Filtro LDAP por grupos no SquidGuard
-
Boa tarde, estou utilizando o squidaguard com ldap, a principio esta funcionando ok, onde eu faço o filtro por grupo, ou seja, quem esta no grupo internet.
Segue o Filtro que estou utilizando hj:
ldapusersearch ldap://XXX.XXX.XXX.XXX:389/DC=XXX,DC=XXX?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=internet%2cCN=Users%2cDC=XXXX%2cDC=XXXX))
Porém queria fazer um filtro, onde o usuário tem que ser membro do grupo internet E membro de um dos outros grupos. Exemplo:
Tenho departamento 1, 2 e 3, com os grupos dep1, dep2, dep3.
Sendo assim o usuário além de ser membro do grupo internet tem que ser membro de um dos 3 grupos, caso contrário a acl não iria casar e iria para a acl default(Common) do squidguard.
Pois eu posso ter regras diferentes por departamento.
-
Veja isso: https://forum.pfsense.org/index.php?topic=99894.msg558081#msg558081
-
Obrigado por responder, mas não achei nada referente ao que perguntei.
-
Obrigado por responder, mas não achei nada referente ao que perguntei.
tem sim um tutorial ensinando, é porque está na primeira página do post: https://forum.pfsense.org/index.php?topic=99894.0
-
Acredito que você não entendeu, eu quero criar uma consulta ldap, onde o usuário tem que estar no grupo internet, e em um dos outros grupos.
Se ele tiver no grupo internet, mas não estiver em um dos outros, não é para a acl casar.
Entendeu?
-
Eu não entendo qual logica para isso.
Se você vai conceder a acesso ao grupo "Internet" porque associar a outro grupo?
Se você vai filtrar por conteúdo não é melhor criar as categorias para determinados grupo (dep1, dep2, dep3)?
se não for assim explique melhor o que voce deseja.
-
Se eu conseguisse fazer o filtro como eu queria, me pouparia criar várias acls de grupos por departamento.
O grupo internet garante que o usuário tenha acesso a internet, e os grupos dos departamentos serão usados para aplicar as regras de acesso.
Se o cara esta no dep1 mas não esta no grupo internet, ele não irá acessar.
Se o cara esta no dep1 e no grupo internet, ele irá acessar e serão aplicadas as regras de acesso destinada ao seu departamento.Eu sei que da pra fazer filtros utilizando o E e OU lógicos (& e |) no ldapsearch, porém do jeito que fiz não tive sucesso.
-
Pegando um gancho do guitarcleiton, se você vai ter só um grupo, que sentido faz utilizar o ldap groups? use somente acesso ldap "sem groups".
Ldap groups serve para quando você for fazer regras diferenciadas de acesso a internet por grupos de usuários. Tipo: esse grupo pode isso, mas não pode aquilo e assim sucessivamente.
Se for trabalhar com Ldap groups a garantia de acesso a internet você vai passar em cada grupo, o seu algorítimo de acesso a internet ficaria redundante se utilizar um grupo denominado Internet para garantir isso e outros grupos dep1…. para fazer as regras.
-
Se eu conseguisse fazer o filtro como eu queria, me pouparia criar várias acls de grupos por departamento.
O grupo internet garante que o usuário tenha acesso a internet, e os grupos dos departamentos serão usados para aplicar as regras de acesso.
Se o cara esta no dep1 mas não esta no grupo internet, ele não irá acessar.
Se o cara esta no dep1 e no grupo internet, ele irá acessar e serão aplicadas as regras de acesso destinada ao seu departamento.Eu sei que da pra fazer filtros utilizando o E e OU lógicos (& e |) no ldapsearch, porém do jeito que fiz não tive sucesso.
Mas não é melhor criar apenas o grupo "Internet" e atribuir no ad somente aos usuários que vão ter acesso a internet?
Agora se você quer criar politicas diferenciadas não é melhor criar grupos "Internt-Padrao", "Intenet-Livre", "Internet-Restrita" e criar os grupos no SquidGuard e dentro você criar a politica para cada grupo do ad?