Portál AbcLinuxu, 7. května 2025 17:23

Dotaz: squid_ldap_group

17.1.2012 16:08 kajinek
squid_ldap_group
Přečteno: 165×
Odpovědět | Admin
Dobry den, pouzivam OS CentOS 5.7 squid ver 3.1 Chtel bych definovat skupinu ktera bude moc na internet pomoci squid.Pouzil jsem prikaz squid_ldap_group.

/usr/libexec/squid/squid_ldap_group -h localhost -b "ou=inet,ou=Group,dc=tuc,dc=cz" -f "(&(objectclass=posixGroup)(cn=%g)(memberUid=%u))" -B "ou=users,dc=tuc,dc=cz" -v 3 -d 1

ou=users,dc=tuc,dc=cz tady mam vsechny uzivatele ktere overuje squid_ldap_auth vsechno je ok. tady je skupina ou=inet,ou=Group,dc=tuc,dc=cz ve ktere mam uzivatele kteri se museji dostat na internet.

pustim rucne /usr/libexec/squid/squid_ldap_group -h localhost -b "ou=inet,ou=Group,dc=tuc,dc=cz" -f "(&(objectclass=posixGroup)(cn=%g)(memberUid=%u))" -B "ou=users,dc=tuc,dc=cz" -v 3 -d 1

novak inet Connected OK group filter '(&(objectclass=posixGroup)(cn=inet)(memberUid=novak))', searchbase 'ou=inet,ou=Group,dc=tuc,dc=cz' ERR

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

17.1.2012 16:56 timeos | skóre: 32
Rozbalit Rozbalit vše Re: squid_ldap_group
Odpovědět | | Sbalit | Link | Blokovat | Admin
amte chybu v squid_ldap_group hodnote parametra "-b". Mate tam (aspon podla toho co piseste) ou=inet,ou=Group,dc=tuc,dc=cz a podla mna by to malo byt cn=inet,ou=Group,dc=tuc,dc=cz alebo iba ou=Group,dc=tuc,dc=cz.
17.1.2012 23:07 Martin Matějek | skóre: 12 | blog: Flying_circus | Kladno
Rozbalit Rozbalit vše Re: squid_ldap_group
Odpovědět | | Sbalit | Link | Blokovat | Admin
To vypadá, že squid_ldap_group neumí zanořené skupiny, viz. nested groups unfortunately does not map very well to LDAP, and is not supported by squid_ldap_group.

Jinak, na cestě ou=podskupina,ou=skupina,o=organizace není z principu nic špatného (jestli ano, tak mě prosím opravte). V DokuWiki takhle bez problémů ověřuju uživatele a search je ou=wiki1,ou=skupiny,o=mujldap.

Kde struktura LDAPu je: 
+-o=mujldap 
| ...          
|-ou=skupiny-+
|            |-ou=wiki1-+
|                       |-cn=foo
|                       |-cn=bar
|            |-ou=wiki2-+
|                       |-cn=baz
Don't judge me by the friends I keep. No, no, no. Judge me by the enemies I have slain!
18.1.2012 10:48 kajinek
Rozbalit Rozbalit vše Re: squid_ldap_group
Dobry den, tak jsem opravil prikaz.Kdyz to pustim rucne tak je to ok. Uzivatel neni v seznamu napise "novak inet ERR" kdyz uzivatele zadam tak napise novak inet OK".Kdyz to dam do squid.conf a pridam jeste acl password proxy_auth REQUIRED acl password_group external ldap_group inet tak to stejnak uzivatele pusti i toho kterej tam neni.

18.1.2012 11:43 kajinek
Rozbalit Rozbalit vše Re: squid_ldap_group
tohle mam v logu 2012/01/18 11:33:47| storeLateRelease: released 0 objects Connected OK group filter '(&(objectClass=posixGroup)(cn=inet)(memberUid=novak))', searchbase 'ou=Group,dc=tuc,dc=cz'

Uzivatel neni ve skupine a na internet se stejnak dostane...
19.1.2012 10:51 Martin Matějek | skóre: 12 | blog: Flying_circus | Kladno
Rozbalit Rozbalit vše Re: squid_ldap_group
Teď budu vařit z vody (přesněji z tohohle článku), protože Squid dohromady s LDAPem jsem nikdy nezkoušel, ale není potřeba explicitně zakázat ostatní uživatele? 
acl ldap-auth proxy_auth REQUIRED
http_access deny !ldap-auth
Don't judge me by the friends I keep. No, no, no. Judge me by the enemies I have slain!

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.