架完jitsi後

預設是完全開放

因為不可能使用ip來管制

所以想用ldap

找了很多文件

發現nginx可以利用轉導的方式來認証

就不用再有一堆安裝及設定

server {

    listen 443 ssl;

    listen [::]:443 ssl;

    server_name meet;

location / {

                auth_request /auth;

                try_files $uri $uri/ =404;

        }

        location = /auth {

                proxy_pass http://10.0.0.1/auth/;

                proxy_pass_request_body off;

                proxy_set_header Content-Length "";

                proxy_set_header X-Original-URI $request_uri;

        }

}

藍字部分加在原來的nginx config裡

紅字部分則是視需要轉導到原來已設定好ldap認証的server及路徑

改好後重啟 nginx 

https://techexpert.tips/zh-hans/nginx-zh-hans/nginx-%E6%B4%BB%E5%8A%A8%E7%9B%AE%E5%BD%95%E4%B8%8A%E7%9A%84-ldap-%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81/

今天一早上班就有人跟我說網路無法認証
查了一下發現radius 沒起來
再看log發現今天早上centos 7 有很大的更新
其中包含了freeradius的套件
試了几次 daemon就是起不來
後來用 radiusd -X 看訊息如下

rlm_ldap (ldap): Opening additional connection (0), 1 of 32 pending slots used
rlm_ldap (ldap): Connecting to ldap://10.10.10.10:389
rlm_ldap (ldap): Waiting for bind result...
rlm_ldap (ldap): Bind credentials incorrect: Invalid credentials
rlm_ldap (ldap): Server said: NDS error: failed authentication (-669).
rlm_ldap (ldap): Opening connection failed (0)
rlm_ldap (ldap): Removing connection pool
/etc/raddb/mods-enabled/ldap[8]: Instantiation failed for module "ldap"

奇怪為什麼升版前沒問題
升版後就不行了
並沒有去動ldap的config
google了一下發現有類似的情況
問題出在config跟ldap認証的密碼有特殊字元
XD
什麼怪事都有
改掉之後就可以了

再觀察看看

為了預先解決centos 5到明天支援到期的問題
今天來把原先提供下載服務的机器升成centos 7
比較難處理的是原本提供kms認証的部分
几個跟原centos 5不同的地方記錄一下

原本apache用來ldap認証的模組換成 mod_ldap

寫法也有一些改變　範例如下 (novell 適用)

<Directory /var/www/html/test>
    AuthName ldap
    AuthType Basic
    AuthBasicProvider ldap
    AuthLDAPURL ldap://test.com.tw:389/o=users?cn?sub?(objectClass=*)
    AuthLDAPBindDN "cn=user01, ou=user, ou=people, o=users"
    AuthLDAPBindPassword password
    Require valid-user
</Directory>

ip forword的寫法也改了

在/etc/sysctl.conf 加上
net.ipv4.ip_forward = 1

重新載入
sysctl -p /etc/sysctl.conf

因為需要使用apche這個身分下iptables的指令

所以要編輯　/etc/sudoers

Defaults    requiretty　改為 Defaults:apache !requiretty　apache不需要tty

再加上

User_Alias      APACHE = apache

Cmnd_Alias      FIREWALL = /sbin/iptables

APACHE  ALL = (ALL) NOPASSWD: FIREWALL

原來的firewalld要停掉　改用iptables

systemctl disable firewalld

yum install -y iptables-services

systemctl enable iptables

http://my.oschina.net/fsxchen/blog/134601
http://superuser.com/questions/803741/how-to-enable-ip-masquerading-forwarding-on-centos-7

原來放在adsl用來測試用的xp 壞了
一直在重開机
由於還有另一台也是放在adsl當proxy用
打算只用一台來取代
拿了一台來灌ubuntu 12.04 desktop
順便把squid也起在上面
然後裝virtual box跑win7
這樣在非ie不可的測試環境才不會有問題
在之前的proxy並沒有做認証
因此想在這次的移机順便加上ldap認証
找了一下相關資料
發現還不困難
在squid.conf中加上以下的資料
重啟就ok了


auth_param basic program /usr/lib/squid3/squid_ldap_auth -b "dc=yourcompany,dc=com"
-D "uid=some-user,ou=People,dc=yourcompany,dc=com" -w "password" -f uid=%s -h ldapserver

###squid_ldap_auth基本設定######################
auth_param basic children 5                 #認證程式數量
auth_param basic realm Web-Proxy            #Authentication realm
auth_param basic credentialsttl 1 minute    #Authentication cache time
###讓Proxy使用LDAP認証######################
acl ldap-auth proxy_auth REQUIRED
http_access allow ldap-auth


http://tw.myblog.yahoo.com/vcd025/article?mid=525

如果要測試參數有沒有問題
可以直接執行


/usr/lib/squid3/squid_ldap_auth -b "dc=yourcompany,dc=com"
-D "uid=some-user,ou=People,dc=yourcompany,dc=com" -w "password" -f uid=%s -h ldapserver


游標會在下一行閃
此時輸入
username passwd
如果出現ok
就表示成功了

順便提一下
在squid2.x的版本中設定

cache_dir null /tmp是不使用cache
可是在3.x的版本這個參數已經不能用了
必須使用
cache deny all
來達成