Saludos.
Activa el modo de depuración de squid_ldap_auth y de squid_ldap_group
y revisa los logs para ver dónde esta el error.
Adicionalmente: el orden de tus ACLs esta mal: recuerda que estas se
aplican en le orden en que son declaradas, asi que "http_access deny
!Safe_ports" y "http_access deny CONNECT !SSL_ports" no tienen ningún
efecto en tu configuracion (muy, muy mala cosa). Estas DEBEN ir ANTES
de cualquier ACL. En tu caso deben estar antes de "http_access allow
localhost". Esto puede implicar que tengas que ampliar el rango de
SSL_ports dependiendo de las quejas de tus usuarios :)
Hasta la proxima.
Carlos
On Mon, Jul 14, 2008 at 3:55 PM, Sebastian Juarez
Buenas gente, les hago una pregunta, estoy teniendo problemas con una configuración de squid.
Estoy intentando de autenticar squid por grupos de ldap. Para esto tengo un ldapserver provisionando usurios, lo cuales cree sin problemas, junto con sus grupos.
El problema puntualmente, es que todas las paginas, con todos los usuarios, me dan access denied.
### squid.conf #### http_port 172.25.0.73:3128
auth_param basic children 5 auth_param basic credentialsttl 2 hours auth_param basic realm Squid proxy-caching web server # conf ldap ######################### auth_param basic program /usr/sbin/squid_ldap_auth -D "cn=administrator,dc=sarasa,dc=com" -w password -b "dc=sarasa,dc=com" -h 127.0.0.1 -f "(&(uid=%s)(objectClass=posixAccount))" -v 3
external_acl_type ldap_group %LOGIN /usr/sbin/squid_ldap_group -b "ou=group,dc=sarasa,dc=com" -f "(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))" ######################################
acl all src 0.0.0.0/0.0.0.0 acl CONNECT method CONNECT acl localhost src 127.0.0.1/255.255.255.255 acl manager proto cache_object acl QUERY urlpath_regex cgi-bin \? acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 210 # wais acl Safe_ports port 21 # ftp acl Safe_ports port 280 # http-mgmt acl Safe_ports port 443 563 # https, snews acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 70 # gopher acl Safe_ports port 777 # multiling http acl Safe_ports port 80 # http acl SSL_ports port 443 563 acl to_localhost dst 127.0.0.0/8 # conf ldap ######################## acl autenticado proxy_auth REQUIRED acl redlocal src 172.25.0.0/255.255.0.0 acl irrestricto external ldap_group pueden acl limitado external ldap_group nopueden acl valid.limitado dstdomain "/etc/squid/valid.limitado" ####################################
coredump_dir /var/cache/squid hierarchy_stoplist cgi-bin ?
http_access allow localhost http_access allow manager localhost #conf ldap ########################### #http_access allow redlocal autenticado http_access allow all irrestricto http_access allow limitado !valid.limitado ####################################### http_access deny all http_access deny CONNECT !SSL_ports http_access deny manager http_access deny !Safe_ports http_reply_access allow all icp_access allow all
no_cache deny QUERY refresh_pattern . 0 20% 4320 refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440
###################################################################3
Con los filtros de ldap soy un queso, están bien?
-- --------------------------------- Sebastian Juárez Mail: ssebbass@gmail.com MSN: ssebbass@vafe.com.ar ICQ: 9803305
--------------------------------------------------------------------- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org