[AGSS] squid / Agss

Peter Varkoly pv at extis.de
Die Mar 21 11:07:39 CET 2006 

Hello Jan,

der Ansatz mit dem squid_ldap_group als  external_acl_type ist schon OK, aber die Konfiguration
ist ncoh falsch:

In der Groupfileter muss auch der benutzer vorkommen. Es geht doch darum, ob ein bestimmter
Benutzer in der Gruppe vorkommt oder nicht.

Wenn in der Gruppenobejekten memberUID vorkommt dann ist das ganz einfach:

squid_ldap_group -b "OU=berlin,DC=consulting,DC=de" -f '(&(cn=%g)(memberUID=%u))'

Wenn nur die member Attribute gepflegt werden, dann sieht der Filter so aus:

  '(&(cn=%g)(member=%u))'

außerdem muss man zuerst die DN-s der einzelnen Benutzer ermitteln. Dafür gibt es 2 Möglichkeiten:

Mit -u attr
  LDAP attribute used to construct the user DN from the user name and base dn without needing to
search for the user.

Oder explizit mit den Parametern -B und -F:

-B "OU=berlin,DC=consulting,DC=de" -F "(sAMAccountName=%s)"

Außerdem ist dieser acl falsch:
> acl ldapgroup external ldap_group http_access
müsste so heissen:

acl ldapgroup external ldap_group


Außerdem würde ich die ttl für die acl hochsetzten. Man ändert die gruppenzugehörigkeit doch nicht
stündlich. Oder??

external_acl_type ldap_group ttl=600 %LOGIN


Viel Spaß

> Hallo Rainer,
>
> habe nochmals ein paar Fragen zu squid .-)
>
> Auf meinem Debian System läuft nun squid per Anmeldung gegen einen AD
> Server.
> Die Passwortabfrage funktioniert wunderbar. Nur leider die Zuordnung nach
> Gruppen nicht.
> Anbei meine Config.
> Evt siehst du ja eine Lösung.
>
> auth_param basic program /usr/lib/squid/ldap_auth -b
> "OU=berlin,DC=consulting,DC=de" -D "CN=ldap,CN=Users,DC=consulting,DC=de"
> -w XXXXXXXX -f "(&(objectClass=person)(sAMAccountName=%s))" -h 192.1.3.101
> -p 389
> auth_param basic children 5
> auth_param basic realm Proxy Server
> auth_param basic credentialsttl 60 minutes
> external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -b
> "OU=berlin,DC=consulting,DC=de" -D "CN=ldap,CN=Users,DC=consulting,DC=de"
> -w XXXXXX -f "(&(objectclass=group)(cn=%g))" -B
> "OU=berlin,DC=consulting,DC=de" -F "(sAMAccountName=%s)" -h 192.1.3.101 -p
> 389
> acl for_inetusers proxy_auth REQUIRED
> acl ldapgroup external ldap_group http_access
> http_access deny ebay !ldapgroup
> http_access allow for_inetusers
> http_access deny all
>
> Als Bsp wollte ich allen Ebay verbieten bis auf die Gruppe ldapgroup
> Oder gibt es da eine andere Lösung?
>
>>Wenn Du einzelne Rechner/einzelne Netzbereiche ausnehmen möchtest
>>(z.B. benötigt meine Sekretärin keine Proxy-Anmeldung, ebenso der
>>Hauptserver, wenn er seine AntiVir-Updates machen muss), kannst
>>Du noch mal fragen, geht auch über die squid.conf
>
> Nee, Proxy sollen alle machen, nur eben mache Leute sollen mehr "surfen"
> bzw im Inet ansehen dürfen.
>
>>Der Content-Filter ist bei Arktur squidGuard. Hier kann man nun die
>>Listen nach Nutzern oder Rechnern zurechtbiegen. Das ist eigentlich
>>schnell einleuchtend, wenn man die Beispiel-Konfiguration von Arktur
>>mal betrachtet. Ich habe z.B. nur Lehrern den Download von .exe,
>>.zip usw. freigegeben.
>
> Wie hast du das gemacht?
>
> Gibt es ein Modul zur Steuerung von Gruppen per Ldap?
> Oder kann man so etwas per extern_acl_helper einbauen?
>
> MfG
>
> Jan Steding --
> AGSS Mailing Liste
> Nachricht schreiben: AGSS at schul-netz.de
> Einstellungen ändern/ unsubscribe: http://wvbg.bndlg.de/cgi-bin/mailman/listinfo/agss
>


-- 
Peter Varkoly         Phone: +49 9131 897823
EXTIS GmbH            Fax:   +49 9131 897822
Leipziger Str. 2      Mobil: +49 179 1277635
91080 Uttenreuth      Mail:  pv at extis.de
                      Web:   http://www.extis.de