Ajuda na configuração do squid + LDAP
Prezados, Estou configurando squid com ldap, o ldap esta configurado e funcionando, criei nele a seguinte arvore: local.com.br unidades produção liberado proibido restrito Meu problema e na hora de autenicar no squid, pois quando configuro a flag de autenticação dessa forma: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b dc=Liberados,ou=producao,ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Meus usuários autenticam sem problema algum, so que como terei outras unidades, entendo que nao possa ficar dessa forma, por exemplo, preciso adicionar a unidade administrativo, que ficaria entao dessa forma: dc=local,dc=com,dc=br ou=unidades ou=produção dc=liberado dc=proibido dc=restrito ou=administrativo dc=liberado dc=proibido dc=restrito Alterei a configuração de autenticação para: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Ao entrar com login se senha ele fica retornando com a caixa de autenticação e no log do squid (cache.log) da a seguinte mensagem: squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' Alguem faz ideia de como faço para configurar a autenticação de forma q ele pegue toda as unidades e seu conteudo. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713
Re: Ajuda na configuração do squid + LDAP
Olá, De acordo com a documentação o squid não suporta mais que uma base de usuários, mas é possível fazer a consulta por exemplo utilizando vários tipos diferentes de autenticação, na respectiva ordem: negotiate, ntlm, digest, basic Para surprir a necessidade de multiplas bases de usuário você pode utilizar o pam para autenticação do tipo basic, este suporta multiplas bases de usuário. Mas para o seu caso o mais simples seria configurar a base LDAP da seguinte forma: dc=local,dc=com,dc=br | |-ou=Users | |-ou=Groups Autenticar em: ou=Users,dc=local,dc=com,dc=br E fazer acls de acordo com o grupo, ex: acl producao external LDAP_group producao acl producao external LDAP_group administrativo Ai seria apenas aplicar as restrições em cima de cada acl --- Em ter, 29/6/10, Leandro Moreira lean...@leandromoreira.eti.br escreveu: De: Leandro Moreira lean...@leandromoreira.eti.br Assunto: Ajuda na configuração do squid + LDAP Para: d-u-p debian-user-portuguese@lists.debian.org Data: Terça-feira, 29 de Junho de 2010, 11:48 Prezados, Estou configurando squid com ldap, o ldap esta configurado e funcionando, criei nele a seguinte arvore: local.com.br unidades produção liberado proibido restrito Meu problema e na hora de autenicar no squid, pois quando configuro a flag de autenticação dessa forma: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b dc=Liberados,ou=producao,ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Meus usuários autenticam sem problema algum, so que como terei outras unidades, entendo que nao possa ficar dessa forma, por exemplo, preciso adicionar a unidade administrativo, que ficaria entao dessa forma: dc=local,dc=com,dc=br ou=unidades ou=produção dc=liberado dc=proibido dc=restrito ou=administrativo dc=liberado dc=proibido dc=restrito Alterei a configuração de autenticação para: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Ao entrar com login se senha ele fica retornando com a caixa de autenticação e no log do squid (cache.log) da a seguinte mensagem: squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' Alguem faz ideia de como faço para configurar a autenticação de forma q ele pegue toda as unidades e seu conteudo. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713
Re: Ajuda na configuração do squid + LDAP
Allison, Perfeita sua colocação, era maios ou menos isso que estava prevendo ter que fazer, com relação a criação das acls que sugeriu: acl producao external LDAP_group producao acl producao external LDAP_group administrativo Como ele vai identificar quem pertence a que grupo? Quando eu criar o usuário X por exemplo crio ele na ou Users e na OU Groups que trár um subgrupo produção? Att. Leandro Moreira. Em 29 de junho de 2010 14:23, Allison Vollmann allisonv...@yahoo.com.brescreveu: Olá, De acordo com a documentação o squid não suporta mais que uma base de usuários, mas é possível fazer a consulta por exemplo utilizando vários tipos diferentes de autenticação, na respectiva ordem: negotiate, ntlm, digest, basic Para surprir a necessidade de multiplas bases de usuário você pode utilizar o pam para autenticação do tipo basic, este suporta multiplas bases de usuário. Mas para o seu caso o mais simples seria configurar a base LDAP da seguinte forma: dc=local,dc=com,dc=br | |-ou=Users | |-ou=Groups Autenticar em: ou=Users,dc=local,dc=com,dc=br E fazer acls de acordo com o grupo, ex: Ai seria apenas aplicar as restrições em cima de cada acl --- Em *ter, 29/6/10, Leandro Moreira lean...@leandromoreira.eti.br*escreveu: De: Leandro Moreira lean...@leandromoreira.eti.br Assunto: Ajuda na configuração do squid + LDAP Para: d-u-p debian-user-portuguese@lists.debian.org Data: Terça-feira, 29 de Junho de 2010, 11:48 Prezados, Estou configurando squid com ldap, o ldap esta configurado e funcionando, criei nele a seguinte arvore: local.com.br unidades produção liberado proibido restrito Meu problema e na hora de autenicar no squid, pois quando configuro a flag de autenticação dessa forma: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b dc=Liberados,ou=producao,ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Meus usuários autenticam sem problema algum, so que como terei outras unidades, entendo que nao possa ficar dessa forma, por exemplo, preciso adicionar a unidade administrativo, que ficaria entao dessa forma: dc=local,dc=com,dc=br ou=unidades ou=produção dc=liberado dc=proibido dc=restrito ou=administrativo dc=liberado dc=proibido dc=restrito Alterei a configuração de autenticação para: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Ao entrar com login se senha ele fica retornando com a caixa de autenticação e no log do squid (cache.log) da a seguinte mensagem: squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' Alguem faz ideia de como faço para configurar a autenticação de forma q ele pegue toda as unidades e seu conteudo. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.brhttp://mc/compose?to=lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713 -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713
Re: Ajuda na configuração do squid + LDAP
Roberval, Espero que tenha entendido corretamente suuas duvidas: 1) A troca e contante, por isso uso perfil movel. 2) A principio esse controle ao qual voce se refere faço no servidor dhcp, cadsatrando as maquinnas da rede e fazendo com que somente os hosts cadastrados recebam ip 3) Não uso thunderCache Att. Leandro Moreira. Em 29 de junho de 2010 12:13, roberval.s...@gmail.com roberval.s...@gmail.com escreveu: ola leandro, fugindo um pouco do assunto eu queria fazer umas perguntas, sobre sua estrutura... posso? pretendo melhorar minha estrutura... aprendendo com os amigos! 1) Por exemplo, existem usuários que trocam de máquina? tipo usam seus logins hora em uma estação hora em outra? 2) é possível controlar os acessos dos clientes pelo gateway? digo com um iptables, descartando o squid? como se o squid fosso somente para cache mesmo? 3) você usa Thunder Cache no seu squid? []s Sena Leandro Moreira wrote: Prezados, Estou configurando squid com ldap, o ldap esta configurado e funcionando, criei nele a seguinte arvore: local.com.br http://local.com.br unidades produção liberado proibido restrito Meu problema e na hora de autenicar no squid, pois quando configuro a flag de autenticação dessa forma: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b dc=Liberados,ou=producao,ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Meus usuários autenticam sem problema algum, so que como terei outras unidades, entendo que nao possa ficar dessa forma, por exemplo, preciso adicionar a unidade administrativo, que ficaria entao dessa forma: dc=local,dc=com,dc=br ou=unidades ou=produção dc=liberado dc=proibido dc=restrito ou=administrativo dc=liberado dc=proibido dc=restrito Alterei a configuração de autenticação para: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Ao entrar com login se senha ele fica retornando com a caixa de autenticação e no log do squid (cache.log) da a seguinte mensagem: squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' Alguem faz ideia de como faço para configurar a autenticação de forma q ele pegue toda as unidades e seu conteudo. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br mailto: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713 -- Roberval Sena www.TecnoCubo.com.br msn s...@centralpc.com.br -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713
Re: Ajuda na configuração do squid + LDAP
Então, No Users ele vai armazenar o 'gidNumber' (o código do grupo do usuário, como é armazenado no /etc/passwd) No Groups ele pode ter multiplos 'memberUid' (que correspondem aos usuários que fazem partes de grupos secundários, da mesma forma que é armazenado no /etc/groups) Estes schemas estão incluidos no openldap por default, e são os mesmos que podem ser utilizados para o pam e para o samba. --- Em ter, 29/6/10, Leandro Moreira lean...@leandromoreira.eti.br escreveu: De: Leandro Moreira lean...@leandromoreira.eti.br Assunto: Re: Ajuda na configuração do squid + LDAP Para: Allison Vollmann allisonv...@yahoo.com.br Cc: debian-user-portuguese@lists.debian.org Data: Terça-feira, 29 de Junho de 2010, 14:31 Allison, Perfeita sua colocação, era maios ou menos isso que estava prevendo ter que fazer, com relação a criação das acls que sugeriu: acl producao external LDAP_group producao acl producao external LDAP_group administrativo Como ele vai identificar quem pertence a que grupo? Quando eu criar o usuário X por exemplo crio ele na ou Users e na OU Groups que trár um subgrupo produção? Att. Leandro Moreira. Em 29 de junho de 2010 14:23, Allison Vollmann allisonv...@yahoo.com.br escreveu: Olá, De acordo com a documentação o squid não suporta mais que uma base de usuários, mas é possível fazer a consulta por exemplo utilizando vários tipos diferentes de autenticação, na respectiva ordem: negotiate, ntlm, digest, basic Para surprir a necessidade de multiplas bases de usuário você pode utilizar o pam para autenticação do tipo basic, este suporta multiplas bases de usuário. Mas para o seu caso o mais simples seria configurar a base LDAP da seguinte forma: dc=local,dc=com,dc=br | |-ou=Users | |-ou=Groups Autenticar em: ou=Users,dc=local,dc=com,dc=br E fazer acls de acordo com o grupo, ex: Ai seria apenas aplicar as restrições em cima de cada acl --- Em ter, 29/6/10, Leandro Moreira lean...@leandromoreira.eti.br escreveu: De: Leandro Moreira lean...@leandromoreira.eti.br Assunto: Ajuda na configuração do squid + LDAP Para: d-u-p debian-user-portuguese@lists.debian.org Data: Terça-feira, 29 de Junho de 2010, 11:48 Prezados, Estou configurando squid com ldap, o ldap esta configurado e funcionando, criei nele a seguinte arvore: local.com.br unidades produção liberado proibido restrito Meu problema e na hora de autenicar no squid, pois quando configuro a flag de autenticação dessa forma: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b dc=Liberados,ou=producao,ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Meus usuários autenticam sem problema algum, so que como terei outras unidades, entendo que nao possa ficar dessa forma, por exemplo, preciso adicionar a unidade administrativo, que ficaria entao dessa forma: dc=local,dc=com,dc=br ou=unidades ou=produção dc=liberado dc=proibido dc=restrito ou=administrativo dc=liberado dc=proibido dc=restrito Alterei a configuração de autenticação para: auth_param basic program /usr/lib/squid3/squid_ldap_auth -b ou=Unidades,dc=local,dc=com,dc=br 10.0.50.11 Ao entrar com login se senha ele fica retornando com a caixa de autenticação e no log do squid (cache.log) da a seguinte mensagem: squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' squid_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials' Alguem faz ideia de como faço para configurar a autenticação de forma q ele pegue toda as unidades e seu conteudo. Att. -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713 -- Leandro Moreira Network Administrator LPIC1 - Linux Professional Institute Certified e-mail/msn: lean...@leandromoreira.eti.br Tel.: + 55(32) 9906-5713
