Squid mit ldap-Authentifizierung: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
David (Diskussion | Beiträge) |
|||
Zeile 44: | Zeile 44: | ||
echo username ’Passwort' | /usr/lib/squid3/basic_ldap_auth -b "dc=xinux,dc=de" -f "uid=%s" -h 192.168.240.69 | echo username ’Passwort' | /usr/lib/squid3/basic_ldap_auth -b "dc=xinux,dc=de" -f "uid=%s" -h 192.168.240.69 | ||
</pre> | </pre> | ||
+ | |||
+ | |||
+ | =Squid mit ldap-Authentifizierung ssl verschlüselt= | ||
+ | |||
+ | *momentan werden die anmelde daten noch in klartext übertragen dies stellt ein sicherheitsrisiko dar deswegen verschlüseln wier jetzt mit ssl | ||
+ | |||
+ | ==vom client zum squid== | ||
+ | |||
+ | *zur verschlüsselung auf der server seite setzen wier stunnel ein | ||
+ | |||
+ | stunnel konfiguration | ||
+ | |||
+ | vi /etc/stunnel/stunnel.conf | ||
+ | |||
+ | output = /var/log/stunnel.log | ||
+ | cert = /etc/ssl/squid.domain.org.crt | ||
+ | key = /etc/ssl/squid.domain.org.key | ||
+ | CAfile = /etc/ssl/root-ca.crt | ||
+ | |||
+ | [to-server] | ||
+ | accept = 9999 | ||
+ | connect = 127.0.0.1:3128 | ||
+ | verify = 2 | ||
+ | |||
+ | *erstellen eines proxy pac für firefox | ||
+ | |||
+ | vi proxy.pac | ||
+ | |||
+ | function FindProxyForURL(url, host) { return "HTTPS squid.domain.org:9999"; } | ||
+ | |||
+ | Fierfox einstellungen | ||
+ | *Bearbeiten | ||
+ | **Erweitert | ||
+ | ***Netzwerk | ||
+ | ****(Verbindung) Einstellungen... | ||
+ | *****Automatische Proxy-Konfiguration-URL: | ||
+ | ****** Hier URl oder Pfad zum proxy.pac eintragen | ||
+ | [[Datei:fertigproxypac.png]] | ||
+ | *jetzt muss noch das client zertifikat importiert werden | ||
+ | * bei eigener zertifizierungstelle dran deneken auch das zertifikat der zertifizierungstelle zu importiern | ||
+ | *Bearbeiten | ||
+ | **Erweitert | ||
+ | ***Zertifikate | ||
+ | ****Zertifikate |
Version vom 12. Mai 2016, 10:09 Uhr
Vorraussetzungen:
- eingerichteter ldap-Server
- squid 3
squid.conf anpassen
- ldap-authentifizierung konfigurieren
auth_param basic program /usr/lib/squid3/basic_ldap_auth -b "dc=xinux,dc=de" -f "uid=%s" -h 192.168.240.69 auth_param basic children 50 auth_param basic realm Web-Proxy auth_param basic credentialsttl 1 minute auth_param basic casesensitive off
- acl anlegen
#### acl ldap_users proxy_auth REQUIRED acl SSL_ports port 443
- acl anwenden
http_access allow ldap_users http_access allow manager localhost http_access deny manager http_access deny !Safe_ports
- squid neustarten
service squid3 restart
- Konnektivität zum ldap-Servers überprüfen
echo username ’Passwort' | /usr/lib/squid3/basic_ldap_auth -b "dc=xinux,dc=de" -f "uid=%s" -h 192.168.240.69
Squid mit ldap-Authentifizierung ssl verschlüselt
- momentan werden die anmelde daten noch in klartext übertragen dies stellt ein sicherheitsrisiko dar deswegen verschlüseln wier jetzt mit ssl
vom client zum squid
- zur verschlüsselung auf der server seite setzen wier stunnel ein
stunnel konfiguration
vi /etc/stunnel/stunnel.conf output = /var/log/stunnel.log cert = /etc/ssl/squid.domain.org.crt key = /etc/ssl/squid.domain.org.key CAfile = /etc/ssl/root-ca.crt [to-server] accept = 9999 connect = 127.0.0.1:3128 verify = 2
- erstellen eines proxy pac für firefox
vi proxy.pac function FindProxyForURL(url, host) { return "HTTPS squid.domain.org:9999"; }
Fierfox einstellungen
- Bearbeiten
- Erweitert
- Netzwerk
- (Verbindung) Einstellungen...
- Automatische Proxy-Konfiguration-URL:
- Hier URl oder Pfad zum proxy.pac eintragen
- Automatische Proxy-Konfiguration-URL:
- (Verbindung) Einstellungen...
- Netzwerk
- Erweitert
- jetzt muss noch das client zertifikat importiert werden
- bei eigener zertifizierungstelle dran deneken auch das zertifikat der zertifizierungstelle zu importiern
- Bearbeiten
- Erweitert
- Zertifikate
- Zertifikate
- Zertifikate
- Erweitert