[FUG-BR] autenticar squid no ldap auth e group
Alessandro de Souza Rocha
etherlinkii em gmail.com
Segunda Julho 16 20:13:56 BRT 2012
Em 16 de julho de 2012 20:10, Enio Marconcini <eniorm em gmail.com> escreveu:
> 2012/7/16 Alessandro de Souza Rocha <etherlinkii em gmail.com>
>
>> Em 16 de julho de 2012 20:06, Enio Marconcini <eniorm em gmail.com> escreveu:
>> > 2012/7/16 Alessandro de Souza Rocha <etherlinkii em gmail.com>
>> >
>> >> Em 16 de julho de 2012 19:48, Alessandro de Souza Rocha
>> >> <etherlinkii em gmail.com> escreveu:
>> >> > Em 16 de julho de 2012 19:45, Enio Marconcini <eniorm em gmail.com>
>> >> escreveu:
>> >> >> 2012/7/16 Alessandro de Souza Rocha <etherlinkii em gmail.com>
>> >> >>
>> >> >>> Em 16 de julho de 2012 17:04, Enio Marconcini <eniorm em gmail.com>
>> >> escreveu:
>> >> >>> > pessoal, o squid está autenticando na base ldap, ficou assim
>> >> >>> >
>> >> >>> > auth_param basic program /usr/local/libexec/squid/squid_ldap_auth
>> -v
>> >> 3 -b
>> >> >>> > "dc=empresa,dc=com" -D "cn=manager,dc=empresa,dc=com" -w pass -f
>> >> uid=%s
>> >> >>> > 192.168.0.250
>> >> >>> >
>> >> >>> > tudo blz, consigo autenticar.
>> >> >>> >
>> >> >>> > A base ldap contém:
>> >> >>> > ou=usuarios,dc=empresa,dc=com
>> >> >>> > ou=grupos,dc=empresa,dc=com
>> >> >>> > ou=squid,dc=empresa,dc=com
>> >> >>> >
>> >> >>> > Gostaria agora de usar o squid_ldap_group para controlar alguns
>> >> grupos de
>> >> >>> > usuários, assim:
>> >> >>> >
>> >> >>> > a) em ou=grupos eu tenho um grupo chamado internet, só vão pode
>> >> acessar
>> >> >>> > internet os usuários que esteiverem nesse grupo
>> >> >>> > b) no ou=squid, eu tenho dentro cn=webmail que é um grupo que vou
>> >> incluir
>> >> >>> > os usuários que podem acessar webmails, porém, não estou
>> conseguindo
>> >> >>> montar
>> >> >>> > a configuração do comando squid_ldap_group
>> >> >>> >
>> >> >>> > gostaria de um help.
>> >> >>> >
>> >> >>> > --
>> >> >>> > *ENIO RODRIGO MARCONCINI*
>> >> >>> > @eniomarconcini <http://twitter.com/eniomarconcini>
>> >> >>> > *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
>> >> >>> > *
>> >> >>> > *
>> >> >>> > *
>> >> >>> > *"H**ave a trouble with windows: reboot!*
>> >> >>> > *Have a trouble with unix: be root!"*
>> >> >>> > -------------------------
>> >> >>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >> >>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >> >>>
>> >> >>> Olha se te ajuda.
>> >> >>>
>> >> >>>
>> >>
>> http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory/?pagina=3
>> >> >>> http://www.fug.com.br/historico/html/freebsd/2008-06/msg00586.html
>> >> >>>
>> >> >>> --
>> >> >>> Alessandro de Souza Rocha
>> >> >>> Administrador de Redes e Sistemas
>> >> >>> FreeBSD-BR User #117
>> >> >>> Long live FreeBSD
>> >> >>>
>> >> >>> Powered by ....
>> >> >>>
>> >> >>> (__)
>> >> >>> \\\'',)
>> >> >>> \/ \ ^
>> >> >>> .\._/_)
>> >> >>>
>> >> >>> www.FreeBSD.org
>> >> >>> -------------------------
>> >> >>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >> >>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >> >>>
>> >> >>
>> >> >>
>> >> >> Alessandro, eu segui esse exemplo, e mais outros, não tem dado certo
>> >> não,
>> >> >> só a autenticação que funfa!
>> >> >>
>> >> >> já tentei adaptar o filtro de tudo que é jeito e não achei o meio
>> >> correto
>> >> >> ainda.
>> >> >>
>> >> >> abraços
>> >> >>
>> >> >> --
>> >> >> *ENIO RODRIGO MARCONCINI*
>> >> >> @eniomarconcini <http://twitter.com/eniomarconcini>
>> >> >> *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
>> >> >> *
>> >> >> *
>> >> >> *
>> >> >> *"H**ave a trouble with windows: reboot!*
>> >> >> *Have a trouble with unix: be root!"*
>> >> >> -------------------------
>> >> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >> >
>> >> > vc ta usando AD.
>> >> >
>> >> > --
>> >> > Alessandro de Souza Rocha
>> >> > Administrador de Redes e Sistemas
>> >> > FreeBSD-BR User #117
>> >> > Long live FreeBSD
>> >> >
>> >> > Powered by ....
>> >> >
>> >> > (__)
>> >> > \\\'',)
>> >> > \/ \ ^
>> >> > .\._/_)
>> >> >
>> >> > www.FreeBSD.org
>> >> http://forum.pfsense.org/index.php?topic=38998.15;wap2
>> >>
>> >>
>> >>
>> >> --
>> >> Alessandro de Souza Rocha
>> >> Administrador de Redes e Sistemas
>> >> FreeBSD-BR User #117
>> >> Long live FreeBSD
>> >>
>> >> Powered by ....
>> >>
>> >> (__)
>> >> \\\'',)
>> >> \/ \ ^
>> >> .\._/_)
>> >>
>> >> www.FreeBSD.org
>> >> -------------------------
>> >> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> >> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>> >>
>> >
>> >
>> >
>> > tudo OpenLDAP meu caro, nada de AD, é que no ldap eu tenho usuarios e
>> > grupos gerais, dentre estes quero aproveitar pra melhorar a gerencia do
>> > squid.
>> >
>> > estou fazendo um teste básico aqui
>> >
>> > external_acl_type grupos %LOGIN /usr/local/libexec/squid/squid_ldap_group
>> > -v 3 -b "dc=meudominio,dc=com,dc=br" -D
>> > "cn=manager,dc=meudominio,dc=com,dc=br" -w "senha" -f
>> >
>> "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=regrasSquid,dc=meudominio,dc=com,dc=br))"
>> > 192.168.0.9
>> >
>> > depois crio essa acl
>> > acl bloqueados external grupos internet
>> > http_access deny bloqueados
>> >
>> > meu objetivo é bloquear acesso aos usuários que estejam nesse grupo ai
>> >
>> > esse último link ai, notei que a sintaxe de consulta do ldap é apenas uma
>> > das diversas variações que tem por ai na net, eu acho que o problema é
>> > justamente nessa sintaxe
>> >
>> > --
>> > *ENIO RODRIGO MARCONCINI*
>> > @eniomarconcini <http://twitter.com/eniomarconcini>
>> > *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
>> > *
>> > *
>> > *
>> > *"H**ave a trouble with windows: reboot!*
>> > *Have a trouble with unix: be root!"*
>> > -------------------------
>> > Histórico: http://www.fug.com.br/historico/html/freebsd/
>> > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebs
>>
>> entendi, mais tem a parte de criar grupos so vc verificar tudo e depois
>> testa.
>>
>> --
>> Alessandro de Souza Rocha
>> Administrador de Redes e Sistemas
>> FreeBSD-BR User #117
>> Long live FreeBSD
>>
>> Powered by ....
>>
>> (__)
>> \\\'',)
>> \/ \ ^
>> .\._/_)
>>
>> www.FreeBSD.org
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
> É os grupos já estão criados.
>
> --
> *ENIO RODRIGO MARCONCINI*
> @eniomarconcini <http://twitter.com/eniomarconcini>
> *[ $[ $RANDOM % 6 ] == 0 ] && rm -rf / || echo "You live"**
> *
> *
> *
> *"H**ave a trouble with windows: reboot!*
> *Have a trouble with unix: be root!"*
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
este baseia no acl pra ad.
#Vincula as ACLs com base nos grupos do AD
acl gprodutividade external ldap_group g_produtividade
acl gtotal external ldap_group g_total
acl gbloqueados external ldap_group g_bloqueados
#Define uma ACL para acesso restrito aos domínios listados em um
arquivo texto produtividade.acl
acl restrito dstdom_regex -i "/var/squid/acl/produtividade.acl"
#Define a diretiva formada pela combinação das ACLs acima definidas
http_access deny gbloqueados
http_access deny gprodutividade !restrito
http_access allow gtotal
--
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
FreeBSD-BR User #117
Long live FreeBSD
Powered by ....
(__)
\\\'',)
\/ \ ^
.\._/_)
www.FreeBSD.org
Mais detalhes sobre a lista de discussão freebsd