El mar, 26-09-2017 a las 10:19 -0400, ysabo...@cubasoy.minag.cu escribió: > Hola a todos listeros espero este tema no sea considerado off-topic. > resulta que tengo mi squid3 sobre debian 8 auntenticando contra un > active directory en server 2008, para esto uso el programa externo de > squid: basic_ldap_auth que es el que viene en la version instalada. > el caso es que hasta ahora todos mis usuarios tenian navegación nacional > y no necesitaba mas que ponerlos a todos en la misma unidad > organizativa, pero ahora las condiciones cambiaron y necesito tener > usuarios con .cu e internacional también, concretamente lo que necesito > es autenticar mis usuarios basándome en el grupo al que pertenecen y no > en la unidad organizativa en la que se encuentren en /usr/lib/squid3 > también tengo ext_ldap_group_acl pero no se como usarlo. alguien que me > pueda pasar una una solución sobre la base de los que yo pienso hacer o > con otro metodo... > gracias......
Valora una solución como esta, que me enviaron hace ya un buen tiempo (ciertamente estoy que no boto nada; este mensaje es viejito). Lo otro que se me ocurre es que controles el tipo de navegación a nivel del Squid. La autenticación del usuario te la daría el ADS contra el cual validas, sin cambiar nada de lo que tienes ya hecho, y para definir quién puede y quién no, creas dos acl, una para los afortunados y otra para los resignados (prohibidos los juegos de palabras aquí). Según "machee" el nombre del usuario contra una u otra, pues así podrá o no mirar por la ventana. Siéntanse libres de sacarme tarjeta amarilla los que realmente saben de esto. Aquí va la solución antes mencionada. De: fe...@epepm.cupet.cu Para: Alberto José García Fumero <albe...@ettpartagas.co.cu> Asunto: Re: Samba 4 alpha 17 Fecha: Thu, 22 Sep 2011 16:20:10 -0400 (CDT) ¿Puedes mandarme la configuración que le pusiste al Squid? Primero: auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -v 3 -b dc=ejemplo,dc=com,dc=cu -D cn=lector,cn=Users,dc=ejemplo,dc=com,dc=cu -w tupassword -f sAMAccountName=%s -h ip_del_controlador_de_dominio Sustituye adecuadamente los DNs. Tienes que usar un usuario de tu dominio porque normalmente el Directorio Activo no permite acceso anonimo. en este caso puse a un usuario llamado lector. en tupassword pones el password del usuario lector. despues: external_acl_type InetGroup children=10 %LOGIN /usr/lib/squid3/squid_ldap_group -R -v 3 -b dc=ejemplo,dc=com,dc=cu -D cn=lector,cn=Users,dc=ejemplo,dc=com,dc=cu -w tupassword -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=% a,cn=Users,dc=ejemplo,dc=com,dc=cu))" -h ip_del_controlador_de_dominio despues: acl InetAccess external InetGroup webinternet http_access allow InetAccess http_access allow InetAccess En mi Directorio Activo cree un grupo llamado webinternet donde inclui a todos los usuarios que tienen Internet. Esto es +- lo que tengo hecho en mi Squid contra un Directorio Activo en w2k3. Ahora para las pruebas que hice contra Samba4, solo use el programita squid_ldap_auth.exe desde la linea de comandos de winxp, poniendolo exactamente como te dije arriba (pero atemperado a mi dominio), despues de dar enter, entras un nombre de usuario, espacio, contraseña y el te dice OK si todo esta bien, de lo contrario devuelve ERR. Saludos. -- M.Sc. Alberto García Fumero Usuario Linux 97 138, registrado 10/12/1998 http://interese.cubava.cu Una conclusión es el punto en que usted se cansó de pensar. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
