[FUG-BR] autenticar squid no ldap auth e group

Enio Marconcini eniorm em gmail.com
Segunda Julho 16 20:06:00 BRT 2012 

2012/7/16 Alessandro de Souza Rocha <etherlinkii em gmail.com>

> Em 16 de julho de 2012 19:48, Alessandro de Souza Rocha
> <etherlinkii em gmail.com> escreveu:
> > Em 16 de julho de 2012 19:45, Enio Marconcini <eniorm em gmail.com>
> escreveu:
> >> 2012/7/16 Alessandro de Souza Rocha <etherlinkii em gmail.com>
> >>
> >>> Em 16 de julho de 2012 17:04, Enio Marconcini <eniorm em gmail.com>
> escreveu:
> >>> > pessoal, o squid está autenticando na base ldap, ficou assim
> >>> >
> >>> > auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v
> 3 -b
> >>> > "dc=empresa,dc=com" -D "cn=manager,dc=empresa,dc=com" -w pass -f
> uid=%s
> >>> > 192.168.0.250
> >>> >
> >>> > tudo blz, consigo autenticar.
> >>> >
> >>> > A base ldap contém:
> >>> > ou=usuarios,dc=empresa,dc=com
> >>> > ou=grupos,dc=empresa,dc=com
> >>> > ou=squid,dc=empresa,dc=com
> >>> >
> >>> > Gostaria agora de usar o squid_ldap_group para controlar alguns
> grupos de
> >>> > usuários, assim:
> >>> >
> >>> > a) em ou=grupos eu tenho um grupo chamado internet, só vão pode
> acessar
> >>> > internet os usuários que esteiverem nesse grupo
> >>> > b) no ou=squid, eu tenho dentro cn=webmail que é um grupo que vou
> incluir
> >>> > os usuários que podem acessar webmails, porém, não estou conseguindo
> >>> montar
> >>> > a configuração do comando squid_ldap_group
> >>> >
> >>> > gostaria de um help.
> >>> >
> >>> > --
> >>> > *ENIO RODRIGO MARCONCINI*
> >>> > @eniomarconcini <http://twitter.com/eniomarconcini>
> >>> > *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
> >>> > *
> >>> > *
> >>> > *
> >>> > *"H**ave a trouble with windows: reboot!*
> >>> > *Have a trouble with unix: be root!"*
> >>> > -------------------------
> >>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>> Olha se te ajuda.
> >>>
> >>>
> http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory/?pagina=3
> >>> http://www.fug.com.br/historico/html/freebsd/2008-06/msg00586.html
> >>>
> >>> --
> >>> Alessandro de Souza Rocha
> >>> Administrador de Redes e Sistemas
> >>> FreeBSD-BR User #117
> >>>              Long live FreeBSD
> >>>
> >>>                      Powered by ....
> >>>
> >>>                                           (__)
> >>>                                        \\\'',)
> >>>                                          \/  \ ^
> >>>                                          .\._/_)
> >>>
> >>>                                      www.FreeBSD.org
> >>> -------------------------
> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>>
> >>
> >>
> >> Alessandro, eu segui esse exemplo, e mais outros, não tem dado certo
> não,
> >> só a autenticação que funfa!
> >>
> >> já tentei adaptar o filtro de tudo que é jeito e não achei o meio
> correto
> >> ainda.
> >>
> >> abraços
> >>
> >> --
> >> *ENIO RODRIGO MARCONCINI*
> >> @eniomarconcini <http://twitter.com/eniomarconcini>
> >> *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
> >> *
> >> *
> >> *
> >> *"H**ave a trouble with windows: reboot!*
> >> *Have a trouble with unix: be root!"*
> >> -------------------------
> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >
> > vc ta usando AD.
> >
> > --
> > Alessandro de Souza Rocha
> > Administrador de Redes e Sistemas
> > FreeBSD-BR User #117
> >              Long live FreeBSD
> >
> >                      Powered by ....
> >
> >                                           (__)
> >                                        \\\'',)
> >                                          \/  \ ^
> >                                          .\._/_)
> >
> >                                      www.FreeBSD.org
> http://forum.pfsense.org/index.php?topic=38998.15;wap2
>
>
>
> --
> Alessandro de Souza Rocha
> Administrador de Redes e Sistemas
> FreeBSD-BR User #117
>              Long live FreeBSD
>
>                      Powered by ....
>
>                                           (__)
>                                        \\\'',)
>                                          \/  \ ^
>                                          .\._/_)
>
>                                      www.FreeBSD.org
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



tudo OpenLDAP meu caro, nada de AD, é que no ldap eu tenho usuarios e
grupos gerais, dentre estes quero aproveitar pra melhorar a gerencia do
squid.

estou fazendo um teste básico aqui

external_acl_type grupos %LOGIN /usr/local/libexec/squid/squid_ldap_group
-v 3 -b "dc=meudominio,dc=com,dc=br" -D
"cn=manager,dc=meudominio,dc=com,dc=br" -w "senha" -f
"(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=regrasSquid,dc=meudominio,dc=com,dc=br))"
192.168.0.9

depois crio essa acl
acl bloqueados external grupos internet
http_access deny bloqueados

meu objetivo é bloquear acesso aos usuários que estejam nesse grupo ai

esse último link ai, notei que a sintaxe de consulta do ldap é apenas uma
das diversas variações que tem por ai na net, eu acho que o problema é
justamente nessa sintaxe

-- 
*ENIO RODRIGO MARCONCINI*
@eniomarconcini <http://twitter.com/eniomarconcini>
*[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
*
*
*
*"H**ave a trouble with windows: reboot!*
*Have a trouble with unix: be root!"*

Mais detalhes sobre a lista de discussão freebsd