Re: Anmeldung an Squid
Hallo Maxx,
Am 19.09.2010 12:38, schrieb Maxx:
Für die verschlüsselte Übertragung zwischen Browser und Squid gibt es
mehrere Möglichkeiten:
Einen SSH-Tunnel einrichten (keine Ahnung, wie das auf
Windows-Clients funktioniert), eine OpenVPN-Verbindung zwischen
Client und Squid-Server (ist ein wenig Aufwand bei der Einrichtung,
auch auf den Clients, aber läuft dann prima). Diese beiden Varianten
verschlüsseln jeglichen Verkehr zwischen dem Client-Rechner und dem
Server, nicht nur das Passwort. In einem öffentlichen WLAN würde mir
das gefallen :)
diese Variante kommt nicht in Betracht. für ein "normales" Schulnetz
jeden Client mit VPN anzubinden macht eine mögliche Nachnutzung unnötig
kompliziert.
Oder du nutzt die Möglichkeiten, die Squid bietet (ab Version 2.4
oder 2.5 - IIRC): die Digest-Authentication.
Dafür muss du IMHO in der squid.conf bei den "auth_program"-Zeilen
das "basic" durch "digest" ersetzen.
Also statt:
auth_program basic program /usr/lib/squid/ldap_auth -v 3 ....
auth program basic children 5
jetzt:
auth_program digest program /usr/lib/squid/digest_ldap_auth -v 3 ....
auth program digest children 5
usw.
Wichtig ist allerdings, dass das
Modul /usr/lib/squid/digest_ldap_auth auch vorhanden ist. Und dafür
wirst du wahrscheinlich um ein compilieren aus den Squid-Quellen
nicht herum kommen :/
das ist natürlich gar nicht schön, weil ich sowas noch nie gemacht habe.
Aber vielleicht liegt es ja auch schon compiliert vor.
Anleitung:
http://wiki.squid-cache.org/KnowledgeBase/LdapBackedDigestAuthentication
wenn ich das richtig überblicke, wird das Passwort in einem anderen
Format abgelegt: "$user:$realm:$pass". Dabei ist hier die Variable
$realm so definiert: "Squid proxy-caching web server".
so wie hier das Script funktioniert, wird das Passwortfeld mit diesem
Value beschrieben. Das wird für uns nicht so gehen, weil dann die
anderen Dienste, die das Passwort nutzen nicht mehr autorisieren können.
Ich muss also erstmal ein (schon vorhandenes) Attribut suchen, was
dieses Passwort aufnimmt und die Scripte entsprechend anpassen.
Alternative: nur digest_auth nutzen und die User in einer
entsprechenden Datei anlegen (ohne LDAP).
dieses digest-Passwort im LDAP unterzubringen sehe ich nicht als
Problem. Etwas problematischer wird die Umstellung, weil dieses Passwort
ja nur erstellt wird, wenn der User das Passwort ändert. bei uns
erhalten aber Schüler in der 5. Klasse den Account mit Passwort und
nutzen diesen bis zur 12. Klasse. Wie häufig sie das Passwort ändern
weiss ich nicht, auf jeden Fall kann es durchaus passieren, dass sie
über mehrere Jahre nicht das Netz nutzen und damit auch nicht das
Passwort ändern. Hier sind Probleme vorprogrammiert, wenn ich nicht alle
Schüler dazu bringe, innerhalb einer bestimmten Frist das Passwort zu
ändern.
Vielleicht ist der alternative Vorschlag von Uwe mit NTML die optimalere
Variante. Ich überblicke das noch nicht.
Danke für deine Antwort.
Viele Grüße
Hans-Dietrich
Reply to: