O. T. Suarez escribió:
external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b "cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy" -f (memberuid=%s) -B "ou=users,dc=imcanelones,dc=gub,dc=uy" -F (uid=%s) -h 10.1.1.25
-f filter LDAP search filter used to search the LDAP directory for any matching group memberships. In the filter %u will be replaced by the user name (or DN if the -F or -u options are used) and %g by the requested group name. -F filter LDAP search filter used to search the LDAP directory for any matching users. In the filter %s will be replaced by the user name. If % is to be included literally in the filter then use %%. tomado de http://linux.die.net/man/8/squid_ldap_group
Si te fijas, en el squid.conf tienes los dos tipos de filtros.. por un lado: -f (memberuid=%s) y por el otro: -F (uid=%s) hacen falta los dos? creo que con el primero te bastaria... sino, el segundo va a validar el usuario como valido y le va a dar acceso.
A la linea que tienes en el squid ahora quitale la parte -F y mira a ver que pasa...
Ok, quite esta opción, pero no me genero ningún cambio aparente, yo esta opción la habia escrito en su momento, porque me decía que era un campo requerido el -F. igual que el -B. Asi quedo.
external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b "cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy" -f (memberuid=%s) -B "ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25
una consuta, si yo saco la opcion
http_access allow lan password
esto lo que me hace, es que solamente los usuarios que pertenecen al grupo pueden entrar no?? sin importar desde que red lo hagan.. porque si pongo
si, debiera ser como dices. el usuario se autentifica con el ldap, no importa la red desde donde se conecte.
Bien, así que entonces ya le saque esta opción, para poder probar bien, así que es de la forma siguiente que me quedaron los accesos ahora..
http_access allow internet_users http_access deny all
revisa las trazas del squid y postea el error que te sale ahi (seguro va a ser mas explicativo que el de la pagina web al usuario). Saludos Osvaldo
Anduve buscando un poco, y el problema es porque no hay ninguna regla de acceso que le permita ingresar, siquiera autenticando.