[CentOS-es] Internet con Squid por medio de Ldap

O. T. Suarez otsuarez en gmail.com
Mar Jul 15 19:14:36 UTC 2008


Hola Carlos:

> No se como hacer para "ejecutar ese comando" en el promt de linux escribo:
> auth_param basic program /usr/lib/squid/squid_ldap_auth -b
> "ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25 -f (uid=carlos.moreira)
>
> pero me devuelve error.
fijate en la linea del squid, te da el camino completo del binario (el
authentication helper en este caso), seria ejecutar en la linea de
comandos:
/usr/lib/squid/squid_ldap_auth -b
"ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25 -f
(uid=carlos.moreira)
Eso te da error? Ese comando cuando lo ejecutes, si esta bien, te debe
dar un OK.
Un detalle, para consultar el arbol ldap que credenciales utiliza el
squid_ldap_auth? revisa en la documentacion como se configura y dime.

>> veo que tienes dos variables %g y %u, el squid sabe cual es cada una?
>> infiero que %u es el user: carlos.moreira, pero %g?
>> otra cosa, CN es el canonical name? puede ser Carlos Moreira.

> Aca le saque (CN=%g) xq la verdad no lo necesito , lo unico que me interesa
> es que exista el usuario y que tenga el atributo posixGroup entre sus
> objectClass

mejor asi, vamos quitando lo que no sirve y al final, puede que logres
que funcione! ;)

Quizas por ahora te interesa que exista el usuario, pero eventualmente
te va a interesar que pertenezca a determinado grupo.

Aparte, el usuario, no va a (bueno, no debiera) tener el atributo
posixGroup entre sus objectClass, eso te lo digo desde ahora mismo. O
es un usuario o es un grupo, posixGroup como objectClass se utiliza
para los grupos, no?

> No se a que te referis con ¿donde definis el grupo que te sirve de base?, yo
> utilizo ou=users,dc=imcanelones,dc=gub,dc=uy
las busquedas ldap tienen una base siempre, una rama del arbol ldap a
partir de la cual hacen la consulta.


> porque debajo de ahi tengo definido todos los usuarios, lo que hice despues
> fue crear en
> ou=Groups,dc=imcanelones,dc=gub,dc=uy un cn=Internet
> el cual tiene como atributo posixGroup, y ahi agrego a todos los usuarios
> que quiero que salgan a internet
o sea, tu busqueda es si existe pertenencia a ese grupo, una vez lo
hice, no para squid sino para apache, busca ejemplos de como
configurar autentificacion por ldap en apache, ya se que son distintos
pero la parte de los criterios de busquedas es similar y te va a
ayudar a entender que hay que hacer y como armar las cadenas de
busquedas.

Recuerda siempre, pruebalos con ldapsearch desde el prompt, hasta que
eso no te funcione ok, no te compliques con el squid. Asi afinas bien
el criterio de busqueda y luego te dedicas al squid.
Saludos
Osvaldo


Más información sobre la lista de distribución CentOS-es