[squid-users] Antwort: Antw: [squid-users] Antwort: [squid-users] LDAP AuthenticationtoEdirectory

From: <Horst.Mundt@dont-contact.us>
Date: Wed, 19 May 2004 15:21:21 +0200


Theo,

glad I could help :-)

I think in your first config the -D parameter to squid_auth_ldap was
missing.
The LDAP helper needs this bind DN in order to bind to the directory in
order to find out if the supplied user DN exists. If the supplied user DN
exists, the helper binds to the directory with the supplied user DN and
Password to check if the password is correct.

In your case where the bind DN was missing, the helper obviously bound to
the directory using the supplied user RDN appended to your searchbase
(which failed).



Bind name:uid=schroedt,o=orgdv,ou=verwaltung,ou=zentrale,o=sb,
version:2, authen
tication:simple
Failed to resolve full context on connection 0x902dc3c0, err = no such
entry (-6
01)
Failed to authenticate full context on connection 0x902dc3c0, err = no
such entr
y (-601)
Sending operation result 32:"":"NDS error: no such entry (-601)" to
connection 0
x902dc3c0
DoUnbind on connection 0x902dc3c0
Connection 0x902dc3c0 closed


Regards Horst


                                                                                                                              
                    "Theo Schroeder"
                    <T.Schroeder@schmolz-bicke An: <Horst.Mundt@arxes.de>
                    nbach.com> Kopie:
                                                     Thema: Antwort: Antw: [squid-users] Antwort: [squid-users] LDAP
                    19.05.2004 14:33 AuthenticationtoEdirectory
                                                                                                                              
                                                                                                                              




horst,

thanks a lot, now everything works fine...

For your interest, here is the running squid.conf:

>auth_param basic program /usr/libexec/squid_ldap_auth -b o=SB -f "(cn=%s)"
-D "cn=ldapuser,ou=zentrale,o=sb" -w foo -s sub 149.0.1.5:389 -v 3
>auth_param basic children 5
>auth_param basic realm Squid proxy-caching web server
>auth_param basic credentialsttl 2 hours

>acl ldapauth proxy_auth REQUIRED
>external_acl_type ldap %LOGIN /usr/libexec/squid_ldap_group -u cn -b
"o=SB" -B "o=SB" -D "cn=ldapuser,ou=zentrale,o=sb" -w foo -s sub -h
149.0.1.5 -p 389 -F "cn=%s" -f "(&(objectClass=groupOfNames)(cn=%a)(member
=%v))"
>acl sbsecureinternet external ldap squid-internet (squid-internet is the
ldap group)
>http_access allow sbsecureinternet

Thanks, thanks, thanks

Theo


>>> <Horst.Mundt@arxes.de> 19.05.2004 12:38:57 >>>

These are my squid_ldap_auth params:

auth_param basic program /opt/squid/libexec/squid_ldap_auth -b
"dc=sk,dc=de" -f "(cn=%s)" -D "cn=Manager,dc=sk,dc=de" -w "<deleted>" -h
testproxy05 -v 3
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

Horst



                    "Theo Schroeder"

                    <T.Schroeder@schmolz-bicke An:
<Horst.Mundt@arxes.de>
                    nbach.com> Kopie:

                                                     Thema: Antwort: Antw:
[squid-users] Antwort: [squid-users] LDAP
                    19.05.2004 12:13 Authentication
toEdirectory






Horst, how are your parameters for the squid_ldap_auth, maybe there is my
error ...

Thanks
Theo

>>> <Horst.Mundt@arxes.de> 19.05.2004 11:09:39 >>>

No, I do not use edirectory but OpenLDAP.
These are the lines from my squid.conf:

external_acl_type ldap_group_helper %LOGIN
/opt/squid/libexec/squid_ldap_group -d -D "cn=Manager,dc=sk,dc=de" -w
"<deleted>" -v 3 -h testproxy05 -b "dc=sk,dc=de" -B "dc=sk,dc=de" -f "
(&(objectclass=groupOfNames)(cn=%a)(member=%v))" -F "(sn=%s)"

acl users-lvl-3 external ldap_group_helper admins

http_access allow users-lvl-3


(looks for users that are in the "admin"-Group in OpenLDAP)

Regards

Horst





                    "Theo Schroeder"

                    <T.Schroeder@schmolz-bicke An:
<Horst.Mundt@arxes.de>
                    nbach.com> Kopie:

                                                     Thema: Antw:
[squid-users] Antwort: [squid-users] LDAP Authentication
                    19.05.2004 10:57 to Edirectory







No, I change the position of the parameter, but I have the same result,

And you use Edirectory with Squid or another Ldap ? Maybe you have a sample
configuration and if
you use Edirectory a Trace ?

thanks.

Theo

>>> <Horst.Mundt@arxes.de> 19.05.2004 10:23:05 >>>

Strange, indeed. In my config I have the -D, -w, -s, -h parameters first
and then the searchfilter (-f). You might try this.
Also I think there should be a blank between the "-f" and the actual
filter. Dont know if this is required, though.


>external_acl_type ldap %LOGIN /usr/libexec/squid_ldap_group -u cn -b
"ou=zentrale,o=SB" -B "ou=orgdv,ou=verwaltung,ou=zentrale,o=SB" -F
"cn=%s"
-f"(&(&(objectClass=person)(cn=%u))(groupMembership=cn
=%g,ou=zentrale,o=sb))"
-D "cn=ldapuser,ou=zentrale,o=sb" -w foo -s sub -h 149.0.1.5 -p 389



Disclaimer

Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen
enthalten. Wenn Sie nicht der beabsichtigte Empfänger sind oder diese
E-Mail
irrtümlich erhalten haben, informieren Sie bitte sofort den Absender tele-
fonisch oder per E-Mail und löschen Sie diese E-Mail aus Ihrem System. Das
unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht
gestattet. Wir haften nicht für die Unversehrtheit von E-Mails, nachdem sie
unseren Einflussbereich verlassen haben.

This e-mail may contain confidential and/or privileged information. If you
are not the intended recipient (or have received this e-mail in error)
please
notify the sender immediately by call or e-mail and destroy this e-mail.
Any
unauthorised copying, disclosure or distribution of the material in this
e-mail is strictly forbidden. We are not responsible for the integrity of
e-mails after they have left our sphere of control.




------------------------------------------------------------------------
Der Austausch von Nachrichten mit SCHMOLZ + BICKENBACH via E-Mail
dient ausschliesslich Informationszwecken. Rechtsgeschaeftliche
Erklaerungen duerfen ueber dieses Medium nicht ausgetauscht werden.
Verfaelschungen des urspruenglichen Inhaltes dieser Nachricht bei der
Datenuebertragung koennen nicht ausgeschlossen werden.

Correspondence with SCHMOLZ + BICKENBACH via e-mail is only for
information purposes. This medium is not to be used for the exchange of
legally-binding communications. The falsification of the original
content of this message in the course of data transmission cannot
be excluded.
------------------------------------------------------------------------






Disclaimer

Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen
enthalten. Wenn Sie nicht der beabsichtigte Empfänger sind oder diese
E-Mail
irrtümlich erhalten haben, informieren Sie bitte sofort den Absender tele-
fonisch oder per E-Mail und löschen Sie diese E-Mail aus Ihrem System. Das
unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht
gestattet. Wir haften nicht für die Unversehrtheit von E-Mails, nachdem sie
unseren Einflussbereich verlassen haben.

This e-mail may contain confidential and/or privileged information. If you
are not the intended recipient (or have received this e-mail in error)
please
notify the sender immediately by call or e-mail and destroy this e-mail.
Any
unauthorised copying, disclosure or distribution of the material in this
e-mail is strictly forbidden. We are not responsible for the integrity of
e-mails after they have left our sphere of control.




------------------------------------------------------------------------
Der Austausch von Nachrichten mit SCHMOLZ + BICKENBACH via E-Mail
dient ausschliesslich Informationszwecken. Rechtsgeschaeftliche
Erklaerungen duerfen ueber dieses Medium nicht ausgetauscht werden.
Verfaelschungen des urspruenglichen Inhaltes dieser Nachricht bei der
Datenuebertragung koennen nicht ausgeschlossen werden.

Correspondence with SCHMOLZ + BICKENBACH via e-mail is only for
information purposes. This medium is not to be used for the exchange of
legally-binding communications. The falsification of the original
content of this message in the course of data transmission cannot
be excluded.
------------------------------------------------------------------------






Disclaimer

Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen
enthalten. Wenn Sie nicht der beabsichtigte Empfänger sind oder diese
E-Mail
irrtümlich erhalten haben, informieren Sie bitte sofort den Absender tele-
fonisch oder per E-Mail und löschen Sie diese E-Mail aus Ihrem System. Das
unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht
gestattet. Wir haften nicht für die Unversehrtheit von E-Mails, nachdem sie
unseren Einflussbereich verlassen haben.

This e-mail may contain confidential and/or privileged information. If you
are not the intended recipient (or have received this e-mail in error)
please
notify the sender immediately by call or e-mail and destroy this e-mail.
Any
unauthorised copying, disclosure or distribution of the material in this
e-mail is strictly forbidden. We are not responsible for the integrity of
e-mails after they have left our sphere of control.




------------------------------------------------------------------------
Der Austausch von Nachrichten mit SCHMOLZ + BICKENBACH via E-Mail
dient ausschliesslich Informationszwecken. Rechtsgeschaeftliche
Erklaerungen duerfen ueber dieses Medium nicht ausgetauscht werden.
Verfaelschungen des urspruenglichen Inhaltes dieser Nachricht bei der
Datenuebertragung koennen nicht ausgeschlossen werden.

Correspondence with SCHMOLZ + BICKENBACH via e-mail is only for
information purposes. This medium is not to be used for the exchange of
legally-binding communications. The falsification of the original
content of this message in the course of data transmission cannot
be excluded.
------------------------------------------------------------------------






Disclaimer

Diese E-Mail kann vertrauliche und/oder rechtlich geschützte Informationen
enthalten. Wenn Sie nicht der beabsichtigte Empfänger sind oder diese E-Mail
irrtümlich erhalten haben, informieren Sie bitte sofort den Absender tele-
fonisch oder per E-Mail und löschen Sie diese E-Mail aus Ihrem System. Das
unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht
gestattet. Wir haften nicht für die Unversehrtheit von E-Mails, nachdem sie
unseren Einflussbereich verlassen haben.

This e-mail may contain confidential and/or privileged information. If you
are not the intended recipient (or have received this e-mail in error) please
notify the sender immediately by call or e-mail and destroy this e-mail. Any
unauthorised copying, disclosure or distribution of the material in this
e-mail is strictly forbidden. We are not responsible for the integrity of
e-mails after they have left our sphere of control.


Received on Wed May 19 2004 - 07:21:29 MDT

This archive was generated by hypermail pre-2.1.9 : Tue Jun 01 2004 - 12:00:01 MDT