[CentOS-es] Internet con Squid por medio de Ldap

Carlos Moreira carlos.moreira en imcanelones.gub.uy
Lun Jul 21 14:51:01 UTC 2008 


O. T. Suarez escribió:
>>>> external_acl_type ldap_group children=7 %LOGIN
>>>> /usr/lib/squid/squid_ldap_group -P -b
>>>> "cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy" -f (memberuid=%s) -B
>>>> "ou=users,dc=imcanelones,dc=gub,dc=uy" -F (uid=%s) -h 10.1.1.25
>>>>         
> -f filter
> LDAP search filter used to search the LDAP directory for any matching
> group memberships. In the filter %u will be replaced by the user name
> (or DN if the -F or -u options are used) and %g by the requested group
> name.
> -F filter
> LDAP search filter used to search the LDAP directory for any matching
> users. In the filter %s will be replaced by the user name. If % is to
> be included literally in the filter then use %%.
> tomado de http://linux.die.net/man/8/squid_ldap_group
>
> Si te fijas, en el squid.conf tienes los dos tipos de filtros..
> por un lado: -f (memberuid=%s)
> y por el otro: -F (uid=%s)
> hacen falta los dos? creo que con el primero te bastaria... sino, el
> segundo va a validar el usuario como valido y le va a dar acceso.
>
> A la linea que tienes en el squid ahora quitale la parte -F y mira a
> ver que pasa...
>
>   
Ok, quite esta opción, pero no me genero ningún cambio aparente, yo esta 
opción la habia escrito en su momento, porque me decía que era un campo 
requerido el -F. igual que el -B. Asi quedo.

external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b
"cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy" -f (memberuid=%s) -B
"ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25


>> una consuta, si yo saco la opcion
>>
>> http_access allow lan password
>>
>> esto lo que me hace, es que solamente los usuarios que pertenecen al grupo
>> pueden entrar no?? sin importar desde que red lo hagan.. porque si pongo
>>     
> si, debiera ser como dices. el usuario se autentifica con el ldap, no
> importa la red desde donde se conecte.
>   
Bien, así que entonces ya le saque esta opción, para poder probar bien, 
así que es de la forma siguiente que me quedaron los accesos ahora..

http_access allow internet_users
http_access deny all
> revisa las trazas del squid y postea el error que te sale ahi (seguro
> va a ser mas explicativo que el de la pagina web al usuario).
> Saludos
> Osvaldo
>
>   
Anduve buscando un poco, y el problema es porque no hay ninguna regla de 
acceso que le permita ingresar, siquiera autenticando.

Más información sobre la lista de distribución CentOS-es