f0s писал(а):а покаи кусок конфига где ты через ldap группы сомтришь.. я пробовал через external по nt_group, но что-то не особо пашет. хоят просто отдельно еслди давать команду на скрипт - все ок
в Squid.conf
Код: Выделить всё
auth_param basic program /usr/lib/squid3/squid_ldap_auth -P -b dc=hronik,dc=ru -f "uid=%s" -H "ldap://127.0.0.1" -v 3
external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -P -b dc=hronik,dc=ru -f (uid=%v)(cn=%a) -H "ldap://127.0.0.1" -v 3
auth_param ntlm program /usr/lib/squid3/squid_ldap_auth -P -b dc=hronik,dc=ru -f "uid=%s" -H "ldap://127.0.0.1" -v 3
что опции и аргументы обозначают сматри так
Примерно так же но с аргументами проверишь видит ли команда твоих пользователей.
Я тут тему создал , где заметил что если в lib-nnsldap.conf прописано так
Код: Выделить всё
nss_base_passwd ou=users,dc=hronik,dc=ru?one
nss_base_passwd ou=computers,dc=hronik,dc=ru?one
то squid_ldap_auth будет видеть только машины, если на оборот то -только юзверей....
далее в конфиг Ослика:
Код: Выделить всё
acl users external ldap_group users
http_access allow users
К сожалению у меня нет squid.schema (писать не когда), то есть нет squid групп. и в базе Лдапа у юзверей не хранится название группы, а только gidNumber( но это не сложно исправить).
В общем в строке
Код: Выделить всё
external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -P -b dc=hronik,dc=ru -f (uid=%v)(cn=%a) -H "ldap://127.0.0.1" -v 3
за место
cn пишешь Squidgroup или gidName (там где у тебя название группы) и в конце строки
ставишь не users как у меня а название группы , которую и будет пропускать Ослик
Вроде все так...вредно мне рано утром чтото делать