[MASOCH-L] Squid (LDAP) x Bloqueios

Serial skroot at gmail.com
Sat Jul 18 21:04:38 -03 2009 

Boa noite amigos,

 

Tenho um squid com autenticação LDAP em um AD (Windows2003).

Qto a autenticação, está tudo ok, porém qdo crio listas de bloqueio para
cada grupo, não funciona.

Veja:

 

Grupo de usuarios:

i_diretoria

i_vendas

 

Lista de bloqueio:

L_diretoria

L_vendas

 

Com isso, a diretoria apenas acessa o que contém em sua lista e o mesmo
serve para o grupo de vendas.

Uso a seguine configuração no squid.conf:

 

# Squid.conf

http_port 192.168.0.253:3128

hierarchy_stoplist cgi-bin ?

cache_dir ufs /var/spool/squid 100 16 4256

access_log /var/log/squid/access.log squid

cache_log /var/log/squid/cache.log

cache_store_log /var/log/squid/store.log

pid_filename /var/run/squid.pid

 

refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern -i (/cgi-bin/|\?) 0     0%      0

refresh_pattern (Release|Package(.gz)*)$        0       20%     2880

refresh_pattern .               0       20%     4320

 

acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]

upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache

broken_vary_encoding allow apache

extension_methods REPORT MERGE MKACTIVITY CHECKOUT

visible_hostname proxy

hosts_file /etc/hosts

coredump_dir /var/spool/squid

error_directory /usr/share/squid/errors/Portuguese

dns_nameservers 4.2.2.2

 

# As linhas abaixo se referem a autenticaç de usuáos no

auth_param basic program /usr/lib/squid/ldap_auth -R -b
"dc=dominio,dc=local" -D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w
"senha" -f sAMAccountName=%s -h 192.168.0.10

auth_param basic realm Digite sua senha de acesso a rede

auth_param basic children 5

auth_param basic credentialsttl 60 minutes

 

emulate_httpd_log on

mime_table /usr/local/squid/etc/mime.conf

ftp_user down at meudominio.com.br

ftp_passive on

unlinkd_program /usr/lib/squid/unlinkd

 

# ACL externa para autenticacao nas bases LDAP do AD

external_acl_type ldap_group %LOGIN /usr/lib/squid/squid_ldap_group -R -b
"dc=dominio,dc=local" -D "CN=Administrator,CN=Users,DC=dominio,DC=local" -w
"senha" -f
"(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,DC=dominio,DC=loca
l))" -h 192.168.0.10

 

acl all src all

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl to_localhost dst 127.0.0.0/8

acl lan src 192.168.0.0/16      # RFC1918 possible internal network

#acl ip_diretoria src "/etc/squid/regras/ip_diretoria"

 

acl SSL_ports port 443          # https

acl SSL_ports port 563          # snews

acl SSL_ports port 873          # rsync

acl Safe_ports port 80          # http

acl Safe_ports port 21          # ftp

acl Safe_ports port 443         # https

acl Safe_ports port 70          # gopher

acl Safe_ports port 210         # wais

acl Safe_ports port 1025-65535  # unregistered ports

acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http

acl Safe_ports port 591         # filemaker

acl Safe_ports port 777         # multiling http

acl Safe_ports port 631         # cups

acl Safe_ports port 873         # rsync

acl Safe_ports port 901         # SWAT

acl purge method PURGE

acl CONNECT method CONNECT

 

# Lista e grupo 

acl L_vendas url_regex -i "/etc/squid/regras/l_vendas"

acl L_diretoria url_regex -i "/etc/squid/regras/l_diretoria"

#

acl i_diretoria external ldap_group i_diretoria

acl i_vendas external ldap_group i_vendas

 

# Liberando ACL's

http_access allow i_diretoria L_diretoria

http_access allow i_vendas L_vendas

http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny all

deny_info http://192.168.0.253/Proxy_erro.htm i_vendas i_diretoria

 

icp_access allow lan

http_reply_access allow lan

htcp_access allow lan

htcp_clr_access allow lan

ident_lookup_access allow lan

reply_body_max_size 0 allow lan

 

Dessa maneira, ninguém acessa nada, é como se caisse direto na acl de deny
all.

 

Porém se aplico a mesma lógica para uma autenticação via passwd, ou então um
controle de acesso por lista de IP’s, funciona o bloqueio, apenas qdo está
sobre LDAP que não funciona.

 

Outro cenário que funciona é, se os usuarios de ambos grupos lerem apenas
uma lista, exemplo:

http_access allow i_diretoria

http_access allow i_vendas

http_access allow L_diretoria

 

Segui o documento:
http://www.squid-cache.org.br/index.php?option=com_content
<http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=50&
Itemid=27> &task=view&id=50&Itemid=27  e pelo que entendi é pra funcionar.

 

Alguém saberia poderia me ajudar?

 

Obrigado

 

 

 

--

[.]´s

..:: S.e.r.i.a.L ::..

More information about the masoch-l mailing list