Squid regras de grupo com AD

tukaguima
(usa Debian)

Enviado em 19/01/2015 - 10:30h

Bom dia !

Estou configurando um Squid para proxy e gostaria de fazer regras de grupos, ele está autenticando no AD, Windows server 2008...
No AD cada usuário tem seu grupo, eu procurei em muitos lugares, tentei muita coisa, e não consegui fazer ele reconhecer as regras pra grupos do AD..
Não sei como fazer isso..
A Autenticação funciona tudo bonitinho..
As configurações que fazem autenticar são essas :

auth_param basic program /usr/lib64/squid/squid_ldap_auth -R -b dominio,dc=local -f sAMAccountName=%s -h 192.168.0.9 -D cn=Administrator,cn=Users,dc=dominio,dc=local -w senha

auth_param basic children 5

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off



acl autentica proxy_auth REQUIRED



http_access allow autentica

 

Estou usando a versão 3.1.10 do Squid no CentOS 6.6
Alguém tem alguma idéia de o que eu posso fazer para fazer regras de grupo ?

Muito obrigado desde já !
Att

carlosleosouza
(usa Debian)

Enviado em 19/01/2015 - 16:32h

Segue o meu funcionando perfeitamente.
#Autenticação no AD
auth_param basic program /usr/lib64/squid/squid_ldap_auth -R -b dc=dominio,dc=com,dc=local -f sAMAccountName=%s -h <IP do Servidor AD> -D cn=Administrator,cn=Users,dc=dominio,dc=com,dc=local -w <senha do administrador do domínio>

# acl para obter grupos do AD
external_acl_type ldap_group %LOGIN /usr/lib64/squid/squid_ldap_group -R -b "dc=dominio,dc=com,dc=local" -D cn=Administrator,cn=Users,dc=dominio,dc=com,dc=local -w <senha do administrador do domínio> -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,cn=Users,dc=dominio,dc=com,dc=local))" -h <IP do Servidor AD>

# Grupos do AD
acl InternetCompleto external ldap_group <nome do grupo de usuários com acesso completo>
acl InternetIntermediario external ldap_group <nome do grupo de usuários com acesso médio>

Os nomes de grupos de usuários devem ser escritos no squid.conf exatamente como estão no AD respeitando caracteres maiúsculos ou minúsculos. Se colocar uma vírgula diferente ele não busca os grupos.

Depois disso é só aplicar as permissões.

tukaguima
(usa Debian)

Enviado em 19/01/2015 - 18:52h

Muuito obrigado pela resposta !

Coloquei exatamente do jeito que você falou, e não deu certo, sabe Deus por que..
Eu já tinha tentado desse jeito, mas não sei por que não funciona, eu estava achando que estava fazendo algo errado..

coloquei o que você disse, criei uma outra acl

acl teste external ldap_group GrupoTeste

http_access deny teste

os usuários que coloquei no grupo teste continuam navegando na boa, não sei si é algo que estou deixando pra trás, ou algo direto no servidor windows, não sei, vou continuar pesquisando, e se conseguir solucionar eu vou colocar aqui..

Muito obrigado novamente pela resposta !!