Squid und LDAP
Hallo alle zusammen,
mich würde mal interessieren, ob es hier jemanden gibt, der Squid
vernünftig mit einer LDAP-Anbindung zum laufen gebracht hat? Mit
"vernünftig" meine ich, daß nicht nur eine Authentifizierung über die
User-ID möglich ist, sondern auch erweiterte Features genutzt werden,
die LDAP bietet. Hier sollte es möglich sein für Squid ACLs zu
definieren, die gegenüber LDAP-Servern geprüft werden.
So würde ich mindestend drei Punkte unter einer sinnvollen
LDAP-Anbindung sehen:
1. Authentifizierung/ACLs auf Basis einer User-ID, die im LDAP-Baum zu
finden ist. Hierbei sollten auch alle Äste eines LDAP-Baumes durchsucht
werden, die unterhalb eines definierten Such-Einstiegspunktes liegen.
2. Authentifizierung/ACLs auf Basis einer statischen LDAP-Gruppe. Alle
Mitglieder einer LDAP-Gruppe sollen diverse Dinge über den Squid machen
dürfen oder auch nicht machen dürfen.
3. Authentifizierung/ACLs auf Basis einer dynamischen LDAP-Gruppe. Die
LDAP-Gruppe enthält keine festen Mitglieder, sondern die Mitglieder
werden zur Laufzeit gemäß eines LDAP-Abfragekriteriums ermittelt.
Hierauf aufsetzend sollten dann Squid-ACLs definiert werden können.
Bislang konnte ich im Internet nur das auth_ldap für den Squid finden.
Ich habe dieses Authentifizierungsmodul zwar noch nicht ausprobiert (Bin
noch in der Rescherche- und Planungsphase), aber gemäß der
"Prospektlage" kann dieses Modul LDAP-Authentifizierungen nur per
User-ID ermöglichen. Gruppen sind außen vor. Ich werde dies aber noch
ausprobieren und meine Erfahrungen ggfls hier posten.
Bislang ist mir nur ein kommerzielles Produkt unter die Finger gekommen,
welches alle genannten Möglichkeiten bietet: Der iPlanet-Proxy-Server.
Hat hier jemand bereits praktische Erfahrungen gesammelt, was die
LDAP-Anbindung von Squid betrifft? Ich freue mich über jedes Feedback,
welches es mir ermöglicht an der kommerziellen Produktlage
vorbeizukommen, denn ich halte den Squid für einen der besten
Proxy-Server überhaupt und es wäre schade, wenn sich eine unzureichende
LDAP-Anbindung als K.O.-Kriterium für den Einsatz herausstellen sollten.
Vorab vielen Dank für jeden Tip!
Gruß,
Dejan Milosavljevic
Reply to: