Re: Anmeldung an Squid

To: debian-user-german@lists.debian.org
Subject: Re: Anmeldung an Squid
From: Maxx <linux@houdek.de>
Date: Sun, 19 Sep 2010 12:38:09 +0200
Message-id: <20100919123809.fdf2f8b1.linux@houdek.de>
In-reply-to: <4C94E95F.8010609@laverenz.de>
References: <4C94E09A.8010601@gmx.de> <4C94E95F.8010609@laverenz.de>

Uwe Laverenz wrote on Sat, 18 Sep 2010 18:31:27 +0200:
> Am 18.09.2010 17:54, schrieb Hans-Dietrich Kirmse:
> 
> > Aber: bei der Anmeldung geht das Passwort im Klartext übers Netz.
> > Und ich kenne keine wirkliche Lösung dafür. Alle anderen bei uns
> > genutzten Dienste (Samba, Webserver, Mail, SSH) gibt es dieses
> > Problem nicht oder sind Lösungen bekannt (FTP). Deswegen wäre ich
> > schon an einer Lösung interessiert, die diesen Anmeldevorgang so
> > gestaltet, dass man hier das Passwort nicht abhören kann.
> 
> Auch bei Verwendung von LDAP kannst Du die Verbindung
> verschlüsseln, für Squid siehe "SSL/TLS adjustments" auf folgender
> Seite:
> 
> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Ldap

Dachte ich erst auch, aber der TO ist an einer verschlüsselten
Übertragung zwischen Client und Squid interessiert. Die Verbindung
zum LDAP läuft eh nur über localhost.

Für die verschlüsselte Übertragung zwischen Browser und Squid gibt es
mehrere Möglichkeiten:
Einen SSH-Tunnel einrichten (keine Ahnung, wie das auf
Windows-Clients funktioniert), eine OpenVPN-Verbindung zwischen
Client und Squid-Server (ist ein wenig Aufwand bei der Einrichtung,
auch auf den Clients, aber läuft dann prima). Diese beiden Varianten
verschlüsseln jeglichen Verkehr zwischen dem Client-Rechner und dem
Server, nicht nur das Passwort. In einem öffentlichen WLAN würde mir
das gefallen :)

Oder du nutzt die Möglichkeiten, die Squid bietet (ab Version 2.4
oder 2.5 - IIRC): die Digest-Authentication.

Dafür muss du IMHO in der squid.conf bei den "auth_program"-Zeilen
das "basic" durch "digest" ersetzen. 
Also statt:
auth_program basic program /usr/lib/squid/ldap_auth -v 3 ....
auth program basic children 5

jetzt:
auth_program digest program /usr/lib/squid/digest_ldap_auth -v 3 ....
auth program digest children 5

usw.

Wichtig ist allerdings, dass das
Modul /usr/lib/squid/digest_ldap_auth auch vorhanden ist. Und dafür
wirst du wahrscheinlich um ein compilieren aus den Squid-Quellen
nicht herum kommen :/

Anleitung:
http://wiki.squid-cache.org/KnowledgeBase/LdapBackedDigestAuthentication

Alternative: nur digest_auth nutzen und die User in einer
entsprechenden Datei anlegen (ohne LDAP).

hth

-- 
Maxx <linux@houdek.de>

Reply to:

Follow-Ups:
- Re: Anmeldung an Squid
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

References:
- Anmeldung an Squid
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>
- Re: Anmeldung an Squid
  - From: Uwe Laverenz <uwe@laverenz.de>

Prev by Date: Re: Lenny und ein 3ware-Raid-Controller
Next by Date: Re: Anmeldung an Squid
Previous by thread: Re: Anmeldung an Squid
Next by thread: Re: Anmeldung an Squid
Index(es):
- Date
- Thread