[CentOS-es] Internet con Squid por medio de Ldap

Carlos Moreira carlos.moreira en imcanelones.gub.uy
Mie Jul 16 19:18:03 UTC 2008 


O. T. Suarez escribió:
> Hola Carlos:
>
>   
>> No se como hacer para "ejecutar ese comando" en el promt de linux escribo:
>> auth_param basic program /usr/lib/squid/squid_ldap_auth -b
>> "ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25 -f (uid=carlos.moreira)
>>
>> pero me devuelve error.
>>     
> fijate en la linea del squid, te da el camino completo del binario (el
> authentication helper en este caso), seria ejecutar en la linea de
> comandos:
> /usr/lib/squid/squid_ldap_auth -b
> "ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25 -f
> (uid=carlos.moreira)
> Eso te da error? Ese comando cuando lo ejecutes, si esta bien, te debe
> dar un OK.
> Un detalle, para consultar el arbol ldap que credenciales utiliza el
> squid_ldap_auth? revisa en la documentacion como se configura y dime.
>   

Sabes que estuve todo el dia intentando solucionar esto, pero no lo 
consigo.. me da siempre ERR.
sobre el detalle del que me haablar.. a que documentacion te referis?
pero hay algo que si es cierto.. en ninguna parte del servidor he 
configurado algun usuario para que pueda ingresar al ldap, aclaro que el 
servidor ldap, es un servidor externo, y anda fenomenal. ya que lo uso 
para autenticar los equipos con windows, como libreta de direcciones del 
correo, autenticacion de correo (qmail), y como autenticacion para 
samba, para un servidor de archivos. Pero no se si es que tengo que 
agregarle algun schema para que me funcione con squid. o algo de eso.
>   
>>> veo que tienes dos variables %g y %u, el squid sabe cual es cada una?
>>> infiero que %u es el user: carlos.moreira, pero %g?
>>> otra cosa, CN es el canonical name? puede ser Carlos Moreira.
>>>       
>
>   
>> Aca le saque (CN=%g) xq la verdad no lo necesito , lo unico que me interesa
>> es que exista el usuario y que tenga el atributo posixGroup entre sus
>> objectClass
>>     
>
> mejor asi, vamos quitando lo que no sirve y al final, puede que logres
> que funcione! ;)
>
> Quizas por ahora te interesa que exista el usuario, pero eventualmente
> te va a interesar que pertenezca a determinado grupo.
>   
en realidad no tengo interes que exita el usuario, solamente con que 
pertenezca al grupo cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy me 
conforma para que pueda salir a internet.
> Aparte, el usuario, no va a (bueno, no debiera) tener el atributo
> posixGroup entre sus objectClass, eso te lo digo desde ahora mismo. O
> es un usuario o es un grupo, posixGroup como objectClass se utiliza
> para los grupos, no?
>
>   
El usuario no tiene el atributo posixGroup, fui yo que me exprese mal,  
te dejo mas abajo el ldif de un usuario.
>> No se a que te referis con ¿donde definis el grupo que te sirve de base?, yo
>> utilizo ou=users,dc=imcanelones,dc=gub,dc=uy
>>     
> las busquedas ldap tienen una base siempre, una rama del arbol ldap a
> partir de la cual hacen la consulta.
>   
por ejemplo, para las busquedas de la libreta de direcciones del 
servidor de correo, la basedn es ou=users,dc=imcanelones,dc=gub,dc=uy
>
>   
>> porque debajo de ahi tengo definido todos los usuarios, lo que hice despues
>> fue crear en
>> ou=Groups,dc=imcanelones,dc=gub,dc=uy un cn=Internet
>> el cual tiene como atributo posixGroup, y ahi agrego a todos los usuarios
>> que quiero que salgan a internet
>>     
> o sea, tu busqueda es si existe pertenencia a ese grupo, una vez lo
> hice, no para squid sino para apache, busca ejemplos de como
> configurar autentificacion por ldap en apache, ya se que son distintos
> pero la parte de los criterios de busquedas es similar y te va a
> ayudar a entender que hay que hacer y como armar las cadenas de
> busquedas.
>
> Recuerda siempre, pruebalos con ldapsearch desde el prompt, hasta que
> eso no te funcione ok, no te compliques con el squid. Asi afinas bien
> el criterio de busqueda y luego te dedicas al squid.
> Saludos
> Osvaldo
>   
como puedo utilizar el ldapsearch desde el servidor donde tengo squid? 
ya que no tengo instalado ldap ahi, gracias

dn: uid=carlos.moreira,ou=Redes,ou=ATI,ou=Palacio Municipal,ou=Usuarios 
de   Correo,ou=Users,dc=imcanelones,dc=gub,dc=uy
sambaLMPassword: 76BB9311DE4EB4E9F7E62F36F8DB5AE6
sambaPrimaryGroupSID: S-1-5-21-1064533117-1993488802-1232828436-513
displayName: carlos.moreira
accountStatus: active
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
objectClass: person
objectClass: organizationalPerson
objectClass: qmailUser
sambaLogonTime: 0
ou: Equipo de Gobierno
mailMessageStore: imcanelones.gub.uy/carlos.moreira
uid: carlos.moreira
mail: carlos.moreira en imcanelones.gub.uy
uidNumber: 2692
cn: carlos.moreira
sambaLogoffTime: 2147483647
sambaPwdLastSet: 1189601925
loginShell: /bin/false
sambaAcctFlags: [U          ]
gidNumber: 513
sambaPwdMustChange: 2147483647
gecos: carlos.moreira
sambaPwdCanChange: 1189601925
sambaSID: S-1-5-21-1064533117-1993488802-1232828436-2692
sambaNTPassword: 611BCB4DA3909E04C21B34C3EB9F7818
description: Usuario de ATI
mailHost: mail.imcanelones.gub.uy
homeDirectory: /home/carlos.moreira
sambaKickoffTime: 2147483647
mailQuotaCount: 0
sn: Carlos Moreira
sambaPasswordHistory: 000000000000000000000000000000000000000000000000000000
 0000000000
userPassword: {MD5}x5znIVIm6W6Ul9IvtfImuA==
mailQuotaSize: 3221225472
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>
>

Más información sobre la lista de distribución CentOS-es