El 27/09/17 a las 10:42, Alberto José García Fumero escribió: > El mar, 26-09-2017 a las 20:48 -0400, Arian Molina Aguilera escribió: >> El 26/09/17 a las 15:48, ysabo...@cubasoy.minag.cu escribió: >>> Hola fumero gracias por tu respuesta pero como dices el articulo es un >>> poco antiguo, me inicie en el mundo linux hace un tiempo relativamente >>> corto, no se si sera ignorancia pero el squid3 que tengo instalado no >>> trae squid_ldap_auth sino basic_ldap_auth ni tampoco ldap_auth_group >>> sino ext_ldap_group_acl, he estado buscando en la red pero no me >>> funcionan las soluciones que veo, encontre esta >>> >>> /usr/lib/squid3/ext_ldap_group_acl -b >>> "ou=group,dc=antiquitera,dc=site" -f >>> "(&(objectclass=posixGroup)(cn=%a)(member=uid=%v,ou=people,dc=antiquitera,dc=site))" >>> -B "ou=people,dc=antiquitera,dc=site" -v 3 -s sub >>> >>> la adapte amis necesidades >>> >>> /usr/lib/squid3/ext_ldap_group_acl -b >>> ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu -f >>> "(&(objectclass=posixGroup)(cn=%a)(member=uid=%v,ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu))" >>> -B ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu >>> ip_de_mi_ldap >> esto es para un server openldap, muy diferente a un Directorio Activo en >> su estructura. >>> pero cuando hago la consulta me da este error >>> >>> ext_ldap_group_acl: WARNING: LDAP search error 'Operations error' >>> >>> tengo el grupo inet en ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu >>> >>> y mis usuarios en >>> ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu >>> >>> intente combibinar mi cadena con otra que usa este filtro >>> >>> -f >>> "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=ConNavegacion,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu) >>> pero igual el mismo error... >>> >>> gracias por sus respuestas.... >>> ______________________________________________________________________ >>> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. >>> Gutl-l@jovenclub.cu >>> https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l >> A ver en dependencia de la versión de squid y del SO, puede que se llame >> de una forma u otra, como esa parte no la has especificado, lo asumimos >> de forma genérica, pero bueno ya has dicho cuales son los helpers de >> squid que tiene tu sistema, solo utiliza esos binarios, sustituyendo el >> nombre en los ejemplos que te han comentado. Ahora por otra parte, >> ext_ldap_group_acl como bien lo especifica el nombre trabaja con >> miembros de grupos externos, y en tu caso en tu directorio, lo que estás >> empleando son Unidades Organizativas que no es lo mismo que los grupos, >> pues no se puede determine que un usuario pertenece a una OU, sino a un >> grupo, Debes crear grupos de seguridad, y hacer tus usuarios miembros de >> dichos grupos, como te comentaron en un ejemplos, Grupo >> Navegacion_Internet y otro Navegacion_Nacional, teniendo por ejemplo una >> OU para Grupos te quedaría de esta forma el filtro y las ACLs >> >> #AUTENTICACION POR GRUPOS DE AD >> external_acl_type ldap_group children=10 %LOGIN >> /usr/lib/squid3/ext_ldap_group_acl -b >> ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu -f >> "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Grupos,ou=UsuariosCubasoy,dc=cubasoy,dc=minag,dc=cu) >> >> #Grupo del AD que navegan nacional >> acl Internet-cuba external ldap_group Navegacion_Nacional >> #Grupo del AD con navegacion Full Internet >> acl Internet-full external ldap_group Navegacion_Internet >> >> acl cuba dstdomain .cu >> http_access allow Internet-full >> http_access deny Internet-cuba !cuba >> >> Como puedes ver permitimos después toda la navegación a la acl >> Internet-full y denegamos toda la navegación a la acl Internet-cuba, >> exceptuando al dominio .cu >> >> Salu2. >> > Arian, tú que sabes mucho más de esto, se me ocurre (de hecho, lo estoy > probando "en seco") que para el caso de que se tenga todos los usuarios > en Users, sin OU, Igualmente los Grupos y las OU no tienen nada que ver, puedes tener todos tus usuarios bajo Users, al igual que los Grupos, crear dichos grupos y agregar los miembros que estimes conveniente, y nada de OU por el camino, pero las buenas prácticas de AD, conlleva la utilización de OU para una mejor organización de tu directorio, así separarías los usuarios normales, en una OU y dejarías solamente los usuarios del sistema en Users. > o como en mi caso, que debo levantar una máquina > virtual Win$7 cada vez que quiero mirar algo allá en el Samba 4, una > variante pudiera ser algo como: > > acl password proxy_auth REQUIRED > acl prohibidas url_regex -i "/etc/squid/prohibidas" > acl cuba dstdomain .cu localhost porque localhost aquí > acl internet src "/etc/squid/internet" > acl nacional src "/etc/squid/nacional" en este caso tendrías los usuarios aquí como si fueran grupos > acl olimpo src "/etc/squid/olimpo" lo mismo acá los más privilegiados. > #Solo 5 hilos por usuario > acl limitusercon maxconn 5 > > #Numero de conexiones por IP > authenticate_ip_ttl 300 seconds > acl maxip max_user_ip -s 1 > > http_access deny prohibidas > http_access deny limitusercon !olimpo > http_access deny maxip > http_access allow cuba nacional password no hace falta implicar a password, porque ya esta establecida la ACL acl password proxy_auth REQUIRED y dichos usuarios se encuentran en grupos en otra ACL, lo cual ya conlleva autenticación. > http_access allow all internet password Ident para lo de arriba. > > con lo cual no necesitaría levantar esa máquina, sino más rápidamente > modificar en el listado correspondiente, dar reload y punto final. Si pero a la larga eso implica más trabajo y estar modificando ficheros, innecesariamente, el trabajo con AD y ldap. es precisamente evitarse eso, solo bastaría agregar o quitar usuarios a dichos grupos del AD y más nada, no necesitarías tocar tu squid ni hacer reload. > Me imagino que todos los caminos llevan tarde o temprano a Roma, y gano > unos minutos... que no soy tan vago, no, es que generalmente tengo > muchos programas abiertos, que roban memoria ;-) Por lo genera la vm para gestionar samba4 con RSAT la tengo encendida siempre o en la infraestructura como una vm de administración. Solo llevaría hacer un RDP a la misma. > > ¿Tiene sentido? > Todo depende de tu contexto y que es mejor para ti.
Salu2. -- Arian Molina Aguilera Administrador de Redes y Servicios Telemáticos Linux Usuario Registrado #392892 Telfs: +53(7)696-7510 ext 236 jabber: linuxc...@teknik.io Brascuba Cigarrillos S.A. La Habana. Cuba. “Nunca consideres el estudio como una obligación, sino como una oportunidad para penetrar en el bello y maravilloso mundo del saber. Albert Einstein” ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
