On Thu, 31 Aug 2006 18:11:46 +0600
"Golota S.V." <CGatePro@mx.ru> wrote:
> В SQUID-e прописал это:
> auth_param basic program /usr/lib/squid/squid_ldap_auth -b user@turgai.kz
>ip_CGPro
> а лог на это отвечает:
>
> 8:13:25.088 4 LDAP-001702([192.168.10.11]) got connection on
>[192.168.10.4]:389(turgai.kz) from [192.168.10.11]:33771
> 18:13:26.698 5 LDAP-001702([192.168.10.11]) inp: SEQ(47) 02 01 01 60 2A 02
>01 02 04 17 75 69 64 3D 73 65 72 67 2C 75 73 65 72 40 74 75 72 67 61 69 2E
>6B 7A 80 0C 4E 42 55 65 63 62 75 66 6B 6D 67 46
> 18:13:26.698 4 LDAP-001702([192.168.10.11]) BINDing as
>'uid=serg,user@turgai.kz'
> 18:13:26.698 1 LDAP-001702([192.168.10.11]) BIND failed: wwww
> 18:13:26.698 5 LDAP-001702([192.168.10.11]) out: 30 2C 02 01 01 61 27 0A
>01 31 04 00 04 20 75 6E 6B 6E 6F 77 6E 20 64 69 72 65 63 74 6F 72 79 20 61
>74 74 72 69 62 75 74 65 20 6E 61 6D 65
> 18:13:26.698 5 LDAP-001702([192.168.10.11]) inp: SEQ(5) 02 01 02 42 00
> 18:13:26.698 4 LDAP-001702([192.168.10.11]) disconnecting
> 18:13:26.699 4 LDAP-001702([192.168.10.11]) closing connection
> 18:13:26.699 4 LDAP-001702([192.168.10.11]) releasing stream
Видимо, этот SQUID очень умный. И если не видит '=' в bindDN, придумывает что-то сам, вот и получается - 'uid=serg,user@turgai.kz' - вместо того, что вы сказали.
Что наводит на мысль - а Вы хотите, чтобы оно каждого юзера отдельно авторизовало? Тогда - а как эта SQUID создаёт BindDN? Если путем приписывания "uid=<username>," к указанному Вами адресу - то методы с E-mail не получатся. Либо научите его приписывать что-то другое, например просто username, тогда базовый DN будет "@domain.com" - и оно будет посылать "<username>@domain.com", либо тогда базовый - "cn=domain.com", оно приписывает uid=username, получаем uid=username,cn=domain.com - и надо использовать эту форму.
Для неё надо либо хранить password в директории, либо включить LDAP Provisioning - тогда CgatePro userdatabase и будет вашей директорией, и он будет аутентицировать пользователя usernam@domain.com
BIND failed: wwww - это баг в 5.1c, он пишет чушь вместо реального кода ошибки. Исправим в 5.1c4, но это к делу не относится. Вам надо добиться: а) получения нужного ВАМ BindDN в CgatePro logs б) аутентикации этого BindDN одним из доступных в CGatePro методов.
> --
> ______________________
> Golota S.V.
> JSC "Turgai-Petroleum"
> E-mail:serg@turgai.kz
> sip:serg@turgai.kz
> Tel:+7 3242 261227 Tel:+7 3242 261610
> Mob:+73332435230
>
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
> Архив списка: http://mx.demos.su/lists/cgp-russian/
>
>
>
Sincerely,
Vladimir
Получено Thu Aug 31 12:26:56 2006
Этот архив был сгенерирован hypermail 2.1.8 : Thu 31 Aug 2006 - 17:13:02 MSD