CGatePro: Re: SQUID+LDAP (ну подскажите же кто нибудь ведь тема

От: Dmitry Akindinov <CGatePro_at_mx_ru>
Дата: Thu 31 Aug 2006 - 16:36:08 MSD

Vladimir A. Butenko wrote:

> On Thu, 31 Aug 2006 18:11:46 +0600
>  "Golota S.V." <CGatePro@mx.ru> wrote:

>> В SQUID-e прописал это:
>> auth_param basic program /usr/lib/squid/squid_ldap_auth -b
>> user@turgai.kz ip_CGPro
>> а лог на это отвечает:
>>
>> 8:13:25.088 4 LDAP-001702([192.168.10.11]) got connection on
>> [192.168.10.4]:389(turgai.kz) from [192.168.10.11]:33771
>> 18:13:26.698 5 LDAP-001702([192.168.10.11]) inp: SEQ(47) 02 01 01 60
>> 2A 02 01 02 04 17 75 69 64 3D 73 65 72 67 2C 75 73 65 72 40 74 75 72
>> 67 61 69 2E 6B 7A 80 0C 4E 42 55 65 63 62 75 66 6B 6D 67 46
>> 18:13:26.698 4 LDAP-001702([192.168.10.11]) BINDing as
>> 'uid=serg,user@turgai.kz'
>> 18:13:26.698 1 LDAP-001702([192.168.10.11]) BIND failed: wwww
>> 18:13:26.698 5 LDAP-001702([192.168.10.11]) out: 30 2C 02 01 01 61 27
>> 0A 01 31 04 00 04 20 75 6E 6B 6E 6F 77 6E 20 64 69 72 65 63 74 6F 72
>> 79 20 61 74 74 72 69 62 75 74 65 20 6E 61 6D 65
>> 18:13:26.698 5 LDAP-001702([192.168.10.11]) inp: SEQ(5) 02 01 02 42 00
>> 18:13:26.698 4 LDAP-001702([192.168.10.11]) disconnecting
>> 18:13:26.699 4 LDAP-001702([192.168.10.11]) closing connection
>> 18:13:26.699 4 LDAP-001702([192.168.10.11]) releasing stream

> 
> 
> Видимо, этот SQUID очень умный. И если не видит '=' в bindDN, 
> придумывает что-то сам, вот и получается - 'uid=serg,user@turgai.kz' - 
> вместо того, что вы сказали.

Похоже, что -b задает Base DN, который приписывается ко всем DN. Но, спасибо Гуглу, оказалось что там доступны и другие параметры. Вам не надо указывать -b (а лучше указать его пустым), а вот параметр -f надо задать в виде "%s" или "%s@domain.name". Судя по найденой Гуглом страничке, вам еще надо будет указать -D postmaster -w pm_password.

> Что наводит на мысль - а Вы хотите, чтобы оно каждого юзера отдельно 
> авторизовало? Тогда - а как эта SQUID создаёт BindDN? Если путем 
> приписывания "uid=<username>," к указанному Вами адресу - то методы с 
> E-mail не получатся. Либо научите его приписывать что-то другое, 
> например просто username, тогда базовый DN будет "@domain.com" - и оно 
> будет посылать "<username>@domain.com", либо тогда базовый  - 
> "cn=domain.com", оно приписывает uid=username, получаем 
> uid=username,cn=domain.com - и надо использовать эту форму.
> 
> Для неё надо либо хранить password в директории, либо включить LDAP 
> Provisioning - тогда CgatePro userdatabase и будет вашей директорией, и 
> он будет аутентицировать пользователя usernam@domain.com
> 
> BIND failed: wwww - это баг в 5.1c, он пишет чушь вместо реального кода 
> ошибки. Исправим в 5.1c4, но это к делу не относится. Вам надо добиться:
> а) получения нужного ВАМ BindDN в CgatePro logs
> б) аутентикации этого BindDN одним из доступных в CGatePro методов.

-- 
Best regards,
Dmitry Akindinov

Получено Thu Aug 31 12:36:10 2006

Этот архив был сгенерирован hypermail 2.1.8 : Thu 31 Aug 2006 - 17:13:02 MSD

Re: SQUID+LDAP (ну подскажите же кто нибудь ведь тема подобная была уже в 2004г)