Hallo !
Meine letzt message war offensichtlich nicht so richtig zu verstehen, denn Antwort hab' ich keine einzige erhalten :-(
Deshalb versuche ich hier das zu beschreiben, was ich im Hinblick auf proxy_authentication getan habe und wie der Stand ist.
Was will ich? Jeder user soll sich vor Benutzung des zentralen squid anmelden müssen.
1. Ich verwende eine ziemlich originale SuSE 6.3. 2. Nur den squid habe ich aktualisiert: squid/2.2-STABLE5-25. 3. In der squid.conf neben den standardmäßigen Einträgen noch speziell wegen der proxy_auth-Problematik folgende Einträge gemacht bzw. geändert: authenticate_progam /usr/etc/passwd acl password proxy_auth <ich_als_user> REQUIRED 4. Mit einem Zusatzprogramm von www.ritterhofer.de eine Datei /usr/etc/passwd erzeugt mit dem Inhalt: root:x ... <ich_als_user>:x (statt x auch das richtige PW versucht!)
Trotzdem komme ich als user mit Netscape nicht am squid vorbei an die INET-Seiten!?! ACCESS DENIED! Als root klappt das aber!
Wer kann da helfen? Oder gehe ich gar ganz falsch an die Problematik ran??
Danke! Peter.
On Sun, Jan 23, 2000 at 01:01:00PM +0100, Peter Zabelt wrote:
Hallo !
Meine letzt message war offensichtlich nicht so richtig zu verstehen, denn Antwort hab' ich keine einzige erhalten :-(
Deshalb versuche ich hier das zu beschreiben, was ich im Hinblick auf proxy_authentication getan habe und wie der Stand ist.
Was will ich? Jeder user soll sich vor Benutzung des zentralen squid anmelden müssen.
- Ich verwende eine ziemlich originale SuSE 6.3.
- Nur den squid habe ich aktualisiert: squid/2.2-STABLE5-25.
- In der squid.conf neben den standardmäßigen Einträgen noch speziell wegen der proxy_auth-Problematik folgende Einträge gemacht bzw. geändert: authenticate_progam /usr/etc/passwd acl password proxy_auth <ich_als_user> REQUIRED
- Mit einem Zusatzprogramm von www.ritterhofer.de eine Datei /usr/etc/passwd erzeugt mit dem Inhalt:
Das dürfte das Problem sein: Hinter der Option "authenticate_progam" muss wirklich ein Programm (z.B. Perlskript) stehen, dass name und passwort von STDIN liest (ein Paar pro Zeile) und entweder OK oder ERR ausgibt. Du kannst also nicht die Passwortdatei direkt hinter authenticate_program schreiben sondern musst ein kleines Programm erstellen, dass deine passwortdatei anhand der uebergebene Werte auswertet und den oben beschriebenen Output liefert.
Ich habe damit zwar noch nichts gemacht, die Erlaeuterung in der squid.conf verstehe ich aber so und halte das fuer eine sehr nettes feature.
Reinhard
On Sun, Jan 23, 2000 at 01:01:00PM +0100, Peter Zabelt wrote: : Hallo ! : : Meine letzt message war offensichtlich nicht so richtig zu verstehen, denn : Antwort hab' ich keine einzige erhalten :-(
Ich denke, ich hatte geantwortet ...
: 3. In der squid.conf neben den standardmäßigen Einträgen noch speziell : wegen der proxy_auth-Problematik folgende Einträge gemacht bzw. : geändert: : authenticate_progam /usr/etc/passwd
~~~~~~~~~~~~~~~~~ hier moecht er ein Programm!
: acl password proxy_auth <ich_als_user> REQUIRED
Bei mir sieht es so aus:
authenticate_program /usr/local/sbin/squid_auth.pl acl passwd proxy_auth REQUIRED
: 4. Mit einem Zusatzprogramm von www.ritterhofer.de eine Datei : /usr/etc/passwd erzeugt mit dem Inhalt: : root:x : ... : <ich_als_user>:x (statt x auch das richtige PW versucht!) : : Trotzdem komme ich als user mit Netscape nicht am squid vorbei an die : INET-Seiten!?! ACCESS DENIED! Als root klappt das aber!
Das das mit root klappt, wundert mich, aber ich kenne das das Programm nicht. So wie Du's eingetragen ist, wird ja /usr/etc/passwd versucht, als Programm zu starten. Das wird nicht funktioniern.
Ich haenge hier mal einen Script an, der ist mein o.g. squid_auth.pl, er wird vom Squid gestartet und liest aus einer Datei /etc/squid.passwd die Leute, die ueberhaupt den Squid benutzten duerfen. Sollte einer der dort aufgefuehrten versuchen, sich anzumelden, wird das PW gegen das in /etc/passwd (bzw. /etc/shadow) geprueft. Es sind alles nur POP-Accounts, deshalb kommt es auf ein weiteres clear-text-verschicken des Unix-PW auch nicht an ...
Natuerlich kannst Du den Script ja aendern, so dass er eine eigene PW-Datei pflegt.
[Zum Script: . es muss suid-root laufen (brauchst also suid-perl dazu, denn es moechte die /etc/shadow lesen) -- squid laeuft zumindest bei mir nicht als root, kann also dieses Script auch nicht mit root-Rechten starten . es bemerkt Aenderungen an allen betroffenen Dateien von allein ]
: Wer kann da helfen? Oder gehe ich gar ganz falsch an die Problematik ran?? Ich? Ja.
Heiko -- --------------------------------------------------- SCHLITTERMANN internet und unix support --------------------------------------- D-01099 Dresden / Kamenzer Strasse 52 --------------------------- +49 351 8029981 / www.schlittermann.de / hs@schlittermann.de ----
lug-dd@mailman.schlittermann.de
-
Heiko Schlittermann -
Peter Zabelt -
Reinhard Foerster