[Bulma] problema squid autenticando usuarios contra MS Active Directory por LDAP

kRiZiO correo en krizio.com
Lun Ene 22 15:57:57 CET 2007 

Buenas,

Estoy montandome en un entorno de prueba con maquinas virtuales un squid 
corriendo en una debian etch y trato de autenticar los usuarios contra 
el active directory de un MS Windows 2003 Server.
He conseguido autenticar contra un ficheros passwd unix sin problemas y 
siguiendo este manual estoy tratando de hacerlo por LDAP contra el AD  
<http://breu.bulma.net/?l7253>* *http://breu.bulma.net/?l7253 * 
<http://breu.bulma.net/?l7253>*

En la parte donde indico el modulo que uso para autenticar he puesto esto:
# -- PRUEBA AUTH LDAP  contra AD
auth_param basic program /usr/lib/squid/ldap_auth -R -b 
"dc=raah,dc=local" -D "cn=Administrador,cn=squid
_users,ou=Users,dc=raah,dc=local" -w "admin" -f sAMAccountName=%s -h 
192.168.0.90 <http://192.168.0.90>
auth_param basic children 5
auth_param basic realm ACMEProxy
auth_param basic credentialsttl 5 minutes

y la ACL la he adaptado asi:

external_acl_type InetGroup %LOGIN /usr/lib/squid/squid_ldap_group -R -b 
"dc=raah,dc=local" -D "cn=Administrador,ou=Users,dc=raah,dc=local" -w 
"admin" -f 
"(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Users,dc=raah,dc=local))" 
-h 192.168.0.90 <http://192.168.0.90>
acl localnet proxy_auth REQUIRED src 192.168.0.0/24 <http://192.168.0.0/24>
acl InetAccess external InetGroup squid_users
http_access allow InetAccess

Siendo la maquina con Active Directoy la 192.168.0.90 
<http://192.168.0.90> usuario "Administrador", password "admin".Los 
usuarios estan en el grupo "squid_users" dentro de la OU (unidad 
organizativa) "Users" del dominio " raah.local"

En la lista de procesos de la maquina donde esta el squid veo que se 
lanza con los parametros que le he puesto
proxy     5457  0.0  0.1   3500   840 ?        Ss   14:09   0:00 
(ldap_auth) -R -b dc=raah,dc=local -D cn=Administrador,cn=squid 
_users,ou=Users,dc=raah,dc=local
proxy     5464  0.0  0.1   3496   836 ?        Ss   14:09   0:00 
(squid_ldap_group) -R -b dc=raah,dc=local -D 
cn=Administrador,ou=Users,dc=raah,dc=local -w admin

El access.log del squid me confunde un poco el NONE de despues del 
usuario "moi" (pertenece al grupo "squid_users", tambien he probado a 
autenticarme en el navegador poniendo "RAAH\moi" siendo el resultado en 
el access.log el de la tercera linea (lo pone en minusculas), pero en 
teoria ya le estoy especificando el dominio y no haria falta.
1169474464.947     65 192.168.0.40 <http://192.168.0.40> TCP_DENIED/407 
1847 GET http://www.google.com/ moi NONE/- text/html
1169474465.025     64 192.168.0.40 <http://192.168.0.40> TCP_DENIED/407 
1847 GET http://www.google.com/ <http://www.google.com/> moi NONE/- 
text/html
1168934037.153    374 192.168.0.40 <http://192.168.0.40> TCP_DENIED/407 
1822 GET http://www.google.com/ raah\moi NONE/- text/html

He tratado de poner un sniffer en la maquina con AD para ver que se le 
esta mandando como autenticacion pero la verdad es que me ha sido 
imposible sacar nada en claro.
He revisado documentacion sobre el tema y ya no se bien que probar. 
Tengo la teoria que no debo estar poniendo bien la ruta ldap pero segun 
he visto asi es la correcta, ademas que he probado varias combinaciones.

¿alguna idea de por donde tirar?

muchas gracia

-- 
----------------------------------------------
      --- ~O
 ----- _`\<;_
 ---  (_)/\(_)

kRiZiO
mailto:correo en krizio.com
http://www.krizio.com
----------------------------------------------

Más información sobre la lista de distribución Bulmailing