Mit trasparentem Proxy ist kein auth möglich
Hallo zusammen, ich habe mich nun länger mit dem Problem befasst das ich unseren Proxy, der im transparenten Modus läuft, an den LDAP-Server anbinden wollte. Die User die am LDAP (PDC->LDAP) angemeldet sollen mit diesen Userdaten auch im Squid laufen und Rechner, wie z.B. Laptops die nicht in der Samba-Domäne sind bzw. die Linux-Ldaptops die nicht als LDAP-Client eingerichtet sind sollten vom Squid eine Login-Page bekommen wo sie sich wiederum am LDAP anmelden können. Ich habe mir die Dokus zum Squid3 geholt und da steht: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Synopsis Some of the authenticator helper programs available for Squid are PAM, NCSA, UNIX passwd, SMB, NTLM, etc. Note that authentication cannot work on a transparent proxy or HTTP accelerator. The HTTP protocol does not provide for two authentication stages (one local and one on remote Web sites). So in order to use an authenticator, your proxy must operate as a traditional proxy, where a client will respond appropriately to a proxy authentication request as well as external Web server authentication requests. Note: proxy_auth can't be used in a transparent proxy. It collides with any authentication done by origin servers. It may seem like it works at first, but it doesn't. When a Proxy-Authentication header is sent but it is not needed during ACL checking the username is NOT logged in access.log. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Also kann ich das vergessen. Nur für den Fall das jemand von Euch mal gleiches vorhat. Viele Grüße Sven Gehr Linux-User-Nummer: 368994
* Sven Gehr wrote on Tue, Dec 13, 2005 at 12:36 +0100:
ich habe mich nun länger mit dem Problem befasst das ich unseren Proxy, der im transparenten Modus läuft, an den LDAP-Server anbinden wollte. Die User die am LDAP (PDC->LDAP) angemeldet sollen mit diesen Userdaten auch im Squid laufen und Rechner, wie z.B. Laptops die nicht in der Samba-Domäne sind bzw. die Linux-Ldaptops die nicht als LDAP-Client eingerichtet sind sollten vom Squid eine Login-Page bekommen wo sie sich wiederum am LDAP anmelden können.
Wenn es nicht unbedingt HTTP konform und vor allem nur für "interaktive Browser" funktionieren muss ("surfmode"), müsste sowas wie: http://sws.dett.de/squid-IP_AUTH.shtml bzw. http://sws.dett.de/squid-IP_AUTH/squid-IP_AUTH-Diagramm.pdf http://sws.dett.de/squid-IP_AUTH/squid-IP_AUTH.pdf ist sicherlich nicht "voll HTTP konform", weil man eine Proxyanmeldung vermutlich nicht so redirecten "darf" und der Client gar nicht "mitkriegt", dass ein Proxy authentifiziert hat, aber für ne Firewall ist das IMHO schon prima :) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel.
participants (2)
-
Steffen Dettmer
-
Sven Gehr