Написал небольшую статью по настройке аутентификации: Squid+PAM+OpenLDAP(slapd)

0

0

Написал небольшую статью по настройке аутентификации: Squid+PAM+OpenLDAP(slapd).
Опубликована для проверки и вычитки здесь: http://lubyagin.discrete.ru/download/squid+ldap-admin-manual-0.0.1-2.txt
У кого есть замечания по содержанию и оформлению статьи - пишите сюда, или на почту.

Обсуждения задачи вел на трех форумах:
http://www.linux.org.ru/view-message.jsp?msgid=3636322
http://forum.e-kirov.ru/index.php?showtopic=13184#
http://www.lug.nnov.ru/forum.php?forum=6&topic=1849

Ссылка

←	При сохранении изменённого файла по сети: Неожиданная ошибка: Not a directory

dd в скрипте

→

Спасибо, почитал, но для меня как-то суховато. Почему-то везде в основном хаутушки, где главным образом выдержки из непонятно откуда взявшихся конфигов. Наподобие "это строка у нас такая, потомучто должна быть такой". Вот например, почему выбран именно PAM? Или хотя бы какая изначально задача решалась("аутентификация Squid+PAM+OpenLDAP" - это уже конкретное решение)?

А что используете для формирования отчетов?

madcore ★★★★★
(23.04.09 14:52:10 MSD)

Ответ на: комментарий от madcore 23.04.09 14:52:10 MSD

> Спасибо, почитал, но для меня как-то суховато.

Есть такое, писал для себя, в виде технического отчета, на память.

> Почему-то везде в основном хаутушки, где главным образом выдержки
> из непонятно откуда взявшихся конфигов. Наподобие "это строка у нас
> такая, потомучто должна быть такой".

У меня был подход к настройке сервера по принципу - "работает - не
трогай". То есть в исходные конфиги вносилось минимум поправок.

> Вот например, почему выбран именно PAM?

Потому что настроить ldap_auth у меня не получилось - Squid ругался на
неправильно настроенную схему. Мне оказалось проще настроить именно
через PAM. К тому же, PAM может использовать кроме LDAP'а массу другим
методов аутентификации и проверки имени пользователя. Аналог PAM'а -
ODBC (в базах данных).

> Или хотя бы какая изначально задача решалась("аутентификация Squid+PAM+OpenLDAP" - это уже конкретное решение)?

Изначально решалась задача управлять учетными записями Samba, Squid из
одной программы, для этого - хранить их в LDAP.

> А что используете для формирования отчетов?

Ничего, статистика собирается программами NetAMS и SARG.

pacify ★★★★★
(23.04.09 15:25:23 MSD) автор топика

Ответ на: комментарий от pacify 23.04.09 15:25:23 MSD

>> А что используете для формирования отчетов?

> Ничего, статистика собирается программами NetAMS и SARG.

Кстати, SARG (/squid-reports) подставляет в итоговые отчеты уже имена пользователей, а не имена машин (IP-адреса).

pacify ★★★★★
(23.04.09 15:26:28 MSD) автор топика

Ссылка

Небольшое дополнение (пока не отражено в статье):
----
Пример аутентификации пользователя 'test' программой su:
$ su - test
Password:
LDAP Password:
test@debian:~$ id
uid=1024(test) gid=1(daemon) groups=1(daemon)
----
Для настройки использования модуля pam_unix совместно с модулем pam_ldap (сервисом 'squid')
достаточно задать следующий файл настроек, /etc/pam.d/squid:
#%PAM-1.0
account sufficient pam_unix.so
account requisite pam_ldap.so try_first_pass
auth sufficient pam_unix.so
auth requisite pam_ldap.so try_first_pass
----
Для проверки выполнения аутентификации пользователей модулем сервера Squid, pam_auth,
можно использовать непосредственный запуск данного программного модуля из командной строки:
$ sudo /usr/lib/squid/pam_auth -t 60
test password
OK
test wrongpassword
ERR
----