Re: Squid nao le os grupos do LDAP
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
On 01-07-2010 17:58, Leandro Moreira wrote:
> Testei a linha que me enviou, eno console ela funcinou no squid.conf
> continua sem buscar os usuários, mas deguei o log do squid:
Tem algo errado aí. Se no console ela funciona e via
squid não, tem algum parâmetro ou alguma outra configuração
afetando a execução do comando.
> 2010/07/01 17:48:46.127| aclMatchExternal: acl="ldap_group"
> 2010/07/01 17:48:46.127| aclMatchExternal: ldap_group = 0
> 2010/07/01 17:48:46.127| aclMatchExternal: acl="ldap_group"
> 2010/07/01 17:48:46.127| aclMatchExternal: ldap_group("lmoreira
> Bloqueado") = lookup needed
> 2010/07/01 17:48:46.127| externalAclLookup: lookup in 'ldap_group' for
> 'lmoreira Bloqueado'
A consulta está procurando o usuário "lmoreira Bloqueado"
no grupo "ldap_group", então em algum momento algo fez com que a
ACL pensasse que o nome do grupo é ldap_group e que "lmoreria
Bloqueado" são uma coisa só e não "usuários<espaço>grupo".
[...]
> 2010/07/01 17:48:46.127| externalAclLookup: will wait for the result of
> 'lmoreira Bloqueado' in 'ldap_group' (ch=0xbf74c8).
> group filter
> '(&(cn=Bloqueado)(member=uid=lmoreira,ou=Usuarios,dc=local=br))',
> searchbase 'dc=local,dc=b
> r'
Você usa rfc2307? Ou seja, você configura seus grupos
usando o cn/uid deles ou o dn?
Além disso, para consultas de presença em grupo, é
melhor usar o overlay memberof.
> 2010/07/01 17:48:46.133| external_acl_cache_add: Adding 'lmoreira
> Bloqueado' = 0
>
> Ele consegue enxergar a qual grupo o usuáruo, mas nao aplica a regra no
> caso bloquear todo acesso a internet do usuário.
Da sua mensagem original:
>> Consegui fazer o squid autenticar por usuários, conforme me foi
>> sugerido aqui na lista, criei a seguinte estrutura:
>>
>> dc=local
>> ou=Grupos
>> ou=Restrito
>> ou=Liberado
>> ou=Bloueado
>> ou=Usuarios
>> uid=lmoreira
>> ou=Computadores
>>
>> Conforme a necessidade aloco o usuário de acordo com o grupo
>> (Liberado, bloqueado, Restrito), fiz as seguintes configurações
>> no squid:
>>
>> external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_
>> group -d -b "ou=Grupos,dc=local,dc=com,dc=br" -B
>> "ou=Usuarios,dc=local,dc=com,dc=br" -f "(&(memberUid=%u)(cn=%g))" -h
>> 10.0.50.11
Se você executar o /usr/lib/squid3/squid_ldap_group sem
parâmetros na linha de comando, vai ver que são outros valores
para passar nome de grupo e usuário (%v, por exemplo).
>> acl liberado external ldap_group Liberado
>> acl bloqueado external ldap_group Bloqueado
>> acl restrito external ldap_group Restrito
>>
>> http_access allow liberado
>> http_access deny bloqueado !update
>> http_access deny restrito !sites_permitidos
A referência, do próprio pessoal do Squid, é:
http://workaround.org/squid-ldap
Abraço,
- --
Felipe Augusto van de Wiel (faw)
Debian. Freedom to code. Code to freedom!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.10 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iEYEARECAAYFAkwvrioACgkQCjAO0JDlykYHzACgyNeAz7okQQf0ffyHOmf0xcV3
FTMAoJQ9QNGEAWNWgICJT480QFTGNxfR
=wz1/
-----END PGP SIGNATURE-----
Reply to: