O. T. Suarez escribió:
Hola:
Sabes que estuve todo el dia intentando solucionar esto, pero no lo consigo.. me da siempre ERR.
bien! esta claro que es una de dos, o da OK o da ERR Eso no es malo, solo que seguiremos hasta que de OK
sobre el detalle del que me haablar.. a que documentacion te referis? pero hay algo que si es cierto.. en ninguna parte del servidor he configurado algun usuario para que pueda ingresar al ldap, aclaro que el servidor ldap, es un servidor externo, y anda fenomenal. ya que lo uso para autenticar los equipos con windows, como libreta de direcciones del correo, autenticacion de correo (qmail), y como autenticacion para samba, para un servidor de archivos. Pero no se si es que tengo que agregarle algun schema para que me funcione con squid. o algo de eso.
No, no hace falta ningun esquema. Pero el ldap, almacena mucha informacion. Alguna de ellas, el mejor ejemplo: contraseñas. Por eso, y voy a hablar del openldap que es el que conozco, utiliza ACLs. De esta manera, puedes permitir distintos niveles de accesos a distintas ramas del directorio. Hay accesos anonimos, y accesos autentificados. Cada ldap server tiene su propia configuracion. Para colmo, ldap viaja en texto plano, tendrias que utilizar ldaps. Yo trabaja local, y utilizaba las credenciales del administrador del openldap para loguearme y verificar eso. No es lo correcto, pero me funcionaba. Para hacer busquedas, tienes que tener un usuario que este autorizado (me refiero por completo al ldap). El openldap te guarda la configuracion del servidor en slapd.conf mientras que en ldap.conf se almacenan los datos que utilizara el sistema cuando intentes acceder a un ldap server como cliente, digamos, con el comando ldapsearch. Es la diferencia entre un /etc/my.cnf y un .mysqlrc. Por eso te insistia en que le dedicaras tiempo a utilizar ldapsearch, te ayudara a entender como funciona ldap, y por ahi, que esta pasando.
ok, el tema es que no se en que parte del squid tengo que decirle que para acceder al ldap lo tiene que hacer por ejemplo con el usuario cn=admin,dc=imcanelones,dc=gub,dc=uy y alguna contraseña, para que pueda tener permisos.
en realidad no tengo interes que exita el usuario, solamente con que pertenezca al grupo cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy me conforma para que pueda salir a internet.
Entonces, las consultas al ldap server, las haras con las credenciales de un usuario que pueda acceder a esa rama del arbol. y la base de busqueda seria ou=Groups,dc=imcanelones,dc=gub,dc=uy me
En realidad creo que mi base de busqueda es ou=users,dc=imcanelones,dc=gub,dc=uy porque es ahi donde tengo los usuarios, debajo de ou=Groups,dc=imcanelones,dc=gub,dc=uy tengo muchos cn que son grupos, entre ellos uno que se llama Internet donde estan escrito los usuarios que quiero que accedan a internet
como puedo utilizar el ldapsearch desde el servidor donde tengo squid? ya que no tengo instalado ldap ahi, gracias
instalalo, si no ahi, en algun otro lado. es que tienes que tener ldap, sino, el squid no te funcionaria. cuando digo ldap, por supuesto, es la parte cliente, no servidor. man ldapsearch o directamente, busca ejemplos de uso en google.
Perdon por lo duro que soy, pero sigo sin entender el objetivo que usar ldapsearch, se que la idea es para ver que puedo acceder a los usuarios haciendo las consultas. Pero por ejemplo, me puse a intentar probar consultar los usuarios desde el servidor donde tengo instalado ldap, y llego a ellos sin problemas.. Otro tema, es que cuando en el squid, solo mantengo la regla de que me deje acceder a los equipos que estan en la lan, autenticandolos con contraseña, ahi me funciona bien el acceso a ldap, porque me pide usuario y contraseña y este sirve.. pero me lo deja para cualquier usuario de ldap y no solo para los que esten en el grupo Internet.
osea, estas reglas por si solas andan, auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25 -f (uid=%s) acl lan src 10.1.1.0/255.255.255.0 http_access allow lan password
el problema es cuando intento agregar lo del grupo...
sambaLMPassword: ***** sambaNTPassword: **** userPassword: *****
por las dudas cambia esos passwd ;)
Saludos Osvaldo