Re: [Gutl-l] problema con Squid y Autentificacion LDAP

Frank Ernesto Morales Quiroga Sat, 30 Oct 2010 09:59:30 -0700

Carlos prueba estas opciones..

authenticate_cache_garbage_interval 1 hour
authenticate_ttl 1 hour
authenticate_ip_ttl 0 seconds




Carlos Sosa escribió:


Hola lista,

Mira tengo el siguiente problema con el Squid y la Autentificacion deLDAP, la cosa es que todo funciona bien los usuarios navegan todos sinproblemas y demas usando sus usuarios con sus limitantes por grupos ydemas. La cosa es que cuando el usuarios trata de entrar a un sitio ourl que no tiene acceso, el proxy le pide de forma infinita que seautentifique, hasta el usuario decide cancelar la solicitud y entoncesel proxy le da error de que no esta autentificado. Cuando yo le tengoestablecido un deny_info para los accesos denegados.


Aqui les doy una copia del conf del squid.

--
#################################################
#         CONFIGURACION SQUID        #
#################################################

#    Puertos
http_port 3128

#    Configuraciones Varias
error_directory /usr/share/squid3/errors/Spanish
visible_hostname proxy.ipichoh.rimed.cu
coredump_dir /var/spool/squid

#    Cache Padre
# Internacional
cache_peer 200.55.134.5 parent 3128 0 default
#Nacional
cache_peer 200.55.190.210 parent 3128 0 default
#Peer Domain
cache_peer_domain 200.55.134.5    !.cu
cache_peer_domain 200.55.190.210 !.com !.org !.net !.es !.ar !.cz

#    ConfiguraciÃ³n por Defecto
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
#    Configuracion FTP
ftp_passive off
ftp_sanitycheck on

#    Memoria Asignada al SQUID
cache_mem 512 MB

#CACHE
#    Tamano maximo de objetos almacendos en Cache
maximum_object_size 25600 KB
maximum_object_size_in_memory 1024 KB
#    Configuracion Cache
cache_replacement_policy heap LFUDA
memory_replacement_policy heap GDSF
cache_dir ufs         /var/spool/squid 3000 16 256
cache_access_log     /var/log/squid/access.log squid
cache_log         /var/log/squid/cache.log
cache_store_log     /var/log/squid/store.log
cache_mgr sopo...@ipichoh.rimed.cu
logfile_rotate 52
#    Configuracion de Refresco de Cache
refresh_pattern -i \.iso$    2880 80% 30240
refresh_pattern -i \.deb$    2880 80% 30240
refresh_pattern -i \.tar.gz$ 2880 80% 30240
refresh_pattern -i \.gz$     2880 80% 30240
refresh_pattern -i \.bz2$    2880 80% 30240
refresh_pattern -i \.exe$    2880 80% 30240
refresh_pattern -i \.jpg$    2880 80% 30240
refresh_pattern -i \.jpeg$   2880 80% 30240
refresh_pattern -i \.gif$    2880 80% 30240
refresh_pattern -i \.zip$    2880 80% 30240
refresh_pattern -i \.pdf$    2880 80% 30240
refresh_pattern -i \.doc$    2880 80% 30240
refresh_pattern -i \.ppt$    2880 80% 30240
refresh_pattern -i \.pps$    2880 80% 30240
refresh_pattern -i \.dll$    2880 80% 30240
refresh_pattern -i \.rar$    2880 80% 30240
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern .        0    20%    4320
# Cache Manager
acl manager proto cache_object
http_access allow manager all

#    Configuracion Autentificacion
#Times of life
authenticate_ip_ttl 5 minutes
authenticate_cache_garbage_interval 1 hour
#Basic
auth_param basic children 5
auth_param basic realm Servidor Proxy IPICHOH!
auth_param basic credentialsttl 5 minutes
auth_param basic casesensitive off

auth_param basic program /usr/lib/squid3/squid_ldap_auth -hldap.ipichoh.rimed.cu -b dc=ipichoh,dc=rimed,dc=cu -v3 -f(&(uid=%s)(objectClass=gosaProxyAccount))

#External Groups

external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group-R -b ou=Groups,dc=ipichoh,dc=rimed,dc=cu -v3 -f"(&(objectClass=posixGroup)(cn=%g)(memberUid=%u))" -hldap.ipichoh.rimed.cu


#    Configuracion de Acceso
# IPs de origen
acl ipi_serv    src    "/etc/squid3/acls/ip-serv"
acl ipi_nodc    src    "/etc/squid3/acls/ip-noauth"
acl ipi_deny    src    "/etc/squid3/acls/ip-deny"

#     ACL De Dominios
acl cuba    dstdomain .cu
acl rimed   dstdomain .rimed.cu
acl rimedi  dst          192.168.0.0/16
acl ipi     dstdomain .ipichoh.rimed.cu
acl nodo_oh dstdomain nodo-oh.ipichoh.rimed.cu

#    Grupos
acl usuario_basico    external ldap_group internacional
acl usuario_nac        external ldap_group nacional
acl usuario_full    external ldap_group full

#    ACL de redes
# Basicos
acl manager      proto cache_object
acl localhost    src   127.0.0.1/255.255.255.255
# Puertos
acl SSL_ports  port   443 563 5222 5280
acl Safe_ports port   21 80 443 5222 443 5280 8080 3128
acl purge      method PURGE
acl CONNECT    method CONNECT

# Sitos a la Navegacion

acl internacional_basica dstdomain"/etc/squid3/acls/internacional-basica"

acl nacional_deny        dstdomain "/etc/squid3/acls/nacional-deny"

acl nacional_deny_regex url_regex"/etc/squid3/acls/nacional-deny-regex"

acl tematica            dstdomain "/etc/squid3/acls/tematica"

# Tipo de archivos y sitios con baja transferencia

acl tipos_ext urlpath_regex -i"/etc/squid3/acls/tipos-ext-lowrate"acl tipos_mime_rep rep_mime_type"/etc/squid3/acls/tipos-mime-lowrate"acl tipos_mime_req req_mime_type"/etc/squid3/acls/tipos-mime-lowrate"

acl sitios_slow        dstdomain        "/etc/squid3/acls/slow-sites"
acl nod32        url_regex        ^(ftp|http|https)://.*nod32v3.*zip$
acl nod32        url_regex        .*nup$

#Auth
#IPs
acl usuariosip max_user_ip 2
#acl password
acl password proxy_auth REQUIRED
#SQUISH
acl SQUISHED1 proxy_auth -i    "/etc/squid/squished"
#Especiales
acl extra     proxy_auth -i    "/etc/squid3/acls/extra"

# Declaracion de Permisos
#NO PASS para pcs
http_access deny  password nodo_oh
http_access deny  password ipi_nodc
http_access allow password all
#Nopass
#Localhost
http_access allow localhost all
http_access allow ipi_nodc  all

# IPs denegadas
http_access deny ipi_deny all

#PORTos
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# No IPI.rimed.cu
http_access allow all nodo_oh
http_access deny  all ipi

#Cuota
http_access deny SQUISHED1

#Una ip por usuarios
#http_access deny usuariosip all !ipi_nodc

# Sitios nacionales no Autorizados
http_access deny usuario_nac        nacional_deny !extra
http_access deny usuario_basico        nacional_deny !extra
http_access deny usuario_nac        nacional_deny_regex !extra
http_access deny usuario_basico        nacional_deny_regex !extra
http_access deny usuario_nac        nod32
http_access deny usuario_basico        nod32

# Cuba
http_access allow usuario_nac        cuba
http_access allow usuario_nac         tematica
http_access allow usuario_basico    cuba

# Sitios internacionales
http_access allow usuario_basico    internacional_basica

# Denegar todo los accesos
http_access deny usuario_nac        all !extra
http_access deny usuario_basico        all !extra

# Usuarios con accesso completo
http_access allow usuario_full        all
http_access allow extra            all

#Deniego el Resto del Mundo
#http_access deny all

#http_reply_access deny all
#icp_access deny all

# Deny Info
deny_info http://nodo-oh.ipichoh.rimed.cu/?page_id=9  SQUISHED1
deny_info http://nodo-oh.ipichoh.rimed.cu/?page_id=9  SQUISHED3
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=42       ipi
deny_info http://nodo-oh.ipichoh.rimed.cu/?page_id=52 all
deny_info http://nodo-oh.ipichoh.rimed.cu/?page_id=52 password
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=64       nacional_deny
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=64       nacional_deny_regex
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=66       domain_pc
deny_info http://nodo-oh.ipichoh.rimed.cu/?p=79       nod32

# Delays Pools
# Defino para 4 Canales y uno por tipos mime/ext
# NOTA: +1 Para prueba con delay class 4
delay_pools 4

#Canal 1 Laboratorios
delay_class 1 4
# Parametros 12Kb/s-512Kb 8Kb/s-512Kb 5/Kbs-2Mb
delay_parameters 1 12288/32768 8192/32768 5120/32768 5120/32768

#Canal 2 Full Access
delay_class 2 4
#delay_parameters 2 20480/262144 15360/512000 10240/1048576 10240/1048576
delay_parameters 2 -1/-1 -1/-1 30240/32768 30240/32768

#Canal 3 Descargas
delay_class 3 3
delay_parameters 3 7168/32768 -1/-1 2560/32768

#Canal 4 Slow Sites
delay_class 4 3
delay_parameters 4 3000/32768 -1/-1 1000/32768

#Delay Especificaciones
delay_initial_bucket_level 1 75%

# Redes por Delay
delay_access 1 deny tipos_ext
delay_access 1 deny sitios_slow
delay_access 1 allow usuario_nac
delay_access 1 allow usuario_basico
delay_access 1 deny all

delay_access 2 allow usuario_full
delay_access 2 allow ipi_nodc
delay_access 2 deny all

delay_access 3 deny usuario_full
delay_access 3 deny ipi_nodc
delay_access 3 allow tipos_ext
delay_access 3 deny all

delay_access 4 deny usuario_full
delay_access 4 deny ipi_nodc
delay_access 4 deny tipos_ext
delay_access 4 allow sitios_slow
delay_access 4 deny all

# Direccionamiento de los pedidos
always_direct allow rimed rimedi
never_direct allow all
--

Les agradeceria su ayuda.

Atte.

Carlos Sosa

______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l



--
Frank Ernesto Morales Quiroga alias "NEt"
................................................................
Administrador, Nodo Nacional de los C.D.R
Redes & Comunicaciones
Vedado, Ciudad La Habana, Cuba

Web-Site: http://www.cdr.cu
  Email: fr...@cdr.cu
 Jabber: fr...@cdr.cu
   Telf: (07) 8367372
--
GNU/Linux Debian  6.0 alias "Squeeze"
...............................................................
"Conseguirás lo que quieras si no tienes miedo ..."
"El conocimiento humano pertenece al mundo..."
...............................................................




______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l

Re: [Gutl-l] problema con Squid y Autentificacion LDAP

Reply via email to