Сообщения

1

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 26 Январь 2015, 09:25:16 »

# Group to enforce membership of
pam_groupdn cn=ldapclient,ou=group,dc=aaaa,dc=zzzz

# Group member attribute
pam_member_attribute memberUid

Неполучилось:(

И это тоже не получилось pam_filter memberOf=cn=proxy,ou=r77,ou=groups,dc=fssprus,dc=ru

2

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 23 Январь 2015, 18:54:46 »

Теперь к этому же ldap подключил терминальный сервер, настроили через pam_ldap.conf вот только опять проблема с ограничением,, авторизуются все, а нужно определенной только группе, аналогичное proxy
В pam_ldap настройки такие
pam_filter posixAccount
С таким параметром пускает всех, как добавляю pam_group так сразу глохнет авторизация

3

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 19 Январь 2015, 13:22:20 »

Здравствуйте!

Вот только ещё один вопрос, авторизованный пользователь может находится в инете с разных компьютеров одновременно, как сделать так, чтобы если он уже авторизовался и находится в инете в данный момент времени, чтобы параллельной авторизации по этому логину и паролю были невозможны?

Думаю, стандартными средствами не получится. Если у Вас есть привязка пользователя к машине, то можно попробовать хелпер ip_user. Если привязки нет, то можно написать свой хелпер, который будет получать на вход переменные %SRC и %LOGIN и, если ip-адрес изменился и с момента последнего запроса прошло меньше N минут, отвергать этот запрос (возвращать ERR). Решение, конечно, не слишком красивое, но поддержки сессий в squid нет, да и ни к чему они.  Посмотрите примеры использования хелперов и написания своего здесь.

Имейте ввиду, что дополнительные проверки приводят к довольно большим накладным расходам при каждом запросе к squid.
Егор

У нас привязка по ip совместно с ldap не настроена, в интернете инфу не нашел( если знаете подскажите, плиз.

4

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 20:13:49 »

Всё получилось настроить спасибо Вам большое!!! низкий поклон!
Вот только ещё один вопрос, авторизованный пользователь может находится в инете с разных компьютеров одновременно, как сделать так, чтобы если он уже авторизовался и находится в инете в данный момент времени, чтобы параллельной авторизации по этому логину и паролю были невозможны?

5

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 15:10:22 »

/usr/lib64/squid/squid_ldap_group -b 'dc=fssprus,dc=ru' -D 'uid=proxy,ou=local,ou=users,dc=fssprus,dc=ru' -w пароль -f '(&(objectClass=posixGroup)(cn=proxy)(memberUid=%u))' -d -H ldap://10.77.4.10:389
ubushaev@r77 A123456
Connected OK
group filter '(&(objectClass=posixGroup)(cn=proxy)(memberUid=ubushaev@r77))', searchbase 'dc=fssprus,dc=ru'

Теперь squid не впускает в инет(((

Вы понимаете разницу между аутентификацией и авторизацией? Так вот, squid_ldap_auth -- это хелпер аутентификации, а squid_ldap_group -- авторизации, они настраиваются по разному и для разных целей. Ещё раз внимательно читайте статью, особенно squid.conf, только в Вашем случае будет использоваться basic-аутентификация.

Егор.

Вот такой вот конфиг сквида

auth_param basic program /usr/lib64/squid/squid_ldap_auth -b 'ou=r77,ou=users,dc=fssprus,dc=ru' -H ldap://10.77.4.10:389
auth_param basic realm WEB FSSP MSK
auth_param basic children 10
auth_param basic credentialsttl 20 minute
external_acl_type ldap_group %LOGIN /usr/lib64/squid/squid_ldap_group -b 'dc=fssprus,dc=ru' -D 'uid=proxy,ou=local,ou=users,dc=fssprus,dc=ru' -w пароль -f '(&(objectClass=posixGroup)(cn=proxy)(memberUid=%u))' -d -H ldap://10.77.4.10:389
acl test2 external ldap_group Admins
http_access allow test2
http_access deny all

Проблемы как я понимаю, в верхней строчке "аутентификации", вот только в чем понять немогу(

6

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 13:09:49 »

/usr/lib64/squid/squid_ldap_group -b 'dc=fssprus,dc=ru' -D 'uid=proxy,ou=local,ou=users,dc=fssprus,dc=ru' -w пароль -f '(&(objectClass=posixGroup)(cn=proxy)(memberUid=%u))' -d -H ldap://10.77.4.10:389
ubushaev@r77 A123456
Connected OK
group filter '(&(objectClass=posixGroup)(cn=proxy)(memberUid=ubushaev@r77))', searchbase 'dc=fssprus,dc=ru'

Теперь squid не впускает в инет(((

7

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 13:04:03 »

Запускаю непосредственно на прокси-сервере хелпер

/usr/lib64/squid/squid_ldap_group -b 'dc=fssprus,dc=ru' -D 'uid=proxy,ou=local,ou=users,,dc=fssprus,dc=ru' -w пароль -f '(&(objectClass=posixGroup)(cn=proxy)(memberUid=%u))' -d -H ldap://10.77.4.10:389
ubushaev@r77 A123456
squid_ldap_group WARNING, could not bind to binddn 'Invalid DN syntax'
ERR

Что не правильно?
Всё извиняюсь лишняя запятая)

8

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 12:46:19 »

Вообщем пользователя создал, как ему теперь права назначить на "только чтение"

9

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 11:27:13 »

Ну тогда два варианта: либо разрешаете анонимный доступ на чтение каталога, либо прописываете в хелпере аутентификацию для выполнения LDAP-поиска (смотрите параметры -D -W (-w) в man squid_ldap_group), только желательно не под своей учёткой, а заведите отдельную с правами только на чтение.

Егор

А как завести учетку? например с учетным именем squid.

10

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 11:10:34 »

А так:

Код: [Выделить]

# ldapsearch -x -LLL -D 'uid=ubushaev@r77,ou=r77,ou=users,dc=fssprus,dc=ru' -W -b 'ou=r77,ou=groups,dc=fssprus,dc=ru' '(&(objectClass=posixGroup)(cn=proxy)(memberUid=ubushaev@r77))'


ldapsearch -x -LLL -D 'uid=ubushaev@r77,ou=r77,ou=users,dc=fssprus,dc=ru' -W -b 'ou=r77,ou=groups,dc=fssprus,dc=ru' '(&(objectClass=posixGroup)(cn=proxy)(memberUid=ubushaev@r77))'
Enter LDAP Password:
dn: cn=proxy,ou=r77,ou=groups,dc=fssprus,dc=ru
cn: proxy
objectClass: posixGroup
objectClass: top
memberUid: ubushaev@r77
gidNumber: 1005

11

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 10:50:38 »

От пользователя:
ldapsearch -x -LLL -D 'uid=ubushaev@r77,ou=r77,ou=users,dc=fssprus,dc=ru' -W -b 'ou=r77,ou=groups,dc=fssprus,dc=ru' 'cn=proxy'
Enter LDAP Password:
dn: cn=proxy,ou=r77,ou=groups,dc=fssprus,dc=ru
cn: proxy
objectClass: posixGroup
objectClass: top
memberUid: ubushaev@r77
gidNumber: 1005

12

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 10:25:40 »

ldapsearch -x -LLL -b 'ou=r77,ou=groups,dc=fssprus,dc=ru' 'cn=proxy'
No such object (32)
Хотя в JXplorer всё есть
см.скрин

13

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 10:10:54 »

/usr/lib64/squid/squid_ldap_group -b 'ou=r77,ou=groups,dc=fssprus,dc=ru' -f '(&(objectClass=posixAccount)(cn=%g)(memberUid=%u))' -d -H ldap://10.77.4.10:389
ubushaev@r77 proxy
Connected OK
group filter '(&(objectClass=posixAccount)(cn=proxy)(memberUid=ubushaev@r77))', searchbase 'ou=r77,ou=groups,dc=fssprus,dc=ru'
squid_ldap_group WARNING, LDAP search error 'No such object'
ERR

Также с posixGroup
/usr/lib64/squid/squid_ldap_group -b 'ou=r77,ou=groups,dc=fssprus,dc=ru' -f '(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))' -d -H ldap://10.77.4.10:389
ubushaev@r77 proxy
Connected OK
group filter '(&(objectClass=posixGroup)(cn=proxy)(memberUid=ubushaev@r77))', searchbase 'ou=r77,ou=groups,dc=fssprus,dc=ru'
squid_ldap_group WARNING, LDAP search error 'No such object'
ERR

14

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 09:57:14 »

Posix не получается, делаю как всё написано в инструкции, и мне не нравится то, что нужно указывать наименование группы вместо пароля,
в процессе настройки мы поняли, что нам нужно настроить по memberOf, не получается создать группу с objectClass=groupOfUniqueNames, для этого метода авторизации

15

Общий раздел / Re: Помогите настроить аутентификацию SQUID через LDAP

« : 16 Январь 2015, 09:17:06 »

Добрый день! Да читал, получилось только
auth_param basic program /usr/lib64/squid/squid_ldap_auth -b "ou=r77,ou=users,dc=fssprus,dc=ru" -H ldap://10.77.4.10:389 только так авторизует, но нам нужно по конкретной группе cn=proxy, которая находится cn=proxy,ou=r77,ou=groups,dc=fssprus,dc=ru.

В LDAP группа, по которой должен проходить отбор.
cn=proxy
gidNumber=1005
memberUid=ubushaev@r77
objectClass=posixGroup
                  top

Я в этом деле новичок, мне кажется, что группа создана некорректно. Подскажите