[FUG-BR] autenticar squid no ldap auth e group
Enio Marconcini
eniorm em gmail.com
Terça Julho 17 17:22:48 BRT 2012
2012/7/16 Enio Marconcini <eniorm em gmail.com>
> pessoal, o squid está autenticando na base ldap, ficou assim
>
> auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b
> "dc=empresa,dc=com" -D "cn=manager,dc=empresa,dc=com" -w pass -f uid=%s
> 192.168.0.250
>
> tudo blz, consigo autenticar.
>
> A base ldap contém:
> ou=usuarios,dc=empresa,dc=com
> ou=grupos,dc=empresa,dc=com
> ou=squid,dc=empresa,dc=com
>
> Gostaria agora de usar o squid_ldap_group para controlar alguns grupos de
> usuários, assim:
>
> a) em ou=grupos eu tenho um grupo chamado internet, só vão pode acessar
> internet os usuários que esteiverem nesse grupo
> b) no ou=squid, eu tenho dentro cn=webmail que é um grupo que vou incluir
> os usuários que podem acessar webmails, porém, não estou conseguindo montar
> a configuração do comando squid_ldap_group
>
> gostaria de um help.
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini <http://twitter.com/eniomarconcini>
> *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
> *
> *
> *
> *"H**ave a trouble with windows: reboot!*
> *Have a trouble with unix: be root!"*
>
>
rapaz, consegui montar a consulta ldap que traz de acordo com o que eu
preciso, quando rodo manualmente em linha de comando o squid_ldap_group
funciona, no squid não
external_acl_type grupos %LOGIN /usr/local/libexec/squid/squid_ldap_group
-b "dc=empresa,dc=com" -D "cn=manager,dc=empresa,dc=com" -w "XXX" -v 3 -f
"(&(memberUid=%u)(cn=%g))" 192.168.0.1
isso no squid.conf
já em linha de comando:
# /usr/local/libexec/squid/squid_ldap_group -b "dc=empresa,dc=com" -D
"cn=manager,dc=empresa,dc=com" -w "XXX" -v 3 -f "(&(memberUid=%u)(cn=%g))"
192.168.0.1
usuarioteste internet
OK
funciona, se eu tiro o usuario do grupo internet, o mesmo comando retorna
Err
tudo ok porém o squid não rola
pra testar eu fiz isso logo após o external_acl_type
acl testeg external grupos internet
http_access deny testeg
ou seja, os usuarios no tal grupo internet serão bloqueados, os demais não,
mas isso ferrou porque acabou por bloquear todos os usuarios
--
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
*[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
*
*
*
*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*
Mais detalhes sobre a lista de discussão freebsd