SquidGuard+Openldap



  • Galera preciso fazer busca em base openldap ao invez de AD.  Para criar grupos de acesso

    Exemplo:  grupo sitesbloquiados

    client Source : 'id_user_ldap'

    quando incluo o client source ele autentica mas nao respeita as regras de bloqueios.



  • Primeiro você tem que ter certeza que o squidguard esta consultando a base corretamente.
    No 2.1 este filtro de openldap nativo não funcionou mo meu caso.
    Tive que continuar utilizando o script de consulta agendado via crontab.
    Faça um teste informando ai no squidguard o nome de usuario em questão e verifica que ira aplicar o bloqueio.
    Caso ele não aplicar o bloqueio o erro esta na definição das ACLs.



  • Olá obrigado por responder, mas não sei se entendi você diz pra mim colocar o nome do usuário no ClientSource

    Valeu.



  • Isso.
    A consulta openldap faz e isso.
    Traz o nome do usuário para ser colocado ai.



  • Mesmo assim nao bloqueaou a target. Mas o correto não seria o uid, pois pelo nome com certeza deve existir dois nomes iguais.

    Ex: nosso uid aqui é o cpf do pessoal estou tentanto buscar por esse campo também .

    Desculpe mas não entendi como você fez pra funcionar ai.



  • Se não estou enganado ele utiliza o memberUid.
    Este memberUid que deve esta no ClientSource.
    Aki para funcionar tive que usar este link abaixo.
    Agendei ele no cron.
    Pelos teste que fiz esta integração do squidguard autenticar por grupo só esta funcional quando se utiliza AD.

    http://forum.pfsense.org/index.php/topic,47100.120.html



  • No seu caso você utilizou os grupos do AD ?



  • Utilizo grupos no openldap.



  • Aqui existe só um grupo no openldap ex:group People.

    E eu estou tentando criar outros grupos no squidguard atraves desse grupo.

    Exemplo grupo internetbasic, internetplus, intranet.

    Eu to achando que o pfsense nao cria esses grupos e sim pega os grupos prontos de uma base openldap ou AD.



  • Vc deve criar os grupos na aba targats no squidguard.
    Os grupos deve ter o mesmo nome que vc utiliza no openlap no squidguad na aba targets.



  • Ai esta meu problema aqui no openldap existe apenas um grupo chamado people onde estao todos os usuarios.



  • Pelo que pesquisei na internet eu acho não é possível pegar os usuários de um grupo no openldap e atribui-los a outros grupos no squidguard.

    exemplo:
                  OpenLdap
                                    Grupo: People               
                                    Usuários: Joao, Pedro

    SquidGuard
                                        Grupo: Internet
                                        Usuários: Pedro

    Grupo: Intranet
                                          Usuários: Joao



  • Isso mesmo.
    Você devera primeiro criar os grupos no openldap e defenir os usuários em seus respectivos grupos.
    Isso é uma das boas praticas para administrar grupos no openldap e depois aplicar restrições por grupos.



  • Valeu Gilmar. Mas você não sabe se tem uma forma de fazer sem alterar o openldap. Não queria mexer nessa base pois tem outros fatores que vão gerar problemas.



  • Não conheço outra maneira. Pois vc precisa se um atributo no openldap que informe  está diferença.
    Recomendo vc configurar outro openldap já utilizando.  estrutura dw grupos e apos homologado vc migrar.



  • Antes de pedir para o rapaz que configurou o openldap  refazer um proximo openldap resolvi fazer um teste com esse grupo que tenho no atual openldap. Então estou tentando criar apenas um grupo no sguidguard como esta no openldap. Porém o squidguard não bloqueou  a target categories que criei.

    Configuração Squidguard

    Group Acls: Name people

    Configuração Openldap
                                Grupo: people

    Pra ser sincero não conhece nada de openldap só a parte teórica de como ele  funciona então estou na duvida sobre o que inserir na opcao client source. 
            Não entendi a lógica do agendamento no cron que vc utilizou. Se puder dar uma rápida explicação. Valeu… e desculpe encomodar auhauha



  • Na aba Targets você deve defenir o mesmo nome que esta na aba opendlap.
    O nome do grupo deve ser identico.
    Após isso execute o script que criado pelo cessario que faz a consulta e traz os grupos.
    No pfsense 2.1 na GUI o suporte a openldap não funcionou corretamente então tive que usar o script.
    Este script esta no pos anterior.
    Vc executa ele via terminal onde o usuario devera aparecer no campo client source na aba targets  do grupo que você criou.
    Se ele trazer o nome dos usuarios neste campo a consulta esta sendo realizada com sucesso.
    Ai o erro e apenas nas acls de bloqueio


Log in to reply