldap_auth -h ben ik al heel wat wijzer geworden maarhttp://google.nl/favicon.ico root DIRECT/*MailScanner warning: numerical
om een of andre reden wil het niet lukken.
Met root kan ik dus wel inloggen, in de log files komt het volgende:
1259336205.517 228 172.16.5.15 TCP_MISS/503 2362 GET
links are often malicious:* 216.239.59.104 <http://216.239.59.104>2009/11/27 19:49:07| Adding domain linux.eu <http://linux.eu> from
text/html (uit access.log)
Maar met een andere gebruiker (henk) lukt het niet:
1259336714.792 10 172.16.5.15 TCP_DENIED/407 2648 GET http://google.nl/
henk NONE/- text/html (uit access.log)
Wat mij ook opvalt is dat er in cache.log het volgende staat:
2009/11/27 19:49:07| Starting Squid Cache version 3.0.STABLE8 for
i486-pc-linux-gnu...
2009/11/27 19:49:07| Process ID 5500
2009/11/27 19:49:07| With 65535 file descriptors available
2009/11/27 19:49:07| DNS Socket created at 0.0.0.0, port 42796, FD 7
2009/11/27 19:49:07| Adding nameserver 172.16.1.249 from /etc/resolv.conf
/etc/resolv.conf
2009/11/27 19:49:07| helperOpenServers: Starting 30 'squid_ldap_auth'
processes
2009/11/27 19:49:09| Unlinkd pipe opened on FD 42
2009/11/27 19:49:09| Local cache digest enabled; rebuild/rewrite every
3600/3600 sec
2009/11/27 19:49:09| Swap maxSize 102400 KB, estimated 7876 objects
2009/11/27 19:49:09| Target number of buckets: 393
2009/11/27 19:49:09| Using 8192 Store buckets
2009/11/27 19:49:09| Max Mem size: 8192 KB
2009/11/27 19:49:10| Max Swap size: 102400 KB
2009/11/27 19:49:10| Version 1 of swap file with LFS support detected...
2009/11/27 19:49:10| Rebuilding storage in /var/spool/squid3 (CLEAN)
2009/11/27 19:49:10| Using Least Load store dir selection
2009/11/27 19:49:10| Set Current Directory to /var/spool/squid3
2009/11/27 19:49:10| Loaded Icons.
*2009/11/27 19:49:10| Accepting HTTP connections at 0.0.0.0, port 3128,
FD 44.*
*2009/11/27 19:49:10| Accepting ICP messages at 0.0.0.0, port 3130, FD 45.*
2009/11/27 19:49:10| HTCP Disabled.
2009/11/27 19:49:10| Ready to serve requests.
2009/11/27 19:49:10| Done reading /var/spool/squid3 swaplog (0 entries)
2009/11/27 19:49:10| Finished rebuilding storage from disk.
*2009/11/27 19:49:10| 0 Entries scanned*
*2009/11/27 19:49:10| 0 Invalid entries.*
*2009/11/27 19:49:10| 0 With invalid flags.*
*2009/11/27 19:49:10| 0 Objects loaded.*
*2009/11/27 19:49:10| 0 Objects expired.*
*2009/11/27 19:49:10| 0 Objects cancelled.*
*2009/11/27 19:49:10| 0 Duplicate URLs purged.*
*2009/11/27 19:49:10| 0 Swapfile clashes avoided.*
2009/11/27 19:49:10| Took 0.30 seconds ( 0.00 objects/sec).
2009/11/27 19:49:10| Beginning Validation Procedure
2009/11/27 19:49:10| Completed Validation Procedure
2009/11/27 19:49:10| Validated 25 Entries
2009/11/27 19:49:10| store_swap_size = 0
2009/11/27 19:49:10| storeLateRelease: released 0 objects
Ik kan hieruit op maken dat er ergens een verbinding wordt gemaakt die
ook geaccepteerd wordt maar vervolgen op 0.0.0.0 gaat luisteren naar
inkomende verbindingen.
Wat zie ik over het hoofd ?
squid.conf is helemaal standaard op dit na (staat als eerst bovenaan);
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b
"dc=linux,dc=eu" -D "cn=admin,dc=linux,dc=eu" -w Mynpasshier -v 3 -s "sub"
auth_param basic children 30
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 hours
acl ldapuser proxy_auth REQUIRED
http_access allow ldapuser
Mvg,
Roland
Op 1 december 2009 16:33 schreef Jeroen Hooyberghsoften malicious:* 62.58.32.76 <*MailScanner warning: numericalOn 12/01/2009 03:44 PM, Tha Docta wrote:
Het lukt nu enkel alleen met m'n root gebruiker maar niet met een
gebruiker uit de ldap database.
Kan er iets van een search link toegevoegd/aangemaakt worden
voor het
aanwijzen van de ou waar de gebruikers in staan ?
Kan het zijn dat je moet inloggen op je ldap database om opvragingen
te doen? Ik heb gewoon overal read-only rechten namelijk.
Meer opties voor ldap_auth kan je opvragen door
/usr/lib/squid/ldap_auth -h
On 12/01/2009 02:01 PM, Tha Docta wrote:
Jeroen,
Dat komt aardig in de richting er wordt namelijk gevraagd voor
username
en password maar als ik deze heb ingevoerd dan lijkt het alsof de
gegevens niet gecontrolleerd worden omdat hij blijft vragen om
inloggegevens zonder te laden in de browser. In access.log stat de
melding TCP_DENIED/407 1750 GET http://www.google.nl/ gebruikersnaam
Enig idee?
Kan je eens proberen van die instellingen gewoon helemaal
bovenaan je
squid.conf te zetten? Om zeker te zijn dat er niet nog een andere
http_access deny voor zit?
Met deze instellingen werkt het bij mij en zie ik dit in de log:
1259677211.571 493 192.168.5.233 TCP_MISS/200 5469 GET
http://nl.gnome.org/ jh DIRECT/*MailScanner warning: numerical
links are
links are often malicious:* http://62.58.32.76/> text/html62.58.32.76 <*MailScanner warning: numerical links are often
1259677211.875 303 192.168.5.233 TCP_REFRESH_HIT/200 6196 GET
http://nl.gnome.org/images/kovoks.banner-groot.gif jh
DIRECT/*MailScanner warning: numerical links are often malicious:*
malicious:* http://62.58.32.76/> image/gif
1259677212.551 672 192.168.5.233 TCP_REFRESH_HIT/200 36228 GET
http://nl.gnome.org/images/background04.png jh DIRECT/*MailScanner
warning: numerical links are often malicious:* 62.58.32.76<*MailScanner warning: numerical links are often malicious:*http://62.58.32.76/> image/png
Groeten,
Roland
Op 1 december 2009 12:41 schreef Jeroen Hooyberghs
<jeroen@hooyberghs.org <mailto:jeroen@hooyberghs.org>
<mailto:jeroen@hooyberghs.org <mailto:jeroen@hooyberghs.org>>
<mailto:jeroen@hooyberghs.org <mailto:jeroen@hooyberghs.org>
<mailto:jeroen@hooyberghs.org <mailto:jeroen@hooyberghs.org>>>> het
volgende:
- Tekst uit oorspronkelijke bericht weergeven -
<mailto:debian-user-dutch-request@lists.debian.org
<mailto:debian-user-dutch-request@lists.debian.org>
<mailto:debian-user-dutch-request@lists.debian.org
<mailto:debian-user-dutch-request@lists.debian.org>>>
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>
<mailto:listmaster@lists.debian.org
<mailto:listmaster@lists.debian.org>>
<mailto:listmaster@lists.debian.org
<mailto:listmaster@lists.debian.org>
<mailto:listmaster@lists.debian.org
<mailto:listmaster@lists.debian.org>>>
--
To UNSUBSCRIBE, email to debian-user-dutch-request@lists.debian.org
<mailto:debian-user-dutch-request@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org <mailto:listmaster@lists.debian.org>
--
To UNSUBSCRIBE, email to debian-user-dutch-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org