Squid - Autenticar Grupos AD [RESOLVIDO]

jairovisks
(usa Debian)

Enviado em 05/05/2011 - 10:56h

Olá Pessoal...
Tenho um squid configurado e autenticando no AD normalmente, isso funciona bem, porém essa autenticação se dá por usuários e eu gostaria de fazer a liberação pelo grupo no AD.

Vou explicar melhor:
Utilizo a seguinte linha no squid.conf para autenticar usuários no AD:
auth_param basic program /usr/lib/squid/ldap_auth -R -b "dc=meudominio,dc=local" -D "cn=Administrador,cn=Users,dc=meudominio,dc=local" -w "senhaADM" -f sAMAccountName=%s -h 172.16.x.6

Defini a acl: acl autenticados proxy_auth REQUIRED para exigir que somente usuários autenticados possam acessar a internet

Criei um arquivo onde coloco o usuário de rede dos usuários que tem acesso, por exemplo diretoria.acl.

criei a acl: acl diretoria proxy_auth /etc/squid/acl/diretoria.acl"

<b>libero</b> o acesso com a linha: http_access allow autenticados diretoria

isso funciona bem, porém sempre que preciso adicionar um usuário no grupo preciso editar o arquivo diretoria.acl e colocar o nome do usuário lá.

O que eu gostaria de fazer é dentro do arquivo colocar o nome dos grupos, e que o squid buscasse no AD a qual grupo pertence o usuário e liberasse o acesso de acordo com o grupo.

Dessa forma sempre que precisar alterar o acesso de um determinado usuário, basta alterá-lo no grupo do AD, sem mexer no squid.

sei que é possível fazer isso, porem não sei como adequar a forma de autenticação atual para fazer isso.
uso o ldap_auth do squid para autenticar usuários, dentro do dir /usr/lib/squid/ tem um script squid_ldap_group creio que tenho que usar esse cara para autenticar e retornar o grupo, porém não encontrei nada a respeito de como usá-lo.

Vi alguns artigos na net e aqui mesmo no vol mas não entendi muito bem, se alguém puder me dar uma luz ficarei imensamente grato.



abs

Jairo Rodrigues

renato_pacheco
(usa Debian)

Enviado em 05/05/2011 - 11:33h

Era isso msm q eu ia falar. Do jeito q vc tá falando tem como msm, pq assim evita q vc mexa no squid toda vez q acrescentar o usuário. Olhe nesses sites abaixo q eles explicam as duas formas (por grupo e por usuário):

http://www.papercut.com/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory

http://www.cyberciti.biz/tips/howto-configure-squid-ldap-authentication.html

jairovisks
(usa Debian)

Enviado em 05/05/2011 - 11:38h

Dei uma lida por cima e parece ser exatamente isso que preciso, vou testar e depois posto aqui.

Obrigado por enquanto.

jairovisks
(usa Debian)

Enviado em 05/05/2011 - 13:55h

Opa... dito e feito...funcionou redondo...

só deixando a dica pra quem precisar:
No AD organize seus grupos de acesso à internet SEMPRE na mesma OU... assim evita dor de cabeça com o squid (e com organização também...rsrs)

renato_pacheco mais uma vez obrigado pela força.

Abs