Re: [opensuse-es] dar permisos a usuarios d ldap para acceder a internet por squid

14 Jul 2008


      Carlos Martinez escribió:
...
Saludos.
Estas lineas de configuracion de squid te puede servir:
#################################################################
# Autenticacion con LDAP
#################################################################
auth_param basic program /usr/lib64/squid/squid_ldap_auth -P -b
"dc=xxxx,dc=local" -f uid=%s localhost
auth_param basic children 5
auth_param basic realm Web Proxy
auth_param basic credentialsttl 1 hours
########################
# ACLs autententicacion
########################
external_acl_type ldap_group children=7 %LOGIN
/usr/lib64/squid/squid_ldap_group -P -b "dc=xxxxx,dc=local" -f
"(&(CN=%g)(objectClass=posixGroup)(memberUid=%u))"
acl openldap        proxy_auth REQUIRED
acl internet_users  external   ldap_group internet
acl chat_users      external   ldap_group msn
authenticate_ip_ttl 3 hours
...
http_access deny maxuserip
http_access deny  !chat_users msn_access
http_access deny  !chat_users msn_servers
http_access deny  !chat_users hotmail_access
http_access allow CONNECT gtalk_access gtalk_server chat_users
http_access deny  CONNECT gtalk_server
http_access deny  !internet_users www
http_access deny  !internet_users ftp
http_access allow openldap
http_access allow localnet
....
Como ves, los permisos para salir a internet o no, dependen de que el
usuario pertenezca a un grupo en el LDAP. Puede ser otro atributo que
los distinga (distinto de posixGroup), pero es el mas simple de
manejar. De resto las acls, son como de costumbre.
Hasta la proxima.
Carlos.
2008/7/14 Carlos Moreira :
...
Hola, gente tengo una duda. estoy configurando un servidor proxy con squid,
mi idea es que para que alguien pueda salir x internet, primero, la ip del
equipo por donde intenta salir este habilitada para acceder a internet, y
despues que ese usuario este en ldap habilitado para tener internet.
Lo primero lo logre sin problemas, tambien pude hacer que me deje salir a
internet si el usuario existe en LDAP, pero no he podido distinguir usuarios
que accedan a internet y usuarios que no accedan a internet. Mi idea es
hacerlo por medio de algun atributo, osea, que si yo quiero que tal usuario
acceda a internet, este tenga algun objectclass que se lo permita, pero no
se cual es el objectclass que tengo que agregar a ldap y como agregarlo, si
alguno tiene idea, les agradezco, salu2 Carlitos
---------------------------------------------------------------------
Para dar de baja la suscripción, mande un mensaje a:
 opensuse-es+unsubscribe@opensuse.org
Para obtener el resto de direcciones-comando, mande
un mensaje a:
 opensuse-es+help@opensuse.org
ok. el problema que tengo es que no encuentro dentro del phpldapadmin, 
donde agregar el atributo  posixGroup, no se si tengo que agregarle algo 
al ldap para poder ver este atributo, o en donde es que lo encuentro, 
gracias
---------------------------------------------------------------------
Para dar de baja la suscripciÃ³n, mande un mensaje a:
   opensuse-es+unsubscribe@opensuse.org
Para obtener el resto de direcciones-comando, mande
un mensaje a:
   opensuse-es+help@opensuse.org

Carlos Moreira

tags

participants (1)