Hallo,
ich habe ein Problem mit der Autorisierung von Benutzern per Squid. Ziel soll es sein, dass für bestimmte Seiten eine Autorisierung erforderlich ist. Dabei soll die bestehende User-Liste des Linux genutzt werden (also passwd/shadow-datei). Im Einsatz ist Debian 2.2r4
Ich habe folgende Einträge in der squid.conf: .... authenticate_program /usr/lib/squid/getpwnam_auth ..... acl verboten dstdomain xxx.de acl localuser proxy_auth REQUIRED
http_access allow verboten localuser
Versucht man nun am Client eine Seite von xxx.de aufzurufen, kommte zwar die Dialogbox zum Eingeben des Usernames/Passwort, aber der Zugriff wird auch bei gültigen Eingaben (also richtigen User/Pwd) verweigert. Was habe ich falsch gemacht?
Grüße
Bernd Ledig
On Wed, Dec 19, 2001 at 10:25:37AM +0100, Bernd Ledig wrote: Hi,
ich habe ein Problem mit der Autorisierung von Benutzern per Squid. Ziel soll es sein, dass für bestimmte Seiten eine Autorisierung erforderlich ist.
nebenbei: Autorisierung != Authentifizierung
Ich habe folgende Einträge in der squid.conf: .... authenticate_program /usr/lib/squid/getpwnam_auth ..... acl verboten dstdomain xxx.de acl localuser proxy_auth REQUIRED
http_access allow verboten localuser
Versucht man nun am Client eine Seite von xxx.de aufzurufen, kommte zwar die Dialogbox zum Eingeben des Usernames/Passwort, aber der Zugriff wird auch bei gültigen Eingaben (also richtigen User/Pwd) verweigert. Was habe ich falsch gemacht?
kann man wirklich hinter http_access mehere acls angeben? Wenn ja, bist du sicher, daß diese UND-verknüpft werden?
probier erstmal aus, ob proxy_auth überhaupt funktioniert, also nur mit
http_access allow localuser http_access deny all
Wenn das funktioniert, würde ich folgendes probieren:
http_access allow !verboten http_access allow localuser http_access deny all
Reinhard
At 19.12.2001 12:55, you wrote:
Ich habe folgende Einträge in der squid.conf: .... authenticate_program /usr/lib/squid/getpwnam_auth ..... acl verboten dstdomain xxx.de acl localuser proxy_auth REQUIRED
http_access allow verboten localuser
Versucht man nun am Client eine Seite von xxx.de aufzurufen, kommte zwar die Dialogbox zum Eingeben des Usernames/Passwort, aber der Zugriff wird auch bei gültigen Eingaben (also richtigen User/Pwd) verweigert. Was habe ich falsch gemacht?
kann man wirklich hinter http_access mehere acls angeben? Wenn ja, bist du sicher, daß diese UND-verknüpft werden?
probier erstmal aus, ob proxy_auth überhaupt funktioniert, also nur mit
http_access allow localuser http_access deny all
Das selbe Ergebnis. Ich vermute es liegt am authenticat-program. Nach meine Recherchen in diversen faq's kann man dieses auch per Hand auf der commandezeile ausführen. Nach Eingabe von user password liefert dieses err oder ok. Gebe ich nun
/usr/lib/squid/getpwnam_auth testuser testpwd
ein, kommt immer err obwohl testuser mit testpwd im System existieren. Hat schon jemand dieses Programm "getpwnam_auth "im Einsatz?
Gruß
Bernd Ledig bl@heitech.net
On Thu, Dec 20, 2001 at 05:00:05PM +0100, Bernd Ledig wrote:
/usr/lib/squid/getpwnam_auth testuser testpwd
ein, kommt immer err obwohl testuser mit testpwd im System existieren.
ok, Fehler reortet
Hat schon jemand dieses Programm "getpwnam_auth "im Einsatz?
Das nicht. Du kannst es mal aus den Quellen heraussuchen und untersuchen und neu ggf. übersetzten. Da kann nicht viel drin stehen. Die PAM-Konfig wäre eine weitere Fehlerquelle.
Reinhard
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Thursday 20 December 2001 17:00, Bernd Ledig wrote:
/usr/lib/squid/getpwnam_auth testuser testpwd
Wenn testuser sein testpwd in /etc/shadow gespeichert hat, muss getpwnam_auth SUID-root laufen (oder wenn nscd laeuft und korrekt konfiguriert ist, kann es sein, dass es auch so geht - habe ich aber noch nie ausprobiert).
Der Grund ist ganz einfach: PAM laedt einfach nur .so's in den laufenden Prozess rein, die etwas Authentifikationslogik besitzen. Aber die ganze Logik nuetzt nichts, wenn man kein Zugriffsrecht auf die Datei mit den Informationen hat.
Konrad
- -- BOFH excuse #375:
Root name servers corrupted.
lug-dd@mailman.schlittermann.de
-
Bernd Ledig -
konrad.rosenbaum@t-online.de -
Reinhard Foerster