Re: [opensuse-es] dar permisos a usuarios d ldap para acceder a internet por squid
Carlos Martinez escribió:
Saludos.
Estas lineas de configuracion de squid te puede servir:
################################################################# # Autenticacion con LDAP ################################################################# auth_param basic program /usr/lib64/squid/squid_ldap_auth -P -b "dc=xxxx,dc=local" -f uid=%s localhost auth_param basic children 5 auth_param basic realm Web Proxy auth_param basic credentialsttl 1 hours ######################## # ACLs autententicacion ######################## external_acl_type ldap_group children=7 %LOGIN /usr/lib64/squid/squid_ldap_group -P -b "dc=xxxxx,dc=local" -f "(&(CN=%g)(objectClass=posixGroup)(memberUid=%u))"
acl openldap proxy_auth REQUIRED acl internet_users external ldap_group internet acl chat_users external ldap_group msn
authenticate_ip_ttl 3 hours
...
http_access deny maxuserip
http_access deny !chat_users msn_access http_access deny !chat_users msn_servers http_access deny !chat_users hotmail_access http_access allow CONNECT gtalk_access gtalk_server chat_users http_access deny CONNECT gtalk_server
http_access deny !internet_users www http_access deny !internet_users ftp http_access allow openldap http_access allow localnet
....
Como ves, los permisos para salir a internet o no, dependen de que el usuario pertenezca a un grupo en el LDAP. Puede ser otro atributo que los distinga (distinto de posixGroup), pero es el mas simple de manejar. De resto las acls, son como de costumbre.
Hasta la proxima.
Carlos.
2008/7/14 Carlos Moreira
: Hola, gente tengo una duda. estoy configurando un servidor proxy con squid, mi idea es que para que alguien pueda salir x internet, primero, la ip del equipo por donde intenta salir este habilitada para acceder a internet, y despues que ese usuario este en ldap habilitado para tener internet. Lo primero lo logre sin problemas, tambien pude hacer que me deje salir a internet si el usuario existe en LDAP, pero no he podido distinguir usuarios que accedan a internet y usuarios que no accedan a internet. Mi idea es hacerlo por medio de algun atributo, osea, que si yo quiero que tal usuario acceda a internet, este tenga algun objectclass que se lo permita, pero no se cual es el objectclass que tengo que agregar a ldap y como agregarlo, si alguno tiene idea, les agradezco, salu2 Carlitos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
ok. el problema que tengo es que no encuentro dentro del phpldapadmin, donde agregar el atributo posixGroup, no se si tengo que agregarle algo al ldap para poder ver este atributo, o en donde es que lo encuentro, gracias --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (1)
-
Carlos Moreira