[FUG-BR] autenticar squid no ldap auth e group
Enio Marconcini
eniorm em gmail.com
Segunda Julho 16 20:22:49 BRT 2012
2012/7/16 Alessandro de Souza Rocha <etherlinkii em gmail.com>
> Em 16 de julho de 2012 20:10, Enio Marconcini <eniorm em gmail.com> escreveu:
> > 2012/7/16 Alessandro de Souza Rocha <etherlinkii em gmail.com>
> >
> >> Em 16 de julho de 2012 20:06, Enio Marconcini <eniorm em gmail.com>
> escreveu:
> >> > 2012/7/16 Alessandro de Souza Rocha <etherlinkii em gmail.com>
> >> >
> >> >> Em 16 de julho de 2012 19:48, Alessandro de Souza Rocha
> >> >> <etherlinkii em gmail.com> escreveu:
> >> >> > Em 16 de julho de 2012 19:45, Enio Marconcini <eniorm em gmail.com>
> >> >> escreveu:
> >> >> >> 2012/7/16 Alessandro de Souza Rocha <etherlinkii em gmail.com>
> >> >> >>
> >> >> >>> Em 16 de julho de 2012 17:04, Enio Marconcini <eniorm em gmail.com>
> >> >> escreveu:
> >> >> >>> > pessoal, o squid está autenticando na base ldap, ficou assim
> >> >> >>> >
> >> >> >>> > auth_param basic program
> /usr/local/libexec/squid/squid_ldap_auth
> >> -v
> >> >> 3 -b
> >> >> >>> > "dc=empresa,dc=com" -D "cn=manager,dc=empresa,dc=com" -w pass
> -f
> >> >> uid=%s
> >> >> >>> > 192.168.0.250
> >> >> >>> >
> >> >> >>> > tudo blz, consigo autenticar.
> >> >> >>> >
> >> >> >>> > A base ldap contém:
> >> >> >>> > ou=usuarios,dc=empresa,dc=com
> >> >> >>> > ou=grupos,dc=empresa,dc=com
> >> >> >>> > ou=squid,dc=empresa,dc=com
> >> >> >>> >
> >> >> >>> > Gostaria agora de usar o squid_ldap_group para controlar alguns
> >> >> grupos de
> >> >> >>> > usuários, assim:
> >> >> >>> >
> >> >> >>> > a) em ou=grupos eu tenho um grupo chamado internet, só vão pode
> >> >> acessar
> >> >> >>> > internet os usuários que esteiverem nesse grupo
> >> >> >>> > b) no ou=squid, eu tenho dentro cn=webmail que é um grupo que
> vou
> >> >> incluir
> >> >> >>> > os usuários que podem acessar webmails, porém, não estou
> >> conseguindo
> >> >> >>> montar
> >> >> >>> > a configuração do comando squid_ldap_group
> >> >> >>> >
> >> >> >>> > gostaria de um help.
> >> >> >>> >
> >> >> >>> > --
> >> >> >>> > *ENIO RODRIGO MARCONCINI*
> >> >> >>> > @eniomarconcini <http://twitter.com/eniomarconcini>
> >> >> >>> > *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
> >> >> >>> > *
> >> >> >>> > *
> >> >> >>> > *
> >> >> >>> > *"H**ave a trouble with windows: reboot!*
> >> >> >>> > *Have a trouble with unix: be root!"*
> >> >> >>> > -------------------------
> >> >> >>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> >> >>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >> >>>
> >> >> >>> Olha se te ajuda.
> >> >> >>>
> >> >> >>>
> >> >>
> >>
> http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory/?pagina=3
> >> >> >>>
> http://www.fug.com.br/historico/html/freebsd/2008-06/msg00586.html
> >> >> >>>
> >> >> >>> --
> >> >> >>> Alessandro de Souza Rocha
> >> >> >>> Administrador de Redes e Sistemas
> >> >> >>> FreeBSD-BR User #117
> >> >> >>> Long live FreeBSD
> >> >> >>>
> >> >> >>> Powered by ....
> >> >> >>>
> >> >> >>> (__)
> >> >> >>> \\\'',)
> >> >> >>> \/ \ ^
> >> >> >>> .\._/_)
> >> >> >>>
> >> >> >>> www.FreeBSD.org
> >> >> >>> -------------------------
> >> >> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> >> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >> >>>
> >> >> >>
> >> >> >>
> >> >> >> Alessandro, eu segui esse exemplo, e mais outros, não tem dado
> certo
> >> >> não,
> >> >> >> só a autenticação que funfa!
> >> >> >>
> >> >> >> já tentei adaptar o filtro de tudo que é jeito e não achei o meio
> >> >> correto
> >> >> >> ainda.
> >> >> >>
> >> >> >> abraços
> >> >> >>
> >> >> >> --
> >> >> >> *ENIO RODRIGO MARCONCINI*
> >> >> >> @eniomarconcini <http://twitter.com/eniomarconcini>
> >> >> >> *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
> >> >> >> *
> >> >> >> *
> >> >> >> *
> >> >> >> *"H**ave a trouble with windows: reboot!*
> >> >> >> *Have a trouble with unix: be root!"*
> >> >> >> -------------------------
> >> >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >> >
> >> >> > vc ta usando AD.
> >> >> >
> >> >> > --
> >> >> > Alessandro de Souza Rocha
> >> >> > Administrador de Redes e Sistemas
> >> >> > FreeBSD-BR User #117
> >> >> > Long live FreeBSD
> >> >> >
> >> >> > Powered by ....
> >> >> >
> >> >> > (__)
> >> >> > \\\'',)
> >> >> > \/ \ ^
> >> >> > .\._/_)
> >> >> >
> >> >> > www.FreeBSD.org
> >> >> http://forum.pfsense.org/index.php?topic=38998.15;wap2
> >> >>
> >> >>
> >> >>
> >> >> --
> >> >> Alessandro de Souza Rocha
> >> >> Administrador de Redes e Sistemas
> >> >> FreeBSD-BR User #117
> >> >> Long live FreeBSD
> >> >>
> >> >> Powered by ....
> >> >>
> >> >> (__)
> >> >> \\\'',)
> >> >> \/ \ ^
> >> >> .\._/_)
> >> >>
> >> >> www.FreeBSD.org
> >> >> -------------------------
> >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >> >>
> >> >
> >> >
> >> >
> >> > tudo OpenLDAP meu caro, nada de AD, é que no ldap eu tenho usuarios e
> >> > grupos gerais, dentre estes quero aproveitar pra melhorar a gerencia
> do
> >> > squid.
> >> >
> >> > estou fazendo um teste básico aqui
> >> >
> >> > external_acl_type grupos %LOGIN
> /usr/local/libexec/squid/squid_ldap_group
> >> > -v 3 -b "dc=meudominio,dc=com,dc=br" -D
> >> > "cn=manager,dc=meudominio,dc=com,dc=br" -w "senha" -f
> >> >
> >>
> "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=regrasSquid,dc=meudominio,dc=com,dc=br))"
> >> > 192.168.0.9
> >> >
> >> > depois crio essa acl
> >> > acl bloqueados external grupos internet
> >> > http_access deny bloqueados
> >> >
> >> > meu objetivo é bloquear acesso aos usuários que estejam nesse grupo ai
> >> >
> >> > esse último link ai, notei que a sintaxe de consulta do ldap é apenas
> uma
> >> > das diversas variações que tem por ai na net, eu acho que o problema é
> >> > justamente nessa sintaxe
> >> >
> >> > --
> >> > *ENIO RODRIGO MARCONCINI*
> >> > @eniomarconcini <http://twitter.com/eniomarconcini>
> >> > *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
> >> > *
> >> > *
> >> > *
> >> > *"H**ave a trouble with windows: reboot!*
> >> > *Have a trouble with unix: be root!"*
> >> > -------------------------
> >> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebs
> >>
> >> entendi, mais tem a parte de criar grupos so vc verificar tudo e depois
> >> testa.
> >>
> >> --
> >> Alessandro de Souza Rocha
> >> Administrador de Redes e Sistemas
> >> FreeBSD-BR User #117
> >> Long live FreeBSD
> >>
> >> Powered by ....
> >>
> >> (__)
> >> \\\'',)
> >> \/ \ ^
> >> .\._/_)
> >>
> >> www.FreeBSD.org
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>
> >
> >
> > É os grupos já estão criados.
> >
> > --
> > *ENIO RODRIGO MARCONCINI*
> > @eniomarconcini <http://twitter.com/eniomarconcini>
> > *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
> > *
> > *
> > *
> > *"H**ave a trouble with windows: reboot!*
> > *Have a trouble with unix: be root!"*
> > -------------------------
> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
> este baseia no acl pra ad.
> #Vincula as ACLs com base nos grupos do AD
> acl gprodutividade external ldap_group g_produtividade
> acl gtotal external ldap_group g_total
> acl gbloqueados external ldap_group g_bloqueados
>
> #Define uma ACL para acesso restrito aos domínios listados em um
> arquivo texto produtividade.acl
> acl restrito dstdom_regex -i "/var/squid/acl/produtividade.acl"
>
> #Define a diretiva formada pela combinação das ACLs acima definidas
> http_access deny gbloqueados
> http_access deny gprodutividade !restrito
> http_access allow gtotal
>
>
> --
> Alessandro de Souza Rocha
> Administrador de Redes e Sistemas
> FreeBSD-BR User #117
> Long live FreeBSD
>
> Powered by ....
>
> (__)
> \\\'',)
> \/ \ ^
> .\._/_)
>
> www.FreeBSD.org
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
até aí blz Alessandro, meu problema é criar a consulta ldap, ou seja,
aplicar o filtro correto pra trazer os dados, tenho testado com ldapsearch
e com o ldapadmin, ta osso, mas logo resolve
abraço
--
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
*[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
*
*
*
*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*
Mais detalhes sobre a lista de discussão freebsd