squid и ou

[gsi0]

Здравствуйте. Ищу помощи.
Может ли squid авторизовывать по organization unit(ou=)?
Сейчас настроена аутентификация kerberos.
Есть ли возможно к данной конфигурации примотать авторизацию только по OU ?
Группы не подходят, что очень жаль.

[egor]

Здравствуйте! Как я понял, для аутентификации пользователей Вы используете сведения из каталога и хотите, чтобы доступ в интернет получали все учётки из определённого ou, а из других подразделений -- нет. Если для аутентификации пользователей Вы используете хелпер squid_ldap_auth, то там в параметре -f можно указать любой поисковый фильтр, в том числе и по ou, например:

Код: [Выделить]

squid_ldap_auth -b "dc=mycompany,dc=ru" -f "(&(uid=%s)(ou=someDep))" 127.0.0.1
Если требуется несколько подразделений, то можно указать их все:

Код: [Выделить]

squid_ldap_auth -b "dc=mycompany,dc=ru" -f "(&(uid=%s)(|(ou=someDep)(ou=otherDep)))" 127.0.0.1
Если у Вас другая ситуация, опишите поподробнее, можно написать сторонний хэлпер любой степени изощрённости.

Егор

[gsi0]

Здравствуйте! Спасибо большое за быстрый ответ!
На сколько мне известно, при использовании хелпера squid_ldap_auth будет использована только basic аутентификация, а это значит, что будет выскакивать запрос логина\пароля. Хоть и один раз выскакивает, но так запретили делать. Пользователи нервные.
Мне хочется, чтобы остался negotiate  с хелпером squid_kerb_auth(сейчас его использую). Тут вообще пользователь ничего не вводит, открыл браузер и вперед.
Моя задача сделать так:
пользователям, находящиемся в ou=OFFICE был запрещен весь flash
пользователям, находящиемся в ou=VIP были доступны все ресурсы без ограничений.

[gsi0]

Доброе утро! Получилось ли у меня более развернуто задать вопрос?

[egor]

Здравствуйте! Проверенного на 100% решения у меня нет (поскольку проверять не на чем =) ), но, если, как утверждается в многочисленных HOWTO в интернет, squid_kerb_auth возвращает нечто удобоворимое в переменную %LOGIN (типа user@mycompany.ru), то задача вполне по силам даже стандартному squid_ldap_group, нужно только указать ему подходящие searchBase и фильтр. Примерно так:

Код: [Выделить]

auth_param negotiate program /path/to/squid_kerb_auth ...
...
# Вызов squid_ldap_group для ou=OFFICE
external_acl_type ldap_office ttl=1200 %LOGIN /path/to/squid_ldap_group  -R -K \
     -D squidAccount@mycompany.ru -W /path/to/squidAccountPassword.txt -H ldap://x.x.x.x \
     -b   "ou=OFFICE,dc=mycompany,dc=ru" -f "sAMAccountName=%v"
# Вызов squid_ldap_group для ou=VIP
external_acl_type ldap_vip ttl=1200 %LOGIN /path/to/squid_ldap_group  -R -K \
     -D squidAccount@mycompany.ru -W /path/to/squidAccountPassword.txt -H ldap://x.x.x.x \
     -b   "ou=VIP,dc=mycompany,dc=ru" -f "sAMAccountName=%v"

# ACL
acl auth_users proxy_auth REQUIRED
acl OFFICE external ldap_office office
acl VIP external ldap_vip vip
acl FLASH urlpath_regex \.flv(\?.*)?$
acl FLASH urlpath_regex \.swf(\?.*)?$

# Доступ
http_access allow auth_users VIP
http_access allow auth_users OFFICE !FLASH
http_access deny all
Т.е. ou=VIP -- доступ без ограничений, ou=OFFICE -- всё, кроме flash, остальным доступ запрещён. Кажется, так.

Егор

[gsi0]

Спасибо большое, Егор, за такой развернутый ответ. Буду пробовать.

[gsi0]

Скажите, пожалуйста, полный путь до OU такой
"ou=OFFICE,OU=Users,OU=People,DC=domain,DC=local"
Его целиком надо писать? Или может есть надежда, что OU в домене уникальный и его хелпер самостоятельно найдет?

[egor]

Скажите, пожалуйста, полный путь до OU такой
"ou=OFFICE,OU=Users,OU=People,DC=domain,DC=local"
Его целиком надо писать? Или может есть надежда, что OU в домене уникальный и его хелпер самостоятельно найдет?

Поскольку это search base DN (базовое DN поиска, то есть имя той записи, с которой начнёт свой поиск операция search LDAP), указывать его нужно полностью, в данном случае LDAP не "догадается".

Егор.