Anbindung von Squid an LDAP

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Mon Apr 27 20:34:22 CEST 2009 

Hallo Ralf,

irgendwie habe ich einige Mails nicht erhalten - will sagen es ist bei
mir die erste in diesem Thread. Da ja nicht gerade viel über diese Liste
geht meine Frage: gibt es ein Problem mit der Liste oder schlägt (bei
mir) ein Spamfilter zu? :(

RalfGesellensetter schrieb:
> Am Montag 27 April 2009 12:22:52 schrieben Sie:
>> Es gibt auch die Philosophie, in der /etc/pam.d/other alles abzudichten
>> (require pam_deny) und jeden gewünschten Dienst explizit mit einer Datei
>> freizugeben.  Meine erste PAM-Konfiguration sah so aus, mittlerweile bin
>> ich bequemer geworden.
> 
> Ich verstehe. Das schützt vor Diensten, von denen man nicht weiß, warum sie 
> laufen und ob sie Gutes tun.
> 
> Ich habe die einfache Version mal hier reingeschrieben - eine Kopie geht an 
> die Userliste. 
> 
> Gruß
> Ralf
> 
> P.S.: Funktioniert das so auch mit apache/htaccess? Denkbar wäre, ein Web-
> Verzeichnis nur für die Gruppe @students freizugeben (laut LDAP).

Beim Apache kann man problemlos ein Verzeichnis für die Gruppe students
freigeben. Dazu hat man 2 Möglichkeiten: in der conf-Datei des Apache
und auch direkt in einer '.htaccess'. Allerdings stehen bei Verwendung
der .htaccess nicht alle Parameter zur Verfügung wie bei der
Konfiguration direkt in der conf-Datei.

Auf meinem Debian-System (Lenny) sieht das für die *Lehrer* (die haben alle
auf diesem System die GID 1001) so in der default-ssl aus:

<Directory "/var/www/teacher/">
    AuthName                   "Zugang zum Lehrerinterface"
    AuthType                   Basic
    AuthBasicProvider          ldap
    AuthzLDAPAuthoritative     on
    AuthLDAPGroupAttribute     MemberUID
    AuthLDAPGroupAttributeIsDN off
    AuthLDAPURL "ldap:///ou=people,ou=accounts,dc=aramec,dc=de?uid?one?(gidNumber=1001)"
    Require                    valid-user
</Directory>


> P.P.S.: Wie minimiert man die Anzahl der Dialoge, in der der User dann sein 
> Passwort eingeben muss (das ja immer dasselbe LDAP-Passwort ist). Braucht man 
> Kerberos?

ja. Allerdings gibt es Alternativen, wenn man nur auf web-basierte
Dienste zugreifen will. Aber prinzipiell ist die Antwort: Kerberos.

Mit freundlichen Grüßen
Hans-Dietrich

More information about the User mailing list