Windows server 2008-on állítottam be egy Squid 2.7-et basic LDAP authentikációval (Novell szerver eDir, nem AD). Ezt szeretném átalakítani úgy, hogy ne küldözgesse nekem a jelszavakat plaintextben. Elvileg digest LDAP auth kell nekem, de képtelen vagyok beállítani, és nagyon nem találok semmi használhatót neten.
Van itt digest_edir_auth és digest_ldap_auth helper is, de lövésem sincs hogy állítsam be őket. A mostani konfig így néz ki:
auth_param basic program C:/squid/libexec/squid_ldap_auth.exe -b "o=kisfa" -f "uid=%s" -h ldapszerver
...
external_acl_type ldap_group %LOGIN c:/squid/libexec/squid_ldap_group.exe -b "ou=csoportok,o=kisfa" -f "(&(member=%u)(cn=%g)(objectClass=group))" -F "uid=%s" -B "o=kisfa" ldapszerver
...
acl ldapauth proxy_auth REQUIRED
acl ldap_group external ldap_group internet
...
http_access allow ldap_group
http_access deny all
- 3253 megtekintés
Hozzászólások
Sziasztok!
Kicsit régi ez a topic, de mivel hasonló problémával szembesültem Én is gondoltam teszek egy próbát.
Az Én esetemben annyival másabb a felállás, hogy nem Windows server-en fut a squid hanem SLES11SP4-en.
Az lenne a kérdésem, hogy sikerült azóta valakinek digest_edir_auth-el vagy digest_ldap_auth-al megvalósítani, hogy a jelszó ne plaintextben utazzon?
Válaszotokat előre is köszönöm!
- A hozzászóláshoz be kell jelentkezni
Hiába megy titkosítva a jelszó a Squid és az LDAP (eDirectory) szerver között, ha a böngésző és a Squid között titkosítatlanul megy...
- A hozzászóláshoz be kell jelentkezni
LDAPS? Amúgy az előttem szólónak igaza van, ettől még a browser nem fogja titkosítva küldeni a kérést a squidnek...
- A hozzászóláshoz be kell jelentkezni
Véleményem szerint a digest pont arra való, hogy a jelszó hash-elve utazzon a kliens és a squid között.
https://en.wikipedia.org/wiki/Digest_access_authentication
A megoldás kulcsa az volt, hogy az eDirectory-ból a jelszót a digest_edir_auth helperrel Universal Password formában kellett lekérni.
- A hozzászóláshoz be kell jelentkezni