ayuda squid+ldap

["Ariel Alvarez" <ariel@cncc.cult.cu>]

hola lista tengo implementado squid3 + ldap y todo funciona bien, pero
estoy probando que algunos usuarios miembros de distintos grupos tengan
acceso a internet mediante los conceptos declarados en squid, ej:

en ldap
tengo tres usuarios:

usuario1
usuario2
usuario3

grupos:
accesofull----usuario1
accesolimitado----usuario2
accesonacional----usuario3



en squid3:

#aplico el helper de autenticacion para ldap:
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b
"dc=mired,dc=cu" -f "uid=%s" -h 192.xx.xx.xx

#aplico el helper para comprobar si el usuario pertenece a un grupo en
espesifico:

external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -b
"ou=group,dc=mired,dc=cu" -f
"(&(cn=%a)(memberUid=%v)(objectClass=posixGroup))" -h 192.xx.xx.xx

luego creo las siguientes acl:

acl password proxy_auth REQUIRED
acl accesofull external ldap_group accesofull
acl accesolimitado external ldap_group accesolimitado
acl accesonacional external ldap_group accesonacional
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 30 minute
auth_param basic casesensitive off
###acl donde declaro los dominios permitidos para el grupo accesonacional##
acl sitiosnac dstdomain "/etc/squid3/reglas/sitiosnac"
####demas acl
acl arpfull arp "/etc/squid3/reglas/arpfull"
acl arplan arp "/etc/squid3/reglas/arplan"
acl ipfull src "/etc/squid3/reglas/ipfull"
acl iplan src "/etc/squid3/reglas/iplan"

####permito la navegacion segun criterios:

http_access allow password internetfull ipfull arpfull
http_access allow password internetrest iplan arplan
http_access allow password internetnac sitiosnac


todo esto me funciona, pero a cada rato cualquier usuario de cualquier
grupo, pierde la navegacion y me he dado cuenta el archivo:

/var/log/squid3/cache.log

se vuelve a regenerar, por ejemplo pongo aqui algo de esta salida:

2014/07/03 11:18:25|         0 Objects expired.
2014/07/03 11:18:25|         0 Objects cancelled.
2014/07/03 11:18:25|         0 Duplicate URLs purged.
2014/07/03 11:18:25|         0 Swapfile clashes avoided.
2014/07/03 11:18:25|   Took 0.00 seconds (38269.93 objects/sec).
2014/07/03 11:18:25| Beginning Validation Procedure
2014/07/03 11:18:25|   Completed Validation Procedure
2014/07/03 11:18:25|   Validated 363 Entries
2014/07/03 11:18:25|   store_swap_size = 3904
2014/07/03 11:18:26| storeLateRelease: released 0 objects
2014/07/03 11:19:12| Starting Squid Cache version 3.1.20 for
i486-pc-linux-gnu...
2014/07/03 11:19:12| Process ID 25317
2014/07/03 11:19:12| With 65535 file descriptors available
2014/07/03 11:19:12| Initializing IP Cache...
2014/07/03 11:19:12| DNS Socket created at [::], FD 7
2014/07/03 11:19:12| DNS Socket created at 0.0.0.0, FD 8
2014/07/03 11:19:12| Adding domain mired.cu from /etc/resolv.conf
2014/07/03 11:19:12| Adding domain mired.cu from /etc/resolv.conf
2014/07/03 11:19:12| Adding nameserver 192.xx.xx.xx from /etc/resolv.conf
2014/07/03 11:19:12| Adding nameserver 192.xx.xx.xx from /etc/resolv.conf
2014/07/03 11:19:12| helperOpenServers: Starting 5/5 'squid_ldap_auth'
processes
2014/07/03 11:19:12| helperOpenServers: Starting 5/5 'squid_ldap_group'
processes
2014/07/03 11:19:12| Unlinkd pipe opened on FD 33
2014/07/03 11:19:12| Local cache digest enabled; rebuild/rewrite every
3600/3600 sec
2014/07/03 11:19:12| Swap maxSize 102400 + 65536 KB, estimated 12918 objects
2014/07/03 11:19:12| Target number of buckets: 645
2014/07/03 11:19:12| Using 8192 Store buckets
2014/07/03 11:19:12| Max Mem  size: 65536 KB
2014/07/03 11:19:12| Max Swap size: 102400 KB
2014/07/03 11:19:12| Version 1 of swap file with LFS support detected...
2014/07/03 11:19:12| Rebuilding storage in /var/spool/squid3/cache (CLEAN)
2014/07/03 11:19:12| Using Least Load store dir selection
2014/07/03 11:19:12| Set Current Directory to /var/spool/squid3
2014/07/03 11:19:12| Loaded Icons.
2014/07/03 11:19:12| Accepting  HTTP connections at 192.xx.xx.xx:3128, FD 37.
2014/07/03 11:19:12| Accepting ICP messages at [::]:3130, FD 38.
2014/07/03 11:19:12| HTCP Disabled.
2014/07/03 11:19:12| Squid plugin modules loaded: 0
2014/07/03 11:19:12| Adaptation support is off.
2014/07/03 11:19:12| Ready to serve requests.
2014/07/03 11:19:12| Done reading /var/spool/squid3/cache swaplog (169
entries)
2014/07/03 11:19:12| Finished rebuilding storage from disk.
2014/07/03 11:19:12|       169 Entries scanned
2014/07/03 11:19:12|         0 Invalid entries.
2014/07/03 11:19:12|         0 With invalid flags.
2014/07/03 11:19:12|       169 Objects loaded.
2014/07/03 11:19:12|         0 Objects expired.
2014/07/03 11:19:12|         0 Objects cancelled.
2014/07/03 11:19:12|         0 Duplicate URLs purged.
2014/07/03 11:19:12|         0 Swapfile clashes avoided.
2014/07/03 11:19:12|   Took 0.01 seconds (27222.94 objects/sec).
2014/07/03 11:19:12| Beginning Validation Procedure
2014/07/03 11:19:12|   Completed Validation Procedure
2014/07/03 11:19:12|   Validated 363 Entries
2014/07/03 11:19:12|   store_swap_size = 3904
2014/07/03 11:19:13| storeLateRelease: released 0 objects


esto pasa con bastante frecuencia.


si quito de squid3 el helper de la comprobación por grupos todo funciona a
la perfeccion, ya el archivo (/var/log/squid3/cache.log) no se regenera y
el usuario no pierde la navegacion.


alguna idea de que pueda estar pasando, ya he consultado varias ayudas en
internet y he probado varias combinaciones de filtrado en el helper de
grupos todo con el mismo resultado.


gracias de antemano


-----------------------------------------
Consejo Nacional de Casas de Cultura, Visítenos: www.casasdecultura.cult.cu






---------------------------------------------------------------------------------
Consejo Nacional de Casas de Cultura, Visítenos: www.casasdecultura.cult.cu