[CentOS-es] Internet con Squid por medio de Ldap

Carlos Moreira carlos.moreira en imcanelones.gub.uy
Jue Jul 17 14:52:21 UTC 2008 

O. T. Suarez escribió:
> Hola:
>   
>> Sabes que estuve todo el dia intentando solucionar esto, pero no lo
>> consigo.. me da siempre ERR.
>>     
> bien! esta claro que es una de dos, o da OK o da ERR
> Eso no es malo, solo que seguiremos hasta que de OK
>
>   
>> sobre el detalle del que me haablar.. a que documentacion te referis?
>> pero hay algo que si es cierto.. en ninguna parte del servidor he
>> configurado algun usuario para que pueda ingresar al ldap, aclaro que el
>> servidor ldap, es un servidor externo, y anda fenomenal. ya que lo uso para
>> autenticar los equipos con windows, como libreta de direcciones del correo,
>> autenticacion de correo (qmail), y como autenticacion para samba, para un
>> servidor de archivos. Pero no se si es que tengo que agregarle algun schema
>> para que me funcione con squid. o algo de eso.
>>     
> No, no hace falta ningun esquema. Pero el ldap, almacena mucha
> informacion. Alguna de ellas, el mejor ejemplo: contraseñas.
> Por eso, y voy a hablar del openldap que es el que conozco, utiliza ACLs.
> De esta manera, puedes permitir distintos niveles de accesos a
> distintas ramas del directorio.
> Hay accesos anonimos, y accesos autentificados. Cada ldap server tiene
> su propia configuracion. Para colmo, ldap viaja en texto plano,
> tendrias que utilizar ldaps. Yo trabaja local, y utilizaba las
> credenciales del administrador del openldap para loguearme y verificar
> eso. No es lo correcto, pero me funcionaba.
> Para hacer busquedas, tienes que tener un usuario que este autorizado
> (me refiero por completo al ldap).
> El openldap te guarda la configuracion del servidor en slapd.conf
> mientras que en ldap.conf se almacenan los datos que utilizara el
> sistema cuando intentes acceder a un ldap server como cliente,
> digamos, con el comando ldapsearch.
> Es la diferencia entre un /etc/my.cnf y un .mysqlrc.
> Por eso te insistia en que le dedicaras tiempo a utilizar ldapsearch,
> te ayudara a entender como funciona ldap, y por ahi, que esta pasando.
>
>   
ok, el tema es que no se en que parte del squid tengo que decirle que 
para acceder al ldap lo tiene que hacer por ejemplo con el usuario 
cn=admin,dc=imcanelones,dc=gub,dc=uy y alguna contraseña, para que pueda 
tener permisos.
>> en realidad no tengo interes que exita el usuario, solamente con que
>> pertenezca al grupo cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy me
>> conforma para que pueda salir a internet.
>>     
> Entonces, las consultas al ldap server, las haras con las credenciales
> de un usuario que pueda acceder a esa rama del arbol. y la base de
> busqueda seria
> ou=Groups,dc=imcanelones,dc=gub,dc=uy me
>
>   
En realidad creo que mi base de busqueda es 
ou=users,dc=imcanelones,dc=gub,dc=uy
porque es ahi donde tengo los usuarios, debajo de 
ou=Groups,dc=imcanelones,dc=gub,dc=uy tengo muchos cn que son grupos, 
entre ellos uno que se llama Internet donde estan escrito  los usuarios 
que quiero que accedan a internet
>> como puedo utilizar el ldapsearch desde el servidor donde tengo squid? ya
>> que no tengo instalado ldap ahi, gracias
>>     
> instalalo, si no ahi, en algun otro lado. es que tienes que tener
> ldap, sino, el squid no te funcionaria. cuando digo ldap, por
> supuesto, es la parte cliente, no servidor. man ldapsearch o
> directamente, busca ejemplos de uso en google.
>   
Perdon por lo duro que soy, pero sigo sin entender el objetivo que usar 
ldapsearch, se que la idea es para ver que puedo acceder a los usuarios 
haciendo las consultas. Pero por ejemplo, me puse a intentar probar 
consultar los usuarios desde el servidor donde tengo instalado ldap, y 
llego a ellos sin problemas..
Otro tema, es que cuando en el squid, solo mantengo la regla de que me 
deje acceder a los equipos que estan en la lan, autenticandolos con 
contraseña, ahi me funciona bien el acceso a ldap, porque me pide 
usuario y contraseña y este sirve..
pero me lo deja para cualquier usuario de ldap y no solo para los que 
esten en el grupo Internet.


osea, estas reglas por si solas andan,
auth_param basic program /usr/lib/squid/squid_ldap_auth -b 
"ou=users,dc=imcanelones,dc=gub,dc=uy" -h 10.1.1.25 -f (uid=%s)
acl lan src 10.1.1.0/255.255.255.0
http_access allow lan password


el problema es cuando intento agregar lo del grupo...
>   
>> sambaLMPassword: *****
>> sambaNTPassword: ****
>> userPassword: *****
>>     
> por las dudas cambia esos passwd ;)
>
> Saludos
> Osvaldo
>
>
>

Más información sobre la lista de distribución CentOS-es