Toon posts:

Squid met LDAP

Pagina: 1
Acties:

Verwijderd

Topicstarter
Ik heb net een Mandrake Multi Network Firewall ingericht,

maar ik krijg de SQUID toch niet aan de gang met LDAP.

Er zijn een 4tal gegevens die ik moet invullen:

Authentication Mode: Ldap
ou (ex.: people):
dc (ex.: mdk):
dc (ex.: com):
Ldap Server IP:

Deze gegeven vul ik in, maar toch authenticeert ie niet.
Wel komt keurig het login schermpje, maar wat hier ook ingevuld wordt, geen connectie.
OU laat ik leeg, echter ook als ik een nieuwe OU aan maak voor dit doel en daar gebruikers in zet, werkt het niet (uiteraard is de OU dan wel ingevuld).

De 2 DC velden bevatten het domein en extensie en het LDAP server IP bevat een IP van een van de Domain Controllers.

Zie ik wat heel stoms over het hoofd of zou het zo moeten werken?

  • TrailBlazer
  • Registratie: Oktober 2000
  • Laatst online: 07-02 09:48

TrailBlazer

Karnemelk FTW

Draait LDAP wel
Wat zeggen de logfiles.
Wat heb je zelf geprobeerd

  • Acmosa
  • Registratie: Januari 2001
  • Laatst online: 18-02 21:01

Acmosa

...no comment.

Naar wat voor ldap server probeer je te connecten?

(een klimhaak voor in een rotsspleet)

But then again, I could be wrong..


Verwijderd

Topicstarter
Wat heb ik geprobeerd:

met OU: leeg, met OU Users (hoewel dat een CN is), met OU Exchange, alles leeg, alles gevuld, zonder authenticatie (dan werkt ie perfect)

Een nieuwe OU aangemaakt in mijn Active Directory, daar een user in geplaatst.
Vervolgens bij SQUID het zaakje geconfigureerd met die gegevens.

(to no avail).

LDAP loopt, ga ik vanuit, want met een LDAP browser krijg ik wel results. Er staat een Exchange Server op deze machine, en bij mijn weten heeft die LDAP.

[ Voor 43% gewijzigd door Verwijderd op 02-05-2005 16:20 ]


  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Probeer eens te kijken met 'ldapsearch'.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • Acmosa
  • Registratie: Januari 2001
  • Laatst online: 18-02 21:01

Acmosa

...no comment.

al geprobeerd om met inlogaan@domeinnaam.ext in te loggen, als inlogaan voor je authenticatie?

[ Voor 24% gewijzigd door Acmosa op 02-05-2005 16:20 ]

But then again, I could be wrong..


Verwijderd

Topicstarter
Met ldapsearch krijg ik gewoon resultaten terug, dus hij loopt weldegelijk.
(geen OU units though)

de LDAPSEARCH (voor windhoos) wil wel inloggen. (inderdaad met naam@domein.ext)

Squid weigert echter nog steeds.

Ter info; de web interface maakt dit er van

# authentication
authenticate_program /usr/lib/squid/squid_ldap_auth -b ou=,dc=domein,dc=ext server
authenticate_children 5
authenticate_ttl 1 hour
authenticate_ip_ttl 60 seconds

uiteraard zijn domein, ext en server netjes ingevuld.

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Weet je hoe ldap werkt? Want als je op lege OU's gaat zoeken werkt het niet. Pas die authenticate_program zodanig aan dat de search base (achter -b) klopt met de je active directory. Meestal kom je dan op iets als -b cn=users,dc=domain,dc=ext uit.

All my posts are provided as-is. They come with NO WARRANTY at all.


Verwijderd

Topicstarter
I know.

dit is hoe het uit de web interface komt. Daar heb je helemaal geen mogelijkheid tot het invullen van cn objecten. Als ik OU invul werkt het overigens ook niet.

Echter ook als ik het aanpas naar: -b cn=users,dc=domein,dc=ext server_ip
werkt het niet. Terwijl het toch echt goed zou moeten zijn. (heb ook al eens Users met hoofdletter U geprobeerd, in verband met de Case Sensitivity, maar ook dat mag niet baten.)

Wat me wel opvalt, als ik met die LDAPSearch kijk, er helemaal geen CN USERS naar voren komt.
Alleen een Configuration....thats it.

  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Klopt. Als je niet authenticate krijg je namelijk alleen wat configuratie info.

Kijk eens in je AD admin panel dingetje en vul gewoon in reverse order in:
"ldapsearch -WxD 'cn=<volledige naam>,ou=<1e Organisational Unit>,dc=domain,dc=ext' -b dc=domain,dc=ext", met eventueel meer OU's e.d.
't komt er op neer dat je gewoon je hierarchie moet aflopen.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

Staat ook keurig uitgelegd op http://group-ldap-auth.sourceforge.net/
Overigens moet je volges mijn niet de indruk hebben dat je authenticeert tegen Active Directory; dat gaat namelijk via Kerberos en niet via LDAP. Squid kijkt alleen of de account die jij beweert te zijn, lid is van een of meerdere groepen.

QnJhaGlld2FoaWV3YQ==


  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Brahiewahiewa schreef op dinsdag 03 mei 2005 @ 10:14:
Overigens moet je volges mijn niet de indruk hebben dat je authenticeert tegen Active Directory; dat gaat namelijk via Kerberos en niet via LDAP.
Dat kan ook prima hoor. Door met een bepaalde distinguished name te binden aan de LDAP. Als dat lukt klopte het paswoord, anders niet.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • Bas!
  • Registratie: April 2000
  • Laatst online: 30-11-2025
Toch lijkt me NTLM en/of Kerberos authenticatie meer zoals microsoft het bedacht heeft. Welke waarde je hieraan hecht is natuurlijk aan jezelf
Pagina: 1