Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Filtro LDAP por grupos no SquidGuard

    Portuguese
    3
    9
    1202
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      gui.ap last edited by

      Boa tarde, estou utilizando o squidaguard com ldap, a principio esta funcionando ok, onde eu faço o filtro por grupo, ou seja, quem esta no grupo internet.

      Segue o Filtro que estou utilizando hj:

      ldapusersearch ldap://XXX.XXX.XXX.XXX:389/DC=XXX,DC=XXX?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=internet%2cCN=Users%2cDC=XXXX%2cDC=XXXX))

      Porém queria fazer um filtro, onde o usuário tem que ser membro do grupo internet E membro de um dos outros grupos. Exemplo:

      Tenho departamento 1, 2 e 3, com os grupos dep1, dep2, dep3.

      Sendo assim o usuário além de ser membro do grupo internet tem que ser membro de um dos 3 grupos, caso contrário a acl não iria casar e iria para a acl default(Common) do squidguard.

      Pois eu posso ter regras diferentes por departamento.

      1 Reply Last reply Reply Quote 0
      • R
        rronaldo last edited by

        Veja isso: https://forum.pfsense.org/index.php?topic=99894.msg558081#msg558081

        1 Reply Last reply Reply Quote 0
        • G
          gui.ap last edited by

          Obrigado por responder, mas não achei nada referente ao que perguntei.

          1 Reply Last reply Reply Quote 0
          • R
            rronaldo last edited by

            @gui.ap:

            Obrigado por responder, mas não achei nada referente ao que perguntei.

            tem sim um tutorial ensinando, é porque está na primeira página do post: https://forum.pfsense.org/index.php?topic=99894.0

            1 Reply Last reply Reply Quote 0
            • G
              gui.ap last edited by

              Acredito que você não entendeu, eu quero criar uma consulta ldap, onde o usuário tem que estar no grupo internet, e em um dos outros grupos.

              Se ele tiver no grupo internet, mas não estiver em um dos outros, não é para a acl casar.

              Entendeu?

              1 Reply Last reply Reply Quote 0
              • G
                guitarcleiton last edited by

                Eu não entendo qual logica para isso.

                Se você vai conceder a acesso ao grupo "Internet" porque associar a outro grupo?

                Se você vai filtrar por conteúdo não é melhor criar as categorias para determinados grupo (dep1, dep2, dep3)?

                se não for assim explique melhor o que voce deseja.

                Analista de Sistemas
                Bacharel em Sistemas de Informação

                https://cleiton.tech.blog/

                1 Reply Last reply Reply Quote 0
                • G
                  gui.ap last edited by

                  Se eu conseguisse fazer o filtro como eu queria, me pouparia criar várias acls de grupos por departamento.

                  O grupo internet garante que o usuário tenha acesso a internet, e os grupos dos departamentos serão usados para aplicar as regras de acesso.

                  Se o cara esta no dep1 mas não esta no grupo internet, ele não irá acessar.
                  Se o cara esta no dep1 e no grupo internet, ele irá acessar e serão aplicadas as regras de acesso destinada ao seu departamento.

                  Eu sei que da pra fazer filtros utilizando o E e OU lógicos (& e |) no ldapsearch, porém do jeito que fiz não tive sucesso.

                  1 Reply Last reply Reply Quote 0
                  • R
                    rronaldo last edited by

                    Pegando um gancho do guitarcleiton, se você vai ter só um grupo, que sentido faz utilizar o ldap groups? use somente acesso ldap "sem groups".

                    Ldap groups serve para quando você for fazer regras diferenciadas de acesso a internet por grupos de usuários. Tipo: esse grupo pode isso, mas não pode aquilo e assim sucessivamente.

                    Se for trabalhar com Ldap groups a garantia de acesso a internet você vai passar em cada grupo, o seu algorítimo de acesso a internet ficaria redundante se utilizar um grupo denominado Internet para garantir isso e outros grupos dep1…. para fazer as regras.

                    1 Reply Last reply Reply Quote 0
                    • G
                      guitarcleiton last edited by

                      @gui.ap:

                      Se eu conseguisse fazer o filtro como eu queria, me pouparia criar várias acls de grupos por departamento.

                      O grupo internet garante que o usuário tenha acesso a internet, e os grupos dos departamentos serão usados para aplicar as regras de acesso.

                      Se o cara esta no dep1 mas não esta no grupo internet, ele não irá acessar.
                      Se o cara esta no dep1 e no grupo internet, ele irá acessar e serão aplicadas as regras de acesso destinada ao seu departamento.

                      Eu sei que da pra fazer filtros utilizando o E e OU lógicos (& e |) no ldapsearch, porém do jeito que fiz não tive sucesso.

                      Mas não é melhor criar apenas o grupo "Internet" e atribuir no ad somente aos usuários que vão ter acesso a internet?

                      Agora se você quer criar politicas diferenciadas não é melhor criar grupos "Internt-Padrao", "Intenet-Livre", "Internet-Restrita" e criar os grupos no SquidGuard e dentro você criar a politica para cada grupo do ad?

                      Analista de Sistemas
                      Bacharel em Sistemas de Informação

                      https://cleiton.tech.blog/

                      1 Reply Last reply Reply Quote 0
                      • First post
                        Last post