Filtro LDAP por grupos no SquidGuard



  • Boa tarde, estou utilizando o squidaguard com ldap, a principio esta funcionando ok, onde eu faço o filtro por grupo, ou seja, quem esta no grupo internet.

    Segue o Filtro que estou utilizando hj:

    ldapusersearch ldap://XXX.XXX.XXX.XXX:389/DC=XXX,DC=XXX?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=internet%2cCN=Users%2cDC=XXXX%2cDC=XXXX))

    Porém queria fazer um filtro, onde o usuário tem que ser membro do grupo internet E membro de um dos outros grupos. Exemplo:

    Tenho departamento 1, 2 e 3, com os grupos dep1, dep2, dep3.

    Sendo assim o usuário além de ser membro do grupo internet tem que ser membro de um dos 3 grupos, caso contrário a acl não iria casar e iria para a acl default(Common) do squidguard.

    Pois eu posso ter regras diferentes por departamento.





  • Obrigado por responder, mas não achei nada referente ao que perguntei.



  • @gui.ap:

    Obrigado por responder, mas não achei nada referente ao que perguntei.

    tem sim um tutorial ensinando, é porque está na primeira página do post: https://forum.pfsense.org/index.php?topic=99894.0



  • Acredito que você não entendeu, eu quero criar uma consulta ldap, onde o usuário tem que estar no grupo internet, e em um dos outros grupos.

    Se ele tiver no grupo internet, mas não estiver em um dos outros, não é para a acl casar.

    Entendeu?



  • Eu não entendo qual logica para isso.

    Se você vai conceder a acesso ao grupo "Internet" porque associar a outro grupo?

    Se você vai filtrar por conteúdo não é melhor criar as categorias para determinados grupo (dep1, dep2, dep3)?

    se não for assim explique melhor o que voce deseja.



  • Se eu conseguisse fazer o filtro como eu queria, me pouparia criar várias acls de grupos por departamento.

    O grupo internet garante que o usuário tenha acesso a internet, e os grupos dos departamentos serão usados para aplicar as regras de acesso.

    Se o cara esta no dep1 mas não esta no grupo internet, ele não irá acessar.
    Se o cara esta no dep1 e no grupo internet, ele irá acessar e serão aplicadas as regras de acesso destinada ao seu departamento.

    Eu sei que da pra fazer filtros utilizando o E e OU lógicos (& e |) no ldapsearch, porém do jeito que fiz não tive sucesso.



  • Pegando um gancho do guitarcleiton, se você vai ter só um grupo, que sentido faz utilizar o ldap groups? use somente acesso ldap "sem groups".

    Ldap groups serve para quando você for fazer regras diferenciadas de acesso a internet por grupos de usuários. Tipo: esse grupo pode isso, mas não pode aquilo e assim sucessivamente.

    Se for trabalhar com Ldap groups a garantia de acesso a internet você vai passar em cada grupo, o seu algorítimo de acesso a internet ficaria redundante se utilizar um grupo denominado Internet para garantir isso e outros grupos dep1…. para fazer as regras.



  • @gui.ap:

    Se eu conseguisse fazer o filtro como eu queria, me pouparia criar várias acls de grupos por departamento.

    O grupo internet garante que o usuário tenha acesso a internet, e os grupos dos departamentos serão usados para aplicar as regras de acesso.

    Se o cara esta no dep1 mas não esta no grupo internet, ele não irá acessar.
    Se o cara esta no dep1 e no grupo internet, ele irá acessar e serão aplicadas as regras de acesso destinada ao seu departamento.

    Eu sei que da pra fazer filtros utilizando o E e OU lógicos (& e |) no ldapsearch, porém do jeito que fiz não tive sucesso.

    Mas não é melhor criar apenas o grupo "Internet" e atribuir no ad somente aos usuários que vão ter acesso a internet?

    Agora se você quer criar politicas diferenciadas não é melhor criar grupos "Internt-Padrao", "Intenet-Livre", "Internet-Restrita" e criar os grupos no SquidGuard e dentro você criar a politica para cada grupo do ad?


Log in to reply