O. T. Suarez escribió:
el primero, descarto que tenga problemas, porque solito funciona bien. el tema es con lo del grupo esto es lo que tengo escrito: external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b "cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy" -f (memberuid=%s) -B "ou=users,dc=imcanelones,dc=gub,dc=uy" -F (uid=%s) -h 10.1.1.25
acl lan src 10.1.1.0/255.255.255.0 acl internet_users external ldap_group
http_access deny !internet_users http_access allow lan password
Si yo comento http_access deny !internet_users puedo salir a internet sin problemas autenticandome con cualquier usuario de ldap, pero si dejo descomentada esa linea, no hay usuario de ldap que me permita salir.
el detalle es este,
http_access deny !internet_users
ahi niegas acceso a todos los que no esten en el grupo internet_users
http_access allow lan password
ahi permites a los del grupo lan
y ... donde permites a los que estan en el grupo internet_users? entiendes ese detalle? no seria asi?: http_access allow internet_users http_access allow lan password http_access deny all
sls osvaldo
Aca esta andando ahora... osea me pide usuario y contraseña y me permite entrar, el tema es que me permite entrar con cualquier usuario y contraseña, osea, si es un usuario de ldap me deja entrar a internet, pero creo que el tema ahora debe estar en arreglar el tema de login para que tome en cuenta a los que pertenecen al grupo.... muchas gracias por la ayuda.. una consuta, si yo saco la opcion
http_access allow lan password
esto lo que me hace, es que solamente los usuarios que pertenecen al grupo pueden entrar no?? sin importar desde que red lo hagan.. porque si pongo esta opcion, tampoco me permite.. pero me da un error distinto.. les copio el mensaje de error que me devuelve el explorador
The following error was encountered:
* *Access Denied. *
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.
Your cache administrator is root mailto:root.
external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b "cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy" -f (memberuid=%s) -B "ou=users,dc=imcanelones,dc=gub,dc=uy" -F (uid=%s) -h 10.1.1.25
-f filter LDAP search filter used to search the LDAP directory for any matching group memberships. In the filter %u will be replaced by the user name (or DN if the -F or -u options are used) and %g by the requested group name. -F filter LDAP search filter used to search the LDAP directory for any matching users. In the filter %s will be replaced by the user name. If % is to be included literally in the filter then use %%. tomado de http://linux.die.net/man/8/squid_ldap_group
Si te fijas, en el squid.conf tienes los dos tipos de filtros.. por un lado: -f (memberuid=%s) y por el otro: -F (uid=%s) hacen falta los dos? creo que con el primero te bastaria... sino, el segundo va a validar el usuario como valido y le va a dar acceso.
A la linea que tienes en el squid ahora quitale la parte -F y mira a ver que pasa...
una consuta, si yo saco la opcion
http_access allow lan password
esto lo que me hace, es que solamente los usuarios que pertenecen al grupo pueden entrar no?? sin importar desde que red lo hagan.. porque si pongo
si, debiera ser como dices. el usuario se autentifica con el ldap, no importa la red desde donde se conecte. revisa las trazas del squid y postea el error que te sale ahi (seguro va a ser mas explicativo que el de la pagina web al usuario). Saludos Osvaldo
O. T. Suarez escribió:
external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b "cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy" -f (memberuid=%s) -B "ou=users,dc=imcanelones,dc=gub,dc=uy" -F (uid=%s) -h 10.1.1.25
-f filter LDAP search filter used to search the LDAP directory for any matching group memberships. In the filter %u will be replaced by the user name (or DN if the -F or -u options are used) and %g by the requested group name. -F filter LDAP search filter used to search the LDAP directory for any matching users. In the filter %s will be replaced by the user name. If % is to be included literally in the filter then use %%. tomado de http://linux.die.net/man/8/squid_ldap_group
Si te fijas, en el squid.conf tienes los dos tipos de filtros.. por un lado: -f (memberuid=%s) y por el otro: -F (uid=%s) hacen falta los dos? creo que con el primero te bastaria... sino, el segundo va a validar el usuario como valido y le va a dar acceso.
A la linea que tienes en el squid ahora quitale la parte -F y mira a ver que pasa...
Ok, quite esta opción, pero no me genero ningún cambio aparente, yo esta opción la habia escrito en su momento, porque me decía que era un campo requerido el -F. igual que el -B. Asi quedo.
external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b "cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy" -f (memberuid=%s) -B "ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25
una consuta, si yo saco la opcion
http_access allow lan password
esto lo que me hace, es que solamente los usuarios que pertenecen al grupo pueden entrar no?? sin importar desde que red lo hagan.. porque si pongo
si, debiera ser como dices. el usuario se autentifica con el ldap, no importa la red desde donde se conecte.
Bien, así que entonces ya le saque esta opción, para poder probar bien, así que es de la forma siguiente que me quedaron los accesos ahora..
http_access allow internet_users http_access deny all
revisa las trazas del squid y postea el error que te sale ahi (seguro va a ser mas explicativo que el de la pagina web al usuario). Saludos Osvaldo
Anduve buscando un poco, y el problema es porque no hay ninguna regla de acceso que le permita ingresar, siquiera autenticando.
Saludos.
Pueden aconsejarme alguna herramienta para el analisis de los logs del Centos al estilo del Sarg para el squid, pero que me sirva para los logs del postfix, squid y httpd.
He visto algunas como el surftrack que esta muy completa pero complicadisima de instalar.
El wtebaliser es mas estadistico y no me da lo que quiero con el squid
No se si el awstats podra servir.
Bien... les comento que al fiin pude solucionar el problema... les dejo un poco como me quedaron las lineas del squid.conf para autenticar cn ldap, por si a alguno le sirve para mas adelante..
auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25 -f "(uid=%s)"
external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -b "ou=Groups,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25 -f "(&(cn=%g)(memberUid=%u))"
acl password proxy_auth REQUIRED acl password_group external ldap_group Internet
http_access allow password_group http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all
muchas gracias a todos salu2 Carlitos
Enrique Rosario escribió:
Saludos.
Pueden aconsejarme alguna herramienta para el analisis de los logs del Centos al estilo del Sarg para el squid, pero que me sirva para los logs del postfix, squid y httpd.
He visto algunas como el surftrack que esta muy completa pero complicadisima de instalar.
El wtebaliser es mas estadistico y no me da lo que quiero con el squid
No se si el awstats podra servir.
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
-
Carlos Moreira -
Enrique Rosario -
O. T. Suarez