Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Ajuda na configuração do squid + LDAP
12 views
Skip to first unread message
Leandro Moreira
Jun 29, 2010, 11:00:03 AM6/29/10
to
Prezados,
Estou configurando squid com ldap, o ldap esta configurado e funcionando, criei nele a seguinte arvore:
local.com.br
unidades
produção
liberado
proibido
restrito
Meu problema e na hora de autenicar no squid, pois quando configuro a flag de autenticação dessa forma:
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b dc=Liberados,ou=producao,ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11
Meus usuários autenticam sem problema algum, so que como terei outras unidades, entendo que nao possa ficar dessa forma, por exemplo, preciso adicionar a unidade administrativo, que ficaria entao dessa forma:
dc=local,dc=com,dc=br
ou=unidades
ou=produção
dc=liberado
dc=proibido
dc=restrito
ou=administrativo
dc=liberado
dc=proibido
dc=restrito
Alterei a configuração de autenticação para:
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11
Ao entrar com login se senha ele fica retornando com a caixa de autenticação e no log do squid (cache.log) da a seguinte mensagem:
squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
Alguem faz ideia de como faço para configurar a autenticação de forma q ele pegue toda as unidades e seu conteudo.
Att.
--
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lea...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
Estou configurando squid com ldap, o ldap esta configurado e funcionando, criei nele a seguinte arvore:
local.com.br
unidades
produção
liberado
proibido
restrito
Meu problema e na hora de autenicar no squid, pois quando configuro a flag de autenticação dessa forma:
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b dc=Liberados,ou=producao,ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11
Meus usuários autenticam sem problema algum, so que como terei outras unidades, entendo que nao possa ficar dessa forma, por exemplo, preciso adicionar a unidade administrativo, que ficaria entao dessa forma:
dc=local,dc=com,dc=br
ou=unidades
ou=produção
dc=liberado
dc=proibido
dc=restrito
ou=administrativo
dc=liberado
dc=proibido
dc=restrito
Alterei a configuração de autenticação para:
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11
Ao entrar com login se senha ele fica retornando com a caixa de autenticação e no log do squid (cache.log) da a seguinte mensagem:
squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'
Alguem faz ideia de como faço para configurar a autenticação de forma q ele pegue toda as unidades e seu conteudo.
Att.
--
Leandro Moreira
Network Administrator
LPIC1 - Linux Professional Institute Certified
e-mail/msn: lea...@leandromoreira.eti.br
Tel.: + 55(32) 9906-5713
Allison Vollmann
Jun 29, 2010, 1:30:02 PM6/29/10
to
| Olá, De acordo com a documentação o squid não suporta mais que uma base de usuários, mas é possível fazer a consulta por exemplo utilizando vários tipos diferentes de autenticação, na respectiva ordem: negotiate, ntlm, digest, basic Para surprir a necessidade de multiplas bases de usuário você pode utilizar o pam para autenticação do tipo basic, este suporta multiplas bases de usuário. Mas para o seu caso o mais simples seria configurar a base LDAP da seguinte forma: dc=local,dc=com,dc=br | |-ou=Users | |-ou=Groups Autenticar em: ou=Users,dc=local,dc=com,dc=br E fazer acls de acordo com o grupo, ex: acl producao external LDAP_group producao acl producao external LDAP_group administrativo Ai seria apenas aplicar as restrições em cima de cada acl --- Em ter, 29/6/10, Leandro Moreira <lea...@leandromoreira.eti.br> escreveu: |
Leandro Moreira
Jun 29, 2010, 1:40:02 PM6/29/10
to
Allison,
Perfeita sua colocação, era maios ou menos isso que estava prevendo ter que fazer, com relação a criação das acls que sugeriu:
acl producao external LDAP_group producao
acl producao external LDAP_group administrativo
Como ele vai identificar quem pertence a que grupo?
Quando eu criar o usuário X por exemplo crio ele na ou Users e na OU Groups que trár um subgrupo produção?
Att.
Leandro Moreira.
Perfeita sua colocação, era maios ou menos isso que estava prevendo ter que fazer, com relação a criação das acls que sugeriu:
acl producao external LDAP_group producao
acl producao external LDAP_group administrativo
Quando eu criar o usuário X por exemplo crio ele na ou Users e na OU Groups que trár um subgrupo produção?
Att.
Leandro Moreira.
Em 29 de junho de 2010 14:23, Allison Vollmann <allis...@yahoo.com.br> escreveu:
Olá,
De acordo com a documentação o squid não suporta mais que uma base de usuários, mas é possível fazer a consulta por exemplo utilizando vários tipos diferentes de autenticação, na respectiva ordem: negotiate, ntlm, digest, basic
Para surprir a necessidade de multiplas bases de usuário você pode utilizar o pam para autenticação do tipo basic, este suporta multiplas bases de usuário.
Mas para o seu caso o mais simples seria configurar a base LDAP da seguinte forma:|-ou=Users
dc=local,dc=com,dc=br
|
|
|-ou=Groups
Autenticar em: ou=Users,dc=local,dc=com,dc=br
E fazer acls de acordo com o grupo, ex:
Leandro Moreira
Jun 29, 2010, 1:50:02 PM6/29/10
to
Roberval,
Espero que tenha entendido corretamente suuas duvidas:
1) A troca e contante, por isso uso perfil movel.
2) A principio esse controle ao qual voce se refere faço no servidor dhcp, cadsatrando as maquinnas da rede e fazendo com que somente os hosts cadastrados recebam ip
3) Não uso thunderCache
Att.
Leandro Moreira.
Espero que tenha entendido corretamente suuas duvidas:
1) A troca e contante, por isso uso perfil movel.
2) A principio esse controle ao qual voce se refere faço no servidor dhcp, cadsatrando as maquinnas da rede e fazendo com que somente os hosts cadastrados recebam ip
3) Não uso thunderCache
Att.
Leandro Moreira.
Em 29 de junho de 2010 12:13, roberv...@gmail.com <roberv...@gmail.com> escreveu:
ola leandro,
fugindo um pouco do assunto eu queria fazer umas perguntas, sobre sua estrutura... posso? pretendo melhorar minha estrutura... aprendendo com os amigos!
1) Por exemplo, existem usuários que trocam de máquina? tipo usam seus logins hora em uma estação hora em outra?
2) é possível controlar os acessos dos clientes pelo gateway? digo com um iptables, descartando o squid? como se o squid fosso somente para cache mesmo?
3) você usa Thunder Cache no seu squid?
[]s Sena
Leandro Moreira wrote:
Prezados,
Estou configurando squid com ldap, o ldap esta configurado e funcionando, criei nele a seguinte arvore:
e-mail/msn: lea...@leandromoreira.eti.br <mailto:lea...@leandromoreira.eti.br>
Tel.: + 55(32) 9906-5713
--
Roberval Sena
www.TecnoCubo.com.br
msn se...@centralpc.com.br
Allison Vollmann
Jun 29, 2010, 2:10:01 PM6/29/10
to
| Então, No Users ele vai armazenar o 'gidNumber' (o código do grupo do usuário, como é armazenado no /etc/passwd) No Groups ele pode ter multiplos 'memberUid' (que correspondem aos usuários que fazem partes de grupos secundários, da mesma forma que é armazenado no /etc/groups) Estes schemas estão incluidos no openldap por default, e são os mesmos que podem ser utilizados para o pam e para o samba. |
0 new messages