El 20/11/2015 a las 14:29, "Ariochy Castiñeira Pilotos" escribió:
Colegas ya he probado todas sus opciones y estuve leyendo otros documentos
y todo es como me han estado diciendo, pero todavía sigue saliendo el
usuario a internet, estoy probando el criterio de adrian con ldap, creando
un grupo en ldap, estoy casi logrando loq ue quiero, pero ahora me ha
quitado la conexion para todos los demas usuarios este es un fragmento de
mi squid:
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b
"ou=users,dc=pinarx,dc=pri,dc=jovenclub,dc=cu"
auth_param basic children 5
auth_param basic realm Joven Club Pinar X (Ova)
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
##esta linea es la que me tiene con algunas dudas en cuanto a los
parametros como %LOGIN
external_acl_type LDAP_group %LOGIN /usr/lib/squid3/squid_ldap_group -b
"cn=intranet,ou=groups,dc=pinarx,dc=pri,dc=jovenclub,dc=cu"
La linea es así
external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R
-b "dc=pinarx,dc=pri,dc=jovenclub,dc=cu" -D
"cn=intranet,cn=Users,dc=pinarx,dc=pri,dc=jovenclub,dc=cu" -w
"contraseña del usuario intranet" -f
"(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=groups,dc=pinarx,dc=pri,dc=jovenclub,dc=cu))"
-h 192.168.0.2 #<------- ip del server ldap o samba4
##tampoco se si seran necesaria las 2
acl ldapauth proxy_auth REQUIRED
acl LDAP_group proxy_auth REQUIRED
esto no se pone acl LDAP_group proxy_auth REQUIRED, esolo la autenticación
acl ldaplimitado external LDAP_group intranet
acl horario time MTWHFA 10:00-12:00
http_access allow ldapauth
no tienes que poner esto sino cualquiera que se autentique le vas a dar
acceso, independientemente del grupo en que este.
creas acl ldapfull external LDAP_group internet
los que esta en la acl ldaplimitado son los miembros del grupo intranet
#http_access allow !ldaplimitado !horario
lo pones así
http_access allow ldaplimitado horario
con esto solo le das acceso si coinciden las dos acls, ldaplimitado y
que sea el horario fijado.
http_access allow ldapfull
aquí le das acceso a toda hora a los miembros de ldapfull.
http_access deny all
Deniegas todo lo demás.
esto es lo que tengo
Espero te sirva de ayuda. Salu2.
--
Ing. Arian Molina Aguilera
Administrador de Redes y Servicios Telemáticos
Nodo Central ARTex S.A. La Habana. Cuba.
Telfs: +53(7)2047874, +53(7)204-2710 ext 123
jabber: ar...@jabber.artex.cu
Linux Usuario Registrado #392892
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
