SquidGuard-squid3 Ldap search

gilmarcabral

ldapusersearch openldap://192.168.1.39:389/DC=agrovale,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=CTINcOU=Grupos%2cDC=agrovale%2cDC=com%2cDC=br))

Teste desta forma acima.
Porem ele esta negando todas paginas agora.
Agora ele não esta encontrando o usuário no grupos.
Descobri isso, porque testei passando o usuario no filtro assim gilmar_20601 e funcionou normalmente, ja quando uso o ldapusersarch openldap:// todas paginas são negadas.

gilmarcabral

Consegui fazer o filtro de consultar o usuario no grupo utilizando base openldap desta forma abaixo.

ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

Obrigado lucaspolli pela ajuda.

lucaspolli

@gilmarcabral:

Consegui fazer o filtro de consultar o usuario no grupo utilizando base openldap desta forma abaixo.

ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

Obrigado lucaspolli pela ajuda.

estamos ai pra ajudar no que for possivel..

neutonsp

@gilmarcabral:

Consegui fazer o filtro de consultar o usuario no grupo utilizando base openldap desta forma abaixo.

ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

Obrigado lucaspolli pela ajuda.

o que seria esse CTIN? ldapusersearch ldap://192.168.1.39:389/cn=CTIN,ou=Grupos,dc=agrovale,dc=com,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

estou com o mesmo problema porém uso o squidguard com squid2

gilmarcabral

CN=CTIN é o grupo que o ldapsearch deverá consulta para localizar o usuário.

neutonsp

@gilmarcabral:

CN=CTIN é o grupo que o ldapsearch deverá consulta para localizar o usuário.

Entendi. aqui ele ta buscando o usuário blz.. mas não está bloq em nada..

gilmarcabral

Seu problema e nas acls do squidguard. Verifique a ordem e suas configurações.

neutonsp

@gilmarcabral:

Seu problema e nas acls do squidguard. Verifique a ordem e suas configurações.

Estranho parece que o usuário não está vinculado a nenhum grupo

Request denied by pfSense proxy: 403 Forbidden
Reason:
–------------------------------------------------------------------------------
Client address: 192.168.15.13
Client user: neuton.paula
Client group: default
Target group: none
URL: http://br.msn.com/?ocid=iehp

Abaixo são os Groups ACL

so-institucional Grupo com acesso somente a sites da instituição

sem-entrete Grupo com restrição a pornografia e entretenimento

completo-s-porno Grupo com acesso completo menos pornografia

acesso-total Grupo com acesso completo sem restrições

Estou usando o Enable LDAP Filter.

Se eu marcar alguma dessas opções abaixo ae navega mas sem bloquear nada..

Strip NT domain name

Strip Kerberos Realm

Resumindo ou bloqueia tudo ou libera tudo..

vlw

lucaspolli

essa mensagem é que esta sendo bloqeuado pelo grupo default.. isso é para todas as paginas ou so essa?

neutonsp

@lucaspolli:

essa mensagem é que esta sendo bloqeuado pelo grupo default.. isso é para todas as paginas ou so essa?

todas.. mas se eu marco alguma das opções

Strip Kerberos Realm ou Strip NT domain name então ele navega mas não bloqueia nada..

no AD estou no grupo completo-s-porno e em cliente source estou usando ldapusersearch ldap://192.168.2.3:389/cn=completo-s-porno,ou=Grupos,dc=dominio,dc=edu,dc=br?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))

lucaspolli

sua string esta errada, use assim:

ldapusersearch ldap://192.168.x.x:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=GRUPO%2cOU=xxxxxx%2cDC=DOMINIO%2cDC=com%2cDC=br))

neutonsp

@lucaspolli:

sua string esta errada, use assim:

ldapusersearch ldap://192.168.x.x:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=GRUPO%2cOU=xxxxxx%2cDC=DOMINIO%2cDC=com%2cDC=br))

Não estou entendo mais nada.. creio que estou me atrapalhando em algo.. agora com essa string as páginas so ficam carregando e não da em nada.. :-) vou rever tudo aqui. obrigado por enquanto..

tenta ver se estou pensando correto… por favor. ldapusersearch ldap://192.168.x.x:389/DC=dominio,DC=com,DC=br?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=so-institucional%2cOU=Internet%2cDC=DOMINIO%2cDC=com%2cDC=br))

CN=so-institucional = o grupo onde os usuários terão apenas acesso a alguns sites da instituição :-)

OU=Internet é a unidade organizacional onde estão esses grupos.. tal como o grupo so-institucional.. está correto dessa maneira?.. e lógico nesse grupo coloquei o usuário.. que por sinal está em outra OU. olha so o AD como que está.

ad.jpg_thumb

lucaspolli

pra nao errar, no seu AD, clique com botao direito do mouse no grupo, va em propriedades, na aba "Attibute Editor" procure o atributo com nome "distinguishedName"de duplo clique nele, esse é a sua string correta para pesquisa