Squid3 + openLdap Debian

linux Varios

Hace unos dí­as, me tocó usar squid contra openLdap para autentificar los usuarios. A priori, es bastante más fácil que contra un active directory, ya que no hace falta ni kerberos, samba ni windbind.
Partimos de la base que ya tenemos el openLdap funcionando correctamente y nuestro squid también… así­ que ahora, editamos el fichero /etc/squid3/squid.conf y lo dejamos tal que:

auth_param basic program /usr/lib/squid3/squid_ldap_auth -b "dc=craem,dc=net" -f "uid=%s" -h 192.168.2.5
auth_param basic children 30
auth_param basic realm Servidor Proxy cRAeM
auth_param basic credentialsttl 6 hours
auth_param basic casesensitive off
acl usuariosLdap proxy_auth REQUIRED
https_access allow usuariosLdap
https_access deny all

Antes de todo, miraremos si tenemos el fichero /usr/lib/squid3/squid_ldap_auth y probamos si el ldap funciona correctamente, haciendo la siguiente prueba:

root@proxy:/etc/squid3# /usr/lib/squid3/squid_ldap_auth -b "dc=craem,dc=net" -f "uid=%s" 192.168.2.5

Le damos al intro y ponemos un user y password:

root@netflow:/etc/squid3# /usr/lib/squid3/squid_ldap_auth -b "dc=craem,dc=net" -f "uid=%s" 192.168.2.5
usuario password
OK

Si sale Ok, entonces es que funcionará.. sinó, pues es que faltará alguna librerí­a o similar
El primer parámetro: auth_param basic children
Indica el número máximo de procesos de auth concurrentes… ojo si tenemos muchos usuarios y colocamos un número bajo, aunque no deberí­a ser problema.
auth_param basic realm Servidor Proxy cRAeM
Es lo que saldrá en la ventanita de user / pass … me gusta tenerlo personalizado 😉
auth_param basic credentialsttl 6 hours
Básicamente, el tiempo que tendrá cacheada nuestras credenciales
auth_param basic casesensitive off
Pues eso
El resto:

acl usuariosLdap proxy_auth REQUIRED
https_access allow usuariosLdap
https_access deny all

acl usuariosLdap proxy_auth REQUIRED
Definimos la acl usuariosLdap con autenticación requerida
https_access allow usuariosLdap
https_access deny all

Permitimos el acceso a los usuarios autentificados y el resto… deny
Enjoy your ldap + squid

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *