[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Anmeldung an Squid

Hallo Uwe, Sven und Maxx,

ersteinmal herzlichen Dank für eure Antworten.
Ich gebe ehrlich zu, dass ich nicht wirklich mit einer Antwort gerechnet habe. Ich hatte natürlich auch vorher recherchiert (allerdings nur im deutschsprachigen Netz, da ich kein englisch kann und mir auch nicht mehr aneignen werde - bin einfach zu alt dafür) und es findet sich im squid-handbuch (www.squid-handbuch.de) nicht der kleinste Hinweis. Auch bei 
 http://blog.proesdorf.de/2010/06/29/squid-proxy-konfigurieren.html
ist nichts dazu, wirklich nichts außer einer Überschrift ohne Inhalt, zu finden. 

Am 18.09.2010 19:21, schrieb Maxx:


Aber: bei der Anmeldung geht das Passwort im Klartext übers Netz.
Und ich kenne keine wirkliche Lösung dafür. Alle anderen bei uns
genutzten Dienste (Samba, Webserver, Mail, SSH) gibt es dieses
Problem nicht oder sind Lösungen bekannt (FTP). Deswegen wäre ich
schon an einer Lösung interessiert, die diesen Anmeldevorgang so
gestaltet, dass man hier das Passwort nicht abhören kann.


Wenn du LDAP Version 3 nutzt, kannst du beim Aufruf von ldap_auth den
Parameter -Z mitgeben (in der squid.conf), dann wird verschlüsselt
übertragen, z.B. so (ungetestet):

auth_param basic program /usr/lib/squid/ldap_auth -v
3 -Z -b dc=example,dc=org -f "uid=%s"<LDAP-Server>


das entspricht in etwa dem, was Uwe hiermit angegeben hat:

 http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ldap
ob nun -Z oder -ZZ genommen werden sollte sei dahingestellt, denn das ist nicht das Problem. Ich habe mal den Text auf dieser Seite mit Google Translater übersetzen lassen: 

<kopie>
Falls Sie sich für eine Lösung suchen, um Squid-Nutzern auf einem LDAP-Server authentifizieren durch eine SSL / TLS-gesicherten Kanal dann pass-ZZ Argument squid_ldap_auth Programm. Weitere Informationen finden Sie im Handbuch squid_ldap_auth * (i) Hinweis: Sie sollten Ihre SSL-Zertifikate generiert haben und stellte sie unter / etc / openldap / cacerts Verzeichnis auf Squid-Server, bevor Sie den sicheren Kanal-Authentifizierung. Denken Sie daran, dass diese nur den Datenverkehr sichert Squid <-> LDAP-Server, nicht-Browser <-> Squid. Für SSL / TLS Ihre squid_ldap_auth line aussehen wird ... 

</kopie>
Ich denke, dass ist eindeutig: "Denken Sie daran, dass diese nur den Datenverkehr sichert Squid <-> LDAP-Server, nicht-Browser <-> Squid."
Bei uns ist der Squid und der LDAP auf der gleichen Maschine. Es geht mir gerade um die Verbindung Browser <-> Squid. Das ist mein Problem! 

gibt es noch weitere Ideen?

MfG Hans-Dietrich
Reply to: