主页 / server / 问题 / 65931
Accepted
Antoine Benkemoun
Asked: 2009-09-17 06:56:25 +0800 CST

使用多个 LDAP 的开源代理身份验证

  • 772

我正在为我的工作设置新的网络代理。我们最初计划购买 Blue Coat 代理,但经济衰退来了,我们不再购买它们了……

这些代理的最大特点是它们提供了针对多个 LDAP 代理对用户进行身份验证的可能性。例如,某个用户子网针对特定 LDAP 服务器进行身份验证,而另一个用户子网针对另一个 LDAP 服务器进行身份验证。

使用 Squid 等开源软件可以做到这一点吗?我真的很喜欢 Pfsense,因为界面非常简单漂亮,可以用它做这样的事情吗?

预先感谢您的帮助,

安托万

ldap

3 个回答

  1. Best Answer

    您冷令 Squid 针对充当多个后端目录代理的单个 OpenLDAP 服务器进行身份验证。来自 slapd-meta(5):

    NAME slapd-meta - 元目录后端

    概要 /etc/ldap/slapd.conf

    描述 slapd(8) 的元后端针对一组称为“目标”的远程 LDAP 服务器执行基本的 LDAP 代理。这些服务器中包含的信息可以表示为属于单个目录信息树 (DIT)。

    即使 DN 层次结构通过编写一些按摩规则在两个组之间重叠,这也将起作用——我猜是这种情况,因为您将使用别名和委派。

    无论如何,我认为允许用户针对统一目录进行身份验证是健康的,因为无论他们碰巧发现自己进入哪个子网,他们的身份都保持不变。

    • 2

  2. 在我的回答中,我假设您已经阅读了 Squid 身份验证协议,熟悉如何配置 LDAP 身份验证助手,并计划在某种 Unix 操作系统下运行 Squid。此外,前两个答案帮助您根据用户名选择不同的 LDAP 服务器,而不是 IP 子网(您提到“子网”,但 ITYM“子集” - 对吗?)。

    1. 使用简单的脚本(语言无关紧要,使用您喜欢的脚本)根据用户名将请求转发到不同的 LDAP 服务器。经验丰富的 Unix 管理员应该在 30 分钟内启动并运行它,这没什么大不了的。
    2. 使用单个 LDAP 服务器,该服务器根据用户的 DN 返回 LDAP 引用。

    如果您真的想根据 IP 子网更改 LDAP 服务器,事情会变得有点难看,因为 Squid 身份验证协议仅将用户名/密码对传输给身份验证助手:

    1. 配置单个 Squid 服务器并让它仅在 localhost 上侦听。这个 Squid 实例将完成所有的缓存工作。
    2. 对于每个子网,设置另一个没有本地缓存​​的 Squid 实例,并配置适当的 LDAP 服务器。也为每个 Squid 实例使用不同的端口。这些 Squid 实例将所有请求转发到第 1 步中定义的缓存中。
    3. 根据您在用户浏览器中配置代理设置的方式,您必须在网络服务器中使用 DNS 视图或重定向规则。
    • 1
    • 0

相关问题