ReSQL.ru
     
powered by simpleCommunicator - 2.0.59     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / squid, squid_ldap_group контроль доступа через группы AD
10 сообщений из 10, страница 1 из 1
squid, squid_ldap_group контроль доступа через группы AD
    #37706143
zhum
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
zhum
Гость
OS CentOS release 6.2
squid Version 3.1.10


конфиг файл squid такой, выставляю только те параметры которые нужный для анализа:

Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
auth_param basic program /usr/lib/squid/squid_ldap_auth -d -R -D squidldap@kontora.ru -w "password" -b "dc=kontora,dc=ru" -f "sAMAccountName=%s" -h 192.168.50.40
auth_param basic children 5
auth_param basic realm KONTORA.RU

external_acl_type ldapg children=5 %LOGIN /usr/lib/squid/squid_ldap_group -d -R -b "dc=kontora,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=CN=%a,CN=Users,DC=kontora,DC=ru))" -D squidldap@kontora.ru -w "password" -K -h 192.168.50.40

acl localnet src 10.0.0.0/8	# RFC1918 possible internal network
acl localnet src 172.16.0.0/12	# RFC1918 possible internal network
acl localnet src 192.168.0.0/16	# RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl auth proxy_auth REQUIRED
acl dayall external ldapg allday

http_access allow auth dayall

http_access allow localnet
http_access allow localhost

http_access deny all

http_port 192.168.50.45:3140



Хочу авторизовать пользователя через группу allday в Active Directory.

Перед тем как использовать конфиг, проверяю работу хелперов на консоли:

1. аутентификатор,
[root@squid1 ~]# /usr/lib/squid/squid_ldap_auth -d -R -D squidldap@kontora.ru -w "password" -b "dc=kontora,dc=ru" -f "sAMAccountName=%s" -h 192.168.50.40
petrov parol
user filter 'sAMAccountName=petrov', searchbase 'dc=kontora,dc=ru'
attempting to authenticate user 'CN=Petrov,OU=Информационное управление,OU=Moscow,OU=Filial,DC=kontora,DC=ru'
OK

2. авторизатор,
[root@squid1 ~]# /usr/lib/squid/squid_ldap_group -d -R -b "dc=kontora,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=CN=%a,CN=Users,DC=kontora,DC=ru))" -D squidldap@kontora.ru -w "password" -K -h 192.168.51.40
petrov allday
Connected OK
group filter '(&(sAMAccountName=petrov)(memberOf=CN=allday,CN=Users,DC=kontora,DC=ru))', searchbase 'dc=kontora,dc=ru'
ERR

вроде все нормально. аутентификатор признал пользователя petrov, авторизатор выдал что petrov не является членом группы allday.

потом запустил сквид, в эксплорере ввел имя пользователя petrov и пароль. Ожидал что он запретит доступ согласно моему конфигу, но получилось наоборот. Сквид по группам не блокирует.

Почему, понять не могу.

записи в лог файле cache.log:

Код: powershell
1.
2.
3.
4.
5.
2012/03/15 12:59:58| storeLateRelease: released 0 objects
user filter 'sAMAccountName=petrov', searchbase 'dc=kontora,dc=ru'
attempting to authenticate user 'CN=Petrov,OU=Информационное управление,OU=Moscow,OU=Filial,DC=kontora,DC=ru'
Connected OK
group filter '(&(sAMAccountName=petrov)(memberOf=CN=allday,CN=Users,DC=kontora,DC=ru))', searchbase 'dc=kontora,dc=ru'
...
Рейтинг: 0 / 0
15.03.2012, 11:10
| Ответить | Цитировать | Написать  
squid, squid_ldap_group контроль доступа через группы AD
    #37706205
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
правило
http_access allow localnet
пропустило клиента, так как в нем проверяется только адрес клиента, а не членство в группах
...
Рейтинг: 0 / 0
15.03.2012, 11:30
| Ответить | Цитировать | Написать  
squid, squid_ldap_group контроль доступа через группы AD
    #37706305
zhum
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
zhum
Гость
bga83,

закоментировал правило
http_access allow localnet
вообще все блокируется.

Вообще я понимаю acl читаются до последнего acl. т.е. должно было читатся как "введи пароль, принадлежи группе allday, явись компьютером локальной сети" то пропускаю.
...
Рейтинг: 0 / 0
15.03.2012, 12:11
| Ответить | Цитировать | Написать  
squid, squid_ldap_group контроль доступа через группы AD
    #37706327
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
zhumbga83,

закоментировал правило
http_access allow localnet
вообще все блокируется.

Вообще я понимаю acl читаются до последнего acl. т.е. должно было читатся как "введи пароль, принадлежи группе allday, явись компьютером локальной сети" то пропускаю.
не совсем так. Срабатывает первое попавшееся правило allow или deny. Проверка принадлежности группе точно корректно отрабатывает для случая наличия и отсутствия пользователя в группе?
...
Рейтинг: 0 / 0
15.03.2012, 12:18
| Ответить | Цитировать | Написать  
squid, squid_ldap_group контроль доступа через группы AD
    #37706372
zhum
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
zhum
Гость
bga83,

Да, проверка принадлежности группе отрабатывает. Проверял на консоли, выше приводил пример.

Убираю правило с конца списка http_access allow localnet, болкируется полностью.
Если первый попавшееся правило, то где логика?

p/s я было как то мониторил лог файл cache.log включив режим дебаг. Тогда заметил что squid пробегает все acl.
...
Рейтинг: 0 / 0
15.03.2012, 12:42
| Ответить | Цитировать | Написать  
squid, squid_ldap_group контроль доступа через группы AD
    #37706393
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
zhumbga83,

Да, проверка принадлежности группе отрабатывает. Проверял на консоли, выше приводил пример.

Убираю правило с конца списка http_access allow localnet, болкируется полностью.
Если первый попавшееся правило, то где логика?

p/s я было как то мониторил лог файл cache.log включив режим дебаг. Тогда заметил что squid пробегает все acl.
у проверки принадлежности группе помнится была особенность: надо было было полностью прописывать путь до контейнера, в котором находится группа в AD. Ты привел ранее для случая отсутствия пользователя в группе, если он в ней все же находится вывод корректный? Если вечером еще актуально будет, дома посмотрю конфиги с прошлой работы , где это работало и закину сюда их.
...
Рейтинг: 0 / 0
15.03.2012, 12:52
| Ответить | Цитировать | Написать  
squid, squid_ldap_group контроль доступа через группы AD
    #37706439
zhum
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
zhum
Гость
bga83,

Если пользователь входит в группу allday тоже отрабатывает корректно, ниже команда и вывод с консоли.

Код: c#
1.
2.
3.
4.
5.
[root@squid1 ~]# /usr/lib/squid/squid_ldap_group -d -R -b "dc=kontora,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=CN=%a,CN=Users,DC=kontora,DC=ru))" -D squidldap@kontora.ru -w "password" -K -h 192.168.51.40
petrov allday
Connected OK
group filter '(&(sAMAccountName=petrov)(memberOf=CN=allday,CN=Users,DC=kontora,DC=ru))', searchbase 'dc=kontora,dc=ru'
OK



упомянутую особенность я учел, она прописана в пути у хелпера, т.е. группа allday находится в контейнере users.kontora.ru

Думаю и к вечеру будет актуален вопрос. Уже второй день мучаюсь. Буду рад любой подсказке.
...
Рейтинг: 0 / 0
15.03.2012, 13:06
| Ответить | Цитировать | Написать  
squid, squid_ldap_group контроль доступа через группы AD
    #37708069
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
ниже кусок рабочего конфига с несколькими группами доступа. На пути не обращай внимания это с FreeBSD


Код: plaintext
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D proxyuser@stoma.int -W /usr/local/etc/squid/proxyuser.pass -b "dc=stoma,dc=int" -f "sAMAccountName=%s" 192.168.2.1
auth_param basic children 10
external_acl_type nt_group ttl=120  %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=stoma,dc=int" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=proxy,ou=groups_access,dc=stoma,dc=int))" -D proxyuser@stoma.int -W /usr/local/etc/squid/proxyuser.pass 192.168.2.1

#groups of users
acl    ntg_inet_users			external nt_group proxy_intenet_allow
acl 	ntg_icq				external nt_group proxy_icq
acl	ntg_social_nets			external nt_group proxy_social_nets 


acl dst_icq_com	 	     dstdomain "/usr/local/etc/squid/acl/icq"
acl dst_social_nets	     dstdomain "/usr/local/etc/squid/acl/social_nets"

# Allow inet for users
http_access     allow   dst_icq_com ntg_icq
http_access     allow   dst_social_nets ntg_social_nets
http_access     allow   !dst_icq_com !dst_social_nets ntg_inet_users
http_access     deny    all
...
Рейтинг: 0 / 0
16.03.2012, 11:14
| Ответить | Цитировать | Написать  
squid, squid_ldap_group контроль доступа через группы AD
    #37708650
zhum
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
zhum
Гость
bga83,

а у вас localnet нигде не прописан?
...
Рейтинг: 0 / 0
16.03.2012, 15:40
| Ответить | Цитировать | Написать  
squid, squid_ldap_group контроль доступа через группы AD
    #37708694
Фотография bga83
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
bga83
Участник
zhumbga83,

а у вас localnet нигде не прописан?
а смысл? доступ предоставляется по результатам наличия в той или иной группе авторизовавшегося пользователя. Смысла описывать IP-адреса просто нет
...
Рейтинг: 0 / 0
16.03.2012, 15:55
| Ответить | Цитировать | Написать  
10 сообщений из 10, страница 1 из 1
Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / squid, squid_ldap_group контроль доступа через группы AD
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]