Нужна авторизация юзверей в fds , понятно дело что ldap.
В чем трабл
1. Понять не могу как в fds выстроить логику, а должна она быть примерно такая
Пользователь заводится в fds двумя путями,
Код: Выделить всё
если (юзер.вендодоменный=тру){
smbldap-useradd param
}неа{
389-console->Rclick->New->User
}
cn=squid,ou=Groups,dc=domen,dc=ru #Корневая группа сервиса
В нее мы добавляем заведеных пользователей в
ou=People,dc=domen,dc=ru
До сего момента я добавлял (если это считается добавить)
389-console->Select Group->Rclick->Свойства->members->add user
А в сквиде делаем авторизацию мол есть такой юзвер вообще
Код: Выделить всё
auth_param basic program /usr/lib/squid/squid_ldap_auth -b "ou=People,dc=domain,dc=ru" -D "cn=Directory Administrators,dc=domain,dc=ru" -w 123456789 -h 666.666.666.666 -v 3 -p 389
auth_param basic children 5
auth_param basic realm Web-Proxy
auth_param basic credentialsttl 1 minute
acl ldapauth proxy_auth REQUIRED
В примере что в статье
http://system-administrators.info/?p=3299
Пошла авторизация групп
по методу
Код: Выделить всё
external_acl_type ldap_group %LOGIN /usr/lib64/squid/squid_ldap_group -R -b "basedn" -D "binddn" -w bindpasswd -f "(&(memberUid=%v)(cn=%a))" -h
acl test2 external ldap_group Admins
http_access allow Admins
Вот она не работает. Ибо про мою логику она слыхать не слыхивала.
Я игрался с параметром -f -F В общем потратил около 3 часов только на подбор,
Ничего не помогло. Зачем мне авторизация по группам?Ессно пулы, разрешенные страницы и подобное.
А самое главное то что если пользователь вообще заведен в оу=Пипл, а заводился он допустим
только для вендодомена в инет вылезет, а я бы бабац группами все разрулил, мол нет его ни в какой так что логинся прально но без нету сиди.
Была еще идея создать роли, мол Сквид Юзер и цеплять ее пользователю, но я не могу переделать первый запрос чтобы по праемтру nsrole=cn=squid user,* он только отбирал.
Приму любую помощь. Поделитесь опытом как надо.
P/S
К SAMS - не отправлять,
Если форум смотрят фрюшники, представте что у вас православная не получает авторизацию на "помойке", а сервак не переустанвить только 389 порт
открыть, бэктрэк на линухе, а это не кошерно...
С ума уже схожу.