El 26/09/17 a las 15:48, ysabo...@cubasoy.minag.cu escribió: > Hola fumero gracias por tu respuesta pero como dices el articulo es un > poco antiguo, me inicie en el mundo linux hace un tiempo relativamente > corto, no se si sera ignorancia pero el squid3 que tengo instalado no > trae squid_ldap_auth sino basic_ldap_auth ni tampoco ldap_auth_group > sino ext_ldap_group_acl, he estado buscando en la red pero no me > funcionan las soluciones que veo, encontre esta > > /usr/lib/squid3/ext_ldap_group_acl -b > "ou=group,dc=antiquitera,dc=site" -f > "(&(objectclass=posixGroup)(cn=%a)(member=uid=%v,ou=people,dc=antiquitera,dc=site))" > -B "ou=people,dc=antiquitera,dc=site" -v 3 -s sub > > la adapte amis necesidades > > /usr/lib/squid3/ext_ldap_group_acl -b > ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu -f > "(&(objectclass=posixGroup)(cn=%a)(member=uid=%v,ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu))" > -B ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu > ip_de_mi_ldap esto es para un server openldap, muy diferente a un Directorio Activo en su estructura. > > pero cuando hago la consulta me da este error > > ext_ldap_group_acl: WARNING: LDAP search error 'Operations error' > > tengo el grupo inet en ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu > > y mis usuarios en > ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu > > intente combibinar mi cadena con otra que usa este filtro > > -f > "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu) > pero igual el mismo error... > > gracias por sus respuestas.... > ______________________________________________________________________ > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > Gutl-l@jovenclub.cu > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
A ver en dependencia de la versión de squid y del SO, puede que se llame de una forma u otra, como esa parte no la has especificado, lo asumimos de forma genérica, pero bueno ya has dicho cuales son los helpers de squid que tiene tu sistema, solo utiliza esos binarios, sustituyendo el nombre en los ejemplos que te han comentado. Ahora por otra parte, ext_ldap_group_acl como bien lo especifica el nombre trabaja con miembros de grupos externos, y en tu caso en tu directorio, lo que estás empleando son Unidades Organizativas que no es lo mismo que los grupos, pues no se puede determine que un usuario pertenece a una OU, sino a un grupo, Debes crear grupos de seguridad, y hacer tus usuarios miembros de dichos grupos, como te comentaron en un ejemplos, Grupo Navegacion_Internet y otro Navegacion_Nacional, teniendo por ejemplo una OU para Grupos te quedaría de esta forma el filtro y las ACLs #AUTENTICACION POR GRUPOS DE AD external_acl_type ldap_group children=10 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -b ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Grupos,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu) #Grupo del AD que navegan nacional acl Internet-cuba external ldap_group Navegacion_Nacional #Grupo del AD con navegacion Full Internet acl Internet-full external ldap_group Navegacion_Internet acl cuba dstdomain .cu http_access allow Internet-full http_access deny Internet-cuba !cuba Como puedes ver permitimos después toda la navegación a la acl Internet-full y denegamos toda la navegación a la acl Internet-cuba, exceptuando al dominio .cu Salu2. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@teknik.io Brascuba Cigarrillos S.A. La Habana. Cuba. “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein” ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
