[opensuse-es] dar permisos a usuarios d ldap para acceder a internet por squid
Hola, gente tengo una duda. estoy configurando un servidor proxy con squid, mi idea es que para que alguien pueda salir x internet, primero, la ip del equipo por donde intenta salir este habilitada para acceder a internet, y despues que ese usuario este en ldap habilitado para tener internet. Lo primero lo logre sin problemas, tambien pude hacer que me deje salir a internet si el usuario existe en LDAP, pero no he podido distinguir usuarios que accedan a internet y usuarios que no accedan a internet. Mi idea es hacerlo por medio de algun atributo, osea, que si yo quiero que tal usuario acceda a internet, este tenga algun objectclass que se lo permita, pero no se cual es el objectclass que tengo que agregar a ldap y como agregarlo, si alguno tiene idea, les agradezco, salu2 Carlitos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Saludos.
Estas lineas de configuracion de squid te puede servir:
#################################################################
# Autenticacion con LDAP
#################################################################
auth_param basic program /usr/lib64/squid/squid_ldap_auth -P -b
"dc=xxxx,dc=local" -f uid=%s localhost
auth_param basic children 5
auth_param basic realm Web Proxy
auth_param basic credentialsttl 1 hours
########################
# ACLs autententicacion
########################
external_acl_type ldap_group children=7 %LOGIN
/usr/lib64/squid/squid_ldap_group -P -b "dc=xxxxx,dc=local" -f
"(&(CN=%g)(objectClass=posixGroup)(memberUid=%u))"
acl openldap proxy_auth REQUIRED
acl internet_users external ldap_group internet
acl chat_users external ldap_group msn
authenticate_ip_ttl 3 hours
...
http_access deny maxuserip
http_access deny !chat_users msn_access
http_access deny !chat_users msn_servers
http_access deny !chat_users hotmail_access
http_access allow CONNECT gtalk_access gtalk_server chat_users
http_access deny CONNECT gtalk_server
http_access deny !internet_users www
http_access deny !internet_users ftp
http_access allow openldap
http_access allow localnet
....
Como ves, los permisos para salir a internet o no dependen de que el
usuario pertenezca a un grupo en el LDAP. Puede ser otro atributo que
los distinga (distinto de posixGroup), pero es el mas simple de
manejar. De resto las acls, son como de costumbre.
Hasta la proxima.
Carlos.
2008/7/14 Carlos Moreira
Hola, gente tengo una duda. estoy configurando un servidor proxy con squid, mi idea es que para que alguien pueda salir x internet, primero, la ip del equipo por donde intenta salir este habilitada para acceder a internet, y despues que ese usuario este en ldap habilitado para tener internet. Lo primero lo logre sin problemas, tambien pude hacer que me deje salir a internet si el usuario existe en LDAP, pero no he podido distinguir usuarios que accedan a internet y usuarios que no accedan a internet. Mi idea es hacerlo por medio de algun atributo, osea, que si yo quiero que tal usuario acceda a internet, este tenga algun objectclass que se lo permita, pero no se cual es el objectclass que tengo que agregar a ldap y como agregarlo, si alguno tiene idea, les agradezco, salu2 Carlitos --------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (2)
-
Carlos Martinez -
Carlos Moreira