Hallo Jeroen, Na wat experimenteren ben ik er achter gekomen dat de ldap gebruikers attributen missen. Ze missen namelijk de possixAccount en password attributen. Als deze beide zijn toegevoegd lukt het wel ! Maar dan zit ik met de vraag, mis ik een schema in LDAP o.i.d.? of kan ik er voor zorgen dat deze automatisch aangemaakt/gevuld worden bij het aanmaken van de gebruiker?
Mvg, Roland Op 3 december 2009 11:48 schreef Tha Docta <[email protected]> het volgende: > Maakt (helaas) weinig verschil, hij ziet er als volgt uit; > > auth_param basic program /usr/lib/squid3/squid_ldap_auth -b > "dc=linux,dc=eu" -v 3 -f "uid=%s" -s "sub" -h 172.16.5.15 > auth_param basic children 30 > auth_param basic realm Squid proxy-caching web server > auth_param basic credentialsttl 1 hours > acl ldapuser proxy_auth REQUIRED > http_access allow ldapuser > > Op 3 december 2009 09:56 schreef Jeroen Hooyberghs <[email protected]>het > volgende: > > Ik heb nog eens gekeken wat het verschil zou kunnen zijn. Ik merk wel dat >> er in jouw config geen -f "uid=%s" bij staat. Kan je dat eens toevoegen en >> testen? (bij "auth_param basic program") >> >> >> >> On 12/02/2009 12:22 PM, Tha Docta wrote: >> >>> Jeroen, >>> >>> Van /usr/lib/squid/ldap_auth -h ben ik al heel wat wijzer geworden maar >>> om een of andre reden wil het niet lukken. >>> Met root kan ik dus wel inloggen, in de log files komt het volgende: >>> >>> 1259336205.517 228 172.16.5.15 TCP_MISS/503 2362 GET >>> http://google.nl/favicon.ico root DIRECT/*MailScanner warning: numerical >>> links are often malicious:* 216.239.59.104 <http://216.239.59.104> >>> >>> text/html (uit access.log) >>> >>> Maar met een andere gebruiker (henk) lukt het niet: >>> >>> 1259336714.792 10 172.16.5.15 TCP_DENIED/407 2648 GET http://google.nl/ >>> henk NONE/- text/html (uit access.log) >>> >>> Wat mij ook opvalt is dat er in cache.log het volgende staat: >>> >>> 2009/11/27 19:49:07| Starting Squid Cache version 3.0.STABLE8 for >>> i486-pc-linux-gnu... >>> 2009/11/27 19:49:07| Process ID 5500 >>> 2009/11/27 19:49:07| With 65535 file descriptors available >>> 2009/11/27 19:49:07| DNS Socket created at 0.0.0.0, port 42796, FD 7 >>> 2009/11/27 19:49:07| Adding nameserver 172.16.1.249 from /etc/resolv.conf >>> 2009/11/27 19:49:07| Adding domain linux.eu <http://linux.eu> from >>> >>> /etc/resolv.conf >>> 2009/11/27 19:49:07| helperOpenServers: Starting 30 'squid_ldap_auth' >>> processes >>> 2009/11/27 19:49:09| Unlinkd pipe opened on FD 42 >>> 2009/11/27 19:49:09| Local cache digest enabled; rebuild/rewrite every >>> 3600/3600 sec >>> 2009/11/27 19:49:09| Swap maxSize 102400 KB, estimated 7876 objects >>> 2009/11/27 19:49:09| Target number of buckets: 393 >>> 2009/11/27 19:49:09| Using 8192 Store buckets >>> 2009/11/27 19:49:09| Max Mem size: 8192 KB >>> 2009/11/27 19:49:10| Max Swap size: 102400 KB >>> 2009/11/27 19:49:10| Version 1 of swap file with LFS support detected... >>> 2009/11/27 19:49:10| Rebuilding storage in /var/spool/squid3 (CLEAN) >>> 2009/11/27 19:49:10| Using Least Load store dir selection >>> 2009/11/27 19:49:10| Set Current Directory to /var/spool/squid3 >>> 2009/11/27 19:49:10| Loaded Icons. >>> *2009/11/27 19:49:10| Accepting HTTP connections at 0.0.0.0, port 3128, >>> FD 44.* >>> *2009/11/27 19:49:10| Accepting ICP messages at 0.0.0.0, port 3130, FD >>> 45.* >>> 2009/11/27 19:49:10| HTCP Disabled. >>> 2009/11/27 19:49:10| Ready to serve requests. >>> 2009/11/27 19:49:10| Done reading /var/spool/squid3 swaplog (0 entries) >>> 2009/11/27 19:49:10| Finished rebuilding storage from disk. >>> *2009/11/27 19:49:10| 0 Entries scanned* >>> *2009/11/27 19:49:10| 0 Invalid entries.* >>> *2009/11/27 19:49:10| 0 With invalid flags.* >>> *2009/11/27 19:49:10| 0 Objects loaded.* >>> *2009/11/27 19:49:10| 0 Objects expired.* >>> *2009/11/27 19:49:10| 0 Objects cancelled.* >>> *2009/11/27 19:49:10| 0 Duplicate URLs purged.* >>> *2009/11/27 19:49:10| 0 Swapfile clashes avoided.* >>> 2009/11/27 19:49:10| Took 0.30 seconds ( 0.00 objects/sec). >>> 2009/11/27 19:49:10| Beginning Validation Procedure >>> 2009/11/27 19:49:10| Completed Validation Procedure >>> 2009/11/27 19:49:10| Validated 25 Entries >>> 2009/11/27 19:49:10| store_swap_size = 0 >>> 2009/11/27 19:49:10| storeLateRelease: released 0 objects >>> >>> Ik kan hieruit op maken dat er ergens een verbinding wordt gemaakt die >>> ook geaccepteerd wordt maar vervolgen op 0.0.0.0 gaat luisteren naar >>> inkomende verbindingen. >>> >>> Wat zie ik over het hoofd ? >>> >>> squid.conf is helemaal standaard op dit na (staat als eerst bovenaan); >>> >>> auth_param basic program /usr/lib/squid3/squid_ldap_auth -b >>> "dc=linux,dc=eu" -D "cn=admin,dc=linux,dc=eu" -w Mynpasshier -v 3 -s >>> "sub" >>> auth_param basic children 30 >>> auth_param basic realm Squid proxy-caching web server >>> auth_param basic credentialsttl 1 hours >>> acl ldapuser proxy_auth REQUIRED >>> http_access allow ldapuser >>> >>> Mvg, >>> >>> Roland >>> >>> >>> >>> >>> Op 1 december 2009 16:33 schreef Jeroen Hooyberghs >>> <[email protected] <mailto:[email protected]>> het volgende: >>> >>> >>> >>> On 12/01/2009 03:44 PM, Tha Docta wrote: >>> >>> >>> Het lukt nu enkel alleen met m'n root gebruiker maar niet met een >>> gebruiker uit de ldap database. >>> Kan er iets van een search link toegevoegd/aangemaakt worden >>> voor het >>> aanwijzen van de ou waar de gebruikers in staan ? >>> >>> >>> Kan het zijn dat je moet inloggen op je ldap database om opvragingen >>> te doen? Ik heb gewoon overal read-only rechten namelijk. >>> >>> Meer opties voor ldap_auth kan je opvragen door >>> /usr/lib/squid/ldap_auth -h >>> >>> >>> >>> On 12/01/2009 02:01 PM, Tha Docta wrote: >>> >>> Jeroen, >>> >>> Dat komt aardig in de richting er wordt namelijk gevraagd voor >>> username >>> en password maar als ik deze heb ingevoerd dan lijkt het alsof de >>> gegevens niet gecontrolleerd worden omdat hij blijft vragen om >>> inloggegevens zonder te laden in de browser. In access.log stat de >>> melding TCP_DENIED/407 1750 GET http://www.google.nl/gebruikersnaam >>> >>> Enig idee? >>> >>> >>> Kan je eens proberen van die instellingen gewoon helemaal >>> bovenaan je >>> squid.conf te zetten? Om zeker te zijn dat er niet nog een andere >>> http_access deny voor zit? >>> >>> Met deze instellingen werkt het bij mij en zie ik dit in de log: >>> >>> 1259677211.571 493 192.168.5.233 TCP_MISS/200 5469 GET >>> http://nl.gnome.org/ jh DIRECT/*MailScanner warning: numerical >>> links are >>> often malicious:* 62.58.32.76 <*MailScanner warning: numerical >>> links are often malicious:* http://62.58.32.76/> text/html >>> >>> >>> 1259677211.875 303 192.168.5.233 TCP_REFRESH_HIT/200 6196 GET >>> http://nl.gnome.org/images/kovoks.banner-groot.gif jh >>> DIRECT/*MailScanner warning: numerical links are often malicious:* >>> 62.58.32.76 <*MailScanner warning: numerical links are often >>> malicious:* http://62.58.32.76/> image/gif >>> >>> >>> 1259677212.551 672 192.168.5.233 TCP_REFRESH_HIT/200 36228 GET >>> http://nl.gnome.org/images/background04.png jh >>> DIRECT/*MailScanner >>> warning: numerical links are often malicious:* 62.58.32.76 >>> <*MailScanner warning: numerical links are often malicious:* >>> http://62.58.32.76/> image/png >>> >>> >>> >>> >>> >>> Groeten, >>> >>> Roland >>> >>> Op 1 december 2009 12:41 schreef Jeroen Hooyberghs >>> <[email protected] <mailto:[email protected]> >>> <mailto:[email protected] <mailto:[email protected]>> >>> <mailto:[email protected] <mailto:[email protected]> >>> <mailto:[email protected] <mailto:[email protected]>>>> >>> het >>> >>> volgende: >>> - Tekst uit oorspronkelijke bericht weergeven - >>> <mailto:[email protected] >>> <mailto:[email protected]> >>> <mailto:[email protected] >>> <mailto:[email protected]>>> >>> >>> with a subject of "unsubscribe". Trouble? Contact >>> [email protected] <mailto:[email protected]> >>> <mailto:[email protected] >>> <mailto:[email protected]>> >>> <mailto:[email protected] >>> <mailto:[email protected]> >>> <mailto:[email protected] >>> <mailto:[email protected]>>> >>> >>> >>> >>> -- >>> To UNSUBSCRIBE, email to [email protected] >>> <mailto:[email protected]> >>> >>> with a subject of "unsubscribe". Trouble? Contact >>> [email protected] <mailto:[email protected]> >>> >>> >>> >> >> -- >> To UNSUBSCRIBE, email to [email protected] >> with a subject of "unsubscribe". Trouble? Contact >> [email protected] >> >> >
