squid авторизация в fds

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
70n0ff
ефрейтор
Сообщения: 55
Зарегистрирован: 2008-04-16 12:50:55

squid авторизация в fds

Непрочитанное сообщение 70n0ff » 2010-10-05 16:30:28

Пишу как всегда для того чтобы тему посмотрели, но ничем не помогли. Шутка.
Нужна авторизация юзверей в fds , понятно дело что ldap.
В чем трабл

1. Понять не могу как в fds выстроить логику, а должна она быть примерно такая
Пользователь заводится в fds двумя путями,

Код: Выделить всё

 если (юзер.вендодоменный=тру){
             smbldap-useradd param
             }неа{
                     389-console->Rclick->New->User
             }
Далее в Groups создать

cn=squid,ou=Groups,dc=domen,dc=ru #Корневая группа сервиса
В нее мы добавляем заведеных пользователей в
ou=People,dc=domen,dc=ru

До сего момента я добавлял (если это считается добавить)
389-console->Select Group->Rclick->Свойства->members->add user


А в сквиде делаем авторизацию мол есть такой юзвер вообще

Код: Выделить всё

auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=People,dc=domain,dc=ru" -D "cn=Directory Administrators,dc=domain,dc=ru" -w 123456789 -h 666.666.666.666 -v 3 -p 389
auth_param basic children 5
auth_param basic realm Web-Proxy
auth_param basic credentialsttl 1 minute
acl ldapauth proxy_auth REQUIRED
Авторизация на пользователя работает

В примере что в статье
http://system-administrators.info/?p=3299
Пошла авторизация групп
по методу

Код: Выделить всё

external_acl_type ldap_group %LOGIN /usr/lib64/squid/squid_ldap_group -R -b "basedn" -D "binddn" -w bindpasswd -f "(&(memberUid=%v)(cn=%a))" -h
acl test2 external ldap_group Admins
http_access allow Admins
Кстати всю статью рассказал 2умя тегами)
Вот она не работает. Ибо про мою логику она слыхать не слыхивала.
Я игрался с параметром -f -F В общем потратил около 3 часов только на подбор,
Ничего не помогло. Зачем мне авторизация по группам?Ессно пулы, разрешенные страницы и подобное.
А самое главное то что если пользователь вообще заведен в оу=Пипл, а заводился он допустим
только для вендодомена в инет вылезет, а я бы бабац группами все разрулил, мол нет его ни в какой так что логинся прально но без нету сиди.

Была еще идея создать роли, мол Сквид Юзер и цеплять ее пользователю, но я не могу переделать первый запрос чтобы по праемтру nsrole=cn=squid user,* он только отбирал.

Приму любую помощь. Поделитесь опытом как надо.

P/S
К SAMS - не отправлять,
Если форум смотрят фрюшники, представте что у вас православная не получает авторизацию на "помойке", а сервак не переустанвить только 389 порт
открыть, бэктрэк на линухе, а это не кошерно...

С ума уже схожу.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: squid авторизация в fds

Непрочитанное сообщение Burner » 2010-10-06 10:27:41

у вас фильтр-то нормально работает, проверяли?

Аватара пользователя
70n0ff
ефрейтор
Сообщения: 55
Зарегистрирован: 2008-04-16 12:50:55

Re: squid авторизация в fds

Непрочитанное сообщение 70n0ff » 2010-10-06 11:31:32

Вообще не работает если мы про ключи -f -F говорим.
Но авторизация squid_ldap_auth без фильтра проходит,
параметр Роль через ldapsearch не видна, так что мысли о ролевиках можно забыть.

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: squid авторизация в fds

Непрочитанное сообщение Burner » 2010-10-06 11:41:34

я говорю про ldapsearch руками с таким фильтром - он находит что-нибудь?

Аватара пользователя
70n0ff
ефрейтор
Сообщения: 55
Зарегистрирован: 2008-04-16 12:50:55

Re: squid авторизация в fds

Непрочитанное сообщение 70n0ff » 2010-10-06 11:58:40

Чтобы запрос что то выдал приходится сделать следующие

Код: Выделить всё

[semenov@70n0ff ~]$ ldapsearch -x -L -w 123456789 -b "ou=Groups,dc=domain,dc=ru" '(&(uniqueMember=*isemenov*)(cn=squid))'  -h x.x.x.666 -p 389
version: 1

#
# LDAPv3
# base <ou=Groups,dc=domain,dc=ru> with scope subtree
# filter: (&(uniqueMember=*isemenov*)(cn=squid))
# requesting: ALL
#

# squid, Groups, domain.ru
dn: cn=squid,ou=Groups, dc=domain, dc=ru
objectClass: top
objectClass: groupofuniquenames
cn: squid
uniqueMember: uid=isemenov,ou=People,dc=domain,dc=ru
uniqueMember: uid=root,ou=People,dc=domain,dc=ru

# search result

# numResponses: 2
# numEntries: 1

Аватара пользователя
70n0ff
ефрейтор
Сообщения: 55
Зарегистрирован: 2008-04-16 12:50:55

Re: squid авторизация в fds

Непрочитанное сообщение 70n0ff » 2010-10-06 16:36:07

Решил эксперементировать с подборкой фильтра именно для squid_ldap_auth выяснилось что без фильтра
Авторизация работая, а с фильтром нет. думаю проблема в формате
Внизу данные пользователя и проверка фильтры

Код: Выделить всё

[semenov@70n0ff /]$ ldapsearch -x -L -w 1234567890 -b "dc=domain,dc=ru" '(uid=isemenov)'  -h x.6.6.6 -p 389 
version: 1

#
# LDAPv3
# base <dc=domain,dc=ru> with scope subtree
# filter: (uid=isemenov)
# requesting: ALL
#

# isemenov, People, domain.ru
dn: uid=isemenov,ou=People,dc=domain,dc=ru
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSAMAccount
cn: isemenov
sn: isemenov
givenName: isemenov
uid: isemenov
uidNumber: 1001
gidNumber: 513
homeDirectory: /home/isemenov
loginShell: /bin/bash
gecos:: 0KHQtdC80LXQvdC+0LIg0JjQstCw0L0=
sambaPwdLastSet: 1286188869
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 1290076869
displayName: isemenov
sambaAcctFlags: [U]
sambaSID: S-1-5-21-1868598947-2999329679-1259372246-3002
sambaLMPassword: 74F9B2862C4C1D03AAD3B435B51404EE
sambaNTPassword: 24BF8795FD4C7694F184A0FC18DC3678
shadowLastChange: 14886
shadowMax: 45
mail: semenov@domain.ru

# search result

# numResponses: 2
# numEntries: 1

[root@proxy2 squid]# ./squid_ldap_auth -R -P -b "ou=People,dc=domain,dc=ru" -D "cn=Directory Administrators,dc=domain,dc=ru"  -w 1234567890 -h x.6.6.6 -v 3 -p 389
isemenov 1234567890
OK



[root@proxy2 squid]# ./squid_ldap_auth -b "ou=People,dc=domain,dc=ru" -D "cn=Directory Administrators,dc=domain,dc=ru" -f "(uid=%s)" -w 1234567890 -h x.6.6.6 -v 3 -p 389
isemenov 1234567890
squid_ldap_auth: WARNING, could not bind to binddn 'Inappropriate authentication'
ERR Success

[root@proxy2 squid]# ./squid_ldap_auth -R -P -b "ou=People,dc=domain,dc=ru" -D "cn=Directory Administrators,dc=domain,dc=ru" -f "uid=%s" -w 1234567890 -h x.6.6.6 -v 3 -p 389
isemenov 1234567890
squid_ldap_auth: WARNING, could not bind to binddn 'Inappropriate authentication'
ERR Inappropriate authentication

Аватара пользователя
70n0ff
ефрейтор
Сообщения: 55
Зарегистрирован: 2008-04-16 12:50:55

Re: squid авторизация в fds

Непрочитанное сообщение 70n0ff » 2010-10-06 17:17:38

:( не ту я себе работу, наверное, выбрал.....

Запрос авторизации юзверя, если хочешь фильтры :drinks:

Код: Выделить всё

./squid_ldap_auth -b "ou=People,dc=domain,dc=ru" -f "uid=%s" -h x.6.6.6 -v 3 -p 389 
Запрос по группам

Код: Выделить всё

[root@proxy2 squid]# ./squid_ldap_group -b "ou=Groups,dc=domain,dc=ru"  -f "(&(uniqueMember=*%v*)(cn=%a))" -h x.6.6.6 -v 3 -p 389 -d 
isemenov squid 
Connected OK
group filter '(&(uniqueMember=*isemenov*)(cn=squid))', searchbase 'ou=Groups,dc=domain,dc=ru'
OK
:st:
Маны читать надо... в них все есть....


Тема авторизации исчерпана, больше чем полностью.

:bn: Есть вопрос запихивания в лдап блеклистов и подобного. :"": Какие будут соображения?