El mar, 26-09-2017 a las 20:48 -0400, Arian Molina Aguilera escribió: > El 26/09/17 a las 15:48, ysabo...@cubasoy.minag.cu escribió: > > Hola fumero gracias por tu respuesta pero como dices el articulo es un > > poco antiguo, me inicie en el mundo linux hace un tiempo relativamente > > corto, no se si sera ignorancia pero el squid3 que tengo instalado no > > trae squid_ldap_auth sino basic_ldap_auth ni tampoco ldap_auth_group > > sino ext_ldap_group_acl, he estado buscando en la red pero no me > > funcionan las soluciones que veo, encontre esta > > > > /usr/lib/squid3/ext_ldap_group_acl -b > > "ou=group,dc=antiquitera,dc=site" -f > > "(&(objectclass=posixGroup)(cn=%a)(member=uid=%v,ou=people,dc=antiquitera,dc=site))" > > -B "ou=people,dc=antiquitera,dc=site" -v 3 -s sub > > > > la adapte amis necesidades > > > > /usr/lib/squid3/ext_ldap_group_acl -b > > ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu -f > > "(&(objectclass=posixGroup)(cn=%a)(member=uid=%v,ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu))" > > -B ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu > > ip_de_mi_ldap > esto es para un server openldap, muy diferente a un Directorio Activo en > su estructura. > > > > pero cuando hago la consulta me da este error > > > > ext_ldap_group_acl: WARNING: LDAP search error 'Operations error' > > > > tengo el grupo inet en ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu > > > > y mis usuarios en > > ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu > > > > intente combibinar mi cadena con otra que usa este filtro > > > > -f > > "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu) > > pero igual el mismo error... > > > > gracias por sus respuestas.... > > ______________________________________________________________________ > > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > > Gutl-l@jovenclub.cu > > https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l > > A ver en dependencia de la versión de squid y del SO, puede que se llame > de una forma u otra, como esa parte no la has especificado, lo asumimos > de forma genérica, pero bueno ya has dicho cuales son los helpers de > squid que tiene tu sistema, solo utiliza esos binarios, sustituyendo el > nombre en los ejemplos que te han comentado. Ahora por otra parte, > ext_ldap_group_acl como bien lo especifica el nombre trabaja con > miembros de grupos externos, y en tu caso en tu directorio, lo que estás > empleando son Unidades Organizativas que no es lo mismo que los grupos, > pues no se puede determine que un usuario pertenece a una OU, sino a un > grupo, Debes crear grupos de seguridad, y hacer tus usuarios miembros de > dichos grupos, como te comentaron en un ejemplos, Grupo > Navegacion_Internet y otro Navegacion_Nacional, teniendo por ejemplo una > OU para Grupos te quedaría de esta forma el filtro y las ACLs > > #AUTENTICACION POR GRUPOS DE AD > external_acl_type ldap_group children=10 %LOGIN > /usr/lib/squid3/ext_ldap_group_acl -b > ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu -f > "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Grupos,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu) > > #Grupo del AD que navegan nacional > acl Internet-cuba external ldap_group Navegacion_Nacional > #Grupo del AD con navegacion Full Internet > acl Internet-full external ldap_group Navegacion_Internet > > acl cuba dstdomain .cu > http_access allow Internet-full > http_access deny Internet-cuba !cuba > > Como puedes ver permitimos después toda la navegación a la acl > Internet-full y denegamos toda la navegación a la acl Internet-cuba, > exceptuando al dominio .cu > > Salu2. >
Arian, tú que sabes mucho más de esto, se me ocurre (de hecho, lo estoy probando "en seco") que para el caso de que se tenga todos los usuarios en Users, sin OU, o como en mi caso, que debo levantar una máquina virtual Win$7 cada vez que quiero mirar algo allá en el Samba 4, una variante pudiera ser algo como: acl password proxy_auth REQUIRED acl prohibidas url_regex -i "/etc/squid/prohibidas" acl cuba dstdomain .cu localhost acl internet src "/etc/squid/internet" acl nacional src "/etc/squid/nacional" acl olimpo src "/etc/squid/olimpo" #Solo 5 hilos por usuario acl limitusercon maxconn 5 #Numero de conexiones por IP authenticate_ip_ttl 300 seconds acl maxip max_user_ip -s 1 http_access deny prohibidas http_access deny limitusercon !olimpo http_access deny maxip http_access allow cuba nacional password http_access allow all internet password con lo cual no necesitaría levantar esa máquina, sino más rápidamente modificar en el listado correspondiente, dar reload y punto final. Me imagino que todos los caminos llevan tarde o temprano a Roma, y gano unos minutos... que no soy tan vago, no, es que generalmente tengo muchos programas abiertos, que roban memoria ;-) ¿Tiene sentido? -- M.Sc. Alberto García Fumero Usuario Linux 97 138, registrado 10/12/1998 http://interese.cubava.cu Una conclusión es el punto en que usted se cansó de pensar. ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
