[AGSS] squid / Agss
Peter Varkoly
pv at extis.de
Die Mar 21 11:37:20 CET 2006
> Hello Jan,
>
> der Ansatz mit dem squid_ldap_group als external_acl_type ist schon OK, aber die Konfiguration
> ist ncoh falsch:
>
> In der Groupfileter muss auch der benutzer vorkommen. Es geht doch darum, ob ein bestimmter
> Benutzer in der Gruppe vorkommt oder nicht.
>
> Wenn in der Gruppenobejekten memberUID vorkommt dann ist das ganz einfach:
>
> squid_ldap_group -b "OU=berlin,DC=consulting,DC=de" -f '(&(cn=%g)(memberUID=%u))'
>
> Wenn nur die member Attribute gepflegt werden, dann sieht der Filter so aus:
>
> '(&(cn=%g)(member=%u))'
>
> außerdem muss man zuerst die DN-s der einzelnen Benutzer ermitteln. Dafür gibt es 2 Möglichkeiten:
>
> Mit -u attr
> LDAP attribute used to construct the user DN from the user name and base dn without needing to
> search for the user.
>
> Oder explizit mit den Parametern -B und -F:
>
> -B "OU=berlin,DC=consulting,DC=de" -F "(sAMAccountName=%s)"
>
> Außerdem ist dieser acl falsch:
>> acl ldapgroup external ldap_group http_access
> müsste so heissen:
>
> acl ldapgroup external ldap_group
Sorry da habe ich mich vertan.
acl ldapgroup external ldap_group http_access
ist OK wenn http_access der Name der Gruppe ist. (Ist aber meiner Meinung nach eine Unglückliche
Namensgebung:-)
>
>
> Außerdem würde ich die ttl für die acl hochsetzten. Man ändert die gruppenzugehörigkeit doch nicht
> stündlich. Oder??
>
> external_acl_type ldap_group ttl=600 %LOGIN
>
>
> Viel Spaß
>
>> Hallo Rainer,
>>
>> habe nochmals ein paar Fragen zu squid .-)
>>
>> Auf meinem Debian System läuft nun squid per Anmeldung gegen einen AD
>> Server.
>> Die Passwortabfrage funktioniert wunderbar. Nur leider die Zuordnung nach
>> Gruppen nicht.
>> Anbei meine Config.
>> Evt siehst du ja eine Lösung.
>>
>> auth_param basic program /usr/lib/squid/ldap_auth -b
>> "OU=berlin,DC=consulting,DC=de" -D "CN=ldap,CN=Users,DC=consulting,DC=de"
>> -w XXXXXXXX -f "(&(objectClass=person)(sAMAccountName=%s))" -h 192.1.3.101
>> -p 389
>> auth_param basic children 5
>> auth_param basic realm Proxy Server
>> auth_param basic credentialsttl 60 minutes
>> external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -b
>> "OU=berlin,DC=consulting,DC=de" -D "CN=ldap,CN=Users,DC=consulting,DC=de"
>> -w XXXXXX -f "(&(objectclass=group)(cn=%g))" -B
>> "OU=berlin,DC=consulting,DC=de" -F "(sAMAccountName=%s)" -h 192.1.3.101 -p
>> 389
>> acl for_inetusers proxy_auth REQUIRED
>> acl ldapgroup external ldap_group http_access
>> http_access deny ebay !ldapgroup
>> http_access allow for_inetusers
>> http_access deny all
>>
>> Als Bsp wollte ich allen Ebay verbieten bis auf die Gruppe ldapgroup
>> Oder gibt es da eine andere Lösung?
>>
>>>Wenn Du einzelne Rechner/einzelne Netzbereiche ausnehmen möchtest
>>>(z.B. benötigt meine Sekretärin keine Proxy-Anmeldung, ebenso der
>>>Hauptserver, wenn er seine AntiVir-Updates machen muss), kannst
>>>Du noch mal fragen, geht auch über die squid.conf
>>
>> Nee, Proxy sollen alle machen, nur eben mache Leute sollen mehr "surfen"
>> bzw im Inet ansehen dürfen.
>>
>>>Der Content-Filter ist bei Arktur squidGuard. Hier kann man nun die
>>>Listen nach Nutzern oder Rechnern zurechtbiegen. Das ist eigentlich
>>>schnell einleuchtend, wenn man die Beispiel-Konfiguration von Arktur
>>>mal betrachtet. Ich habe z.B. nur Lehrern den Download von .exe,
>>>.zip usw. freigegeben.
>>
>> Wie hast du das gemacht?
>>
>> Gibt es ein Modul zur Steuerung von Gruppen per Ldap?
>> Oder kann man so etwas per extern_acl_helper einbauen?
>>
>> MfG
>>
>> Jan Steding --
>> AGSS Mailing Liste
>> Nachricht schreiben: AGSS at schul-netz.de
>> Einstellungen ändern/ unsubscribe: http://wvbg.bndlg.de/cgi-bin/mailman/listinfo/agss
>>
>
>
> --
> Peter Varkoly Phone: +49 9131 897823
> EXTIS GmbH Fax: +49 9131 897822
> Leipziger Str. 2 Mobil: +49 179 1277635
> 91080 Uttenreuth Mail: pv at extis.de
> Web: http://www.extis.de
>
> --
> AGSS Mailing Liste
> Nachricht schreiben: AGSS at schul-netz.de
> Einstellungen ändern/ unsubscribe: http://wvbg.bndlg.de/cgi-bin/mailman/listinfo/agss
>
>
--
Peter Varkoly Phone: +49 9131 897823
EXTIS GmbH Fax: +49 9131 897822
Leipziger Str. 2 Mobil: +49 179 1277635
91080 Uttenreuth Mail: pv at extis.de
Web: http://www.extis.de