[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Squid nao le os grupos do LDAP



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 01-07-2010 17:58, Leandro Moreira wrote:
> Testei a linha que me enviou, eno console ela funcinou no squid.conf
> continua sem buscar os usuários, mas deguei o log do squid:

	Tem algo errado aí. Se no console ela funciona e via
squid não, tem algum parâmetro ou alguma outra configuração
afetando a execução do comando.


> 2010/07/01 17:48:46.127| aclMatchExternal: acl="ldap_group"
> 2010/07/01 17:48:46.127| aclMatchExternal: ldap_group = 0
> 2010/07/01 17:48:46.127| aclMatchExternal: acl="ldap_group"
> 2010/07/01 17:48:46.127| aclMatchExternal: ldap_group("lmoreira
> Bloqueado") = lookup needed
> 2010/07/01 17:48:46.127| externalAclLookup: lookup in 'ldap_group' for
> 'lmoreira Bloqueado'

	A consulta está procurando o usuário "lmoreira Bloqueado"
no grupo "ldap_group", então em algum momento algo fez com que a
ACL pensasse que o nome do grupo é ldap_group e que "lmoreria
Bloqueado" são uma coisa só e não "usuários<espaço>grupo".


[...]
> 2010/07/01 17:48:46.127| externalAclLookup: will wait for the result of
> 'lmoreira Bloqueado' in 'ldap_group' (ch=0xbf74c8).
> group filter
> '(&(cn=Bloqueado)(member=uid=lmoreira,ou=Usuarios,dc=local=br))',
> searchbase 'dc=local,dc=b
> r'

	Você usa rfc2307?  Ou seja, você configura seus grupos
usando o cn/uid deles ou o dn?

	Além disso, para consultas de presença em grupo, é
melhor usar o overlay memberof.



> 2010/07/01 17:48:46.133| external_acl_cache_add: Adding 'lmoreira
> Bloqueado' = 0
> 
> Ele consegue enxergar a qual grupo o usuáruo, mas nao aplica a regra no
> caso bloquear todo acesso a internet do usuário.


Da sua mensagem original:


>> Consegui fazer o squid autenticar por usuários, conforme me foi
>> sugerido aqui na lista, criei a seguinte estrutura:
>>
>> dc=local
>>   ou=Grupos
>>      ou=Restrito
>>      ou=Liberado
>>      ou=Bloueado
>>   ou=Usuarios
>>        uid=lmoreira
>>   ou=Computadores
>>
>> Conforme a necessidade aloco o usuário de acordo com o grupo
>> (Liberado, bloqueado, Restrito), fiz as seguintes configurações 
>> no squid:
>>
>> external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_
>> group -d -b "ou=Grupos,dc=local,dc=com,dc=br" -B
>> "ou=Usuarios,dc=local,dc=com,dc=br" -f "(&(memberUid=%u)(cn=%g))" -h
>> 10.0.50.11

	Se você executar o /usr/lib/squid3/squid_ldap_group sem
parâmetros na linha de comando, vai ver que são outros valores
para passar nome de grupo e usuário (%v, por exemplo).

>> acl liberado external ldap_group Liberado
>> acl bloqueado external ldap_group Bloqueado
>> acl restrito external ldap_group Restrito
>>
>> http_access allow liberado
>> http_access deny bloqueado !update
>> http_access deny restrito !sites_permitidos

	A referência, do próprio pessoal do Squid, é:

		http://workaround.org/squid-ldap

Abraço,
- -- 
Felipe Augusto van de Wiel (faw)
Debian. Freedom to code. Code to freedom!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iEYEARECAAYFAkwvrioACgkQCjAO0JDlykYHzACgyNeAz7okQQf0ffyHOmf0xcV3
FTMAoJQ9QNGEAWNWgICJT480QFTGNxfR
=wz1/
-----END PGP SIGNATURE-----


Reply to: