Re: [CentOS-es] OpenVPn
On Wed, 2008-07-16 at 16:51 -0700, Rene Chirivi wrote: Estoy configurando OPENVPN via Road Warrior, tengo mi servidor OPENVPN el una ubiciacion y tengo un cliente xp que se conecta desde su casa y que quiere conectarse a la red donde se encuentra el servidor vpn, el usario se conecta mediante el OPENVPN GUI. pero solamente puedo hacer ping hacia las maquinas de mi red pero no puedo acceder a los recuros compartidos que es lo en realidad necesito. asumo por recursos compartidos q te refieres a carpetas compartidas e impresoras en una red windows. no explicas si esos recursos los compartes via samba o via windows. Si es via samba, tienes q indicarle a samba via la opcion interfaces q debe escuchar peticiones q vengan de tu red vpn para permitir acceder recursos. Si son windows tus sistemas y no tienes un servidor WINS de por medio el broadcast no funciona entre tu red vpn y tu red local, ten eso en cuenta. -- Black Hand ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Internet con Squid por medio de Ldap
O. T. Suarez escribió: Hola: Sabes que estuve todo el dia intentando solucionar esto, pero no lo consigo.. me da siempre ERR. bien! esta claro que es una de dos, o da OK o da ERR Eso no es malo, solo que seguiremos hasta que de OK sobre el detalle del que me haablar.. a que documentacion te referis? pero hay algo que si es cierto.. en ninguna parte del servidor he configurado algun usuario para que pueda ingresar al ldap, aclaro que el servidor ldap, es un servidor externo, y anda fenomenal. ya que lo uso para autenticar los equipos con windows, como libreta de direcciones del correo, autenticacion de correo (qmail), y como autenticacion para samba, para un servidor de archivos. Pero no se si es que tengo que agregarle algun schema para que me funcione con squid. o algo de eso. No, no hace falta ningun esquema. Pero el ldap, almacena mucha informacion. Alguna de ellas, el mejor ejemplo: contraseñas. Por eso, y voy a hablar del openldap que es el que conozco, utiliza ACLs. De esta manera, puedes permitir distintos niveles de accesos a distintas ramas del directorio. Hay accesos anonimos, y accesos autentificados. Cada ldap server tiene su propia configuracion. Para colmo, ldap viaja en texto plano, tendrias que utilizar ldaps. Yo trabaja local, y utilizaba las credenciales del administrador del openldap para loguearme y verificar eso. No es lo correcto, pero me funcionaba. Para hacer busquedas, tienes que tener un usuario que este autorizado (me refiero por completo al ldap). El openldap te guarda la configuracion del servidor en slapd.conf mientras que en ldap.conf se almacenan los datos que utilizara el sistema cuando intentes acceder a un ldap server como cliente, digamos, con el comando ldapsearch. Es la diferencia entre un /etc/my.cnf y un .mysqlrc. Por eso te insistia en que le dedicaras tiempo a utilizar ldapsearch, te ayudara a entender como funciona ldap, y por ahi, que esta pasando. ok, el tema es que no se en que parte del squid tengo que decirle que para acceder al ldap lo tiene que hacer por ejemplo con el usuario cn=admin,dc=imcanelones,dc=gub,dc=uy y alguna contraseña, para que pueda tener permisos. en realidad no tengo interes que exita el usuario, solamente con que pertenezca al grupo cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy me conforma para que pueda salir a internet. Entonces, las consultas al ldap server, las haras con las credenciales de un usuario que pueda acceder a esa rama del arbol. y la base de busqueda seria ou=Groups,dc=imcanelones,dc=gub,dc=uy me En realidad creo que mi base de busqueda es ou=users,dc=imcanelones,dc=gub,dc=uy porque es ahi donde tengo los usuarios, debajo de ou=Groups,dc=imcanelones,dc=gub,dc=uy tengo muchos cn que son grupos, entre ellos uno que se llama Internet donde estan escrito los usuarios que quiero que accedan a internet como puedo utilizar el ldapsearch desde el servidor donde tengo squid? ya que no tengo instalado ldap ahi, gracias instalalo, si no ahi, en algun otro lado. es que tienes que tener ldap, sino, el squid no te funcionaria. cuando digo ldap, por supuesto, es la parte cliente, no servidor. man ldapsearch o directamente, busca ejemplos de uso en google. Perdon por lo duro que soy, pero sigo sin entender el objetivo que usar ldapsearch, se que la idea es para ver que puedo acceder a los usuarios haciendo las consultas. Pero por ejemplo, me puse a intentar probar consultar los usuarios desde el servidor donde tengo instalado ldap, y llego a ellos sin problemas.. Otro tema, es que cuando en el squid, solo mantengo la regla de que me deje acceder a los equipos que estan en la lan, autenticandolos con contraseña, ahi me funciona bien el acceso a ldap, porque me pide usuario y contraseña y este sirve.. pero me lo deja para cualquier usuario de ldap y no solo para los que esten en el grupo Internet. osea, estas reglas por si solas andan, auth_param basic program /usr/lib/squid/squid_ldap_auth -b ou=users,dc=imcanelones,dc=gub,dc=uy -h 10.1.1.25 -f (uid=%s) acl lan src 10.1.1.0/255.255.255.0 http_access allow lan password el problema es cuando intento agregar lo del grupo... sambaLMPassword: * sambaNTPassword: userPassword: * por las dudas cambia esos passwd ;) Saludos Osvaldo ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Internet con Squid por medio de Ldap
Bueno, te cuento algunos avances... 1º- la parte d ela autenticacion, esta funcionando bien, si ejecuto lo siguiente: /usr/lib/squid/squid_ldap_auth -b ou=users,dc=imcanelones,dc=gub,dc=uy -h 10.1.1.25 -f uid=carlos.moreira -w micontraseña OK Asi que me esta autenticando sin problemas, despues cuando ejecuto el script de la autenticacion de grupo tengo lo siguiente tambien /usr/lib/squid/squid_ldap_group -P -b cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy -f memberuid=carlos.moreira -B ou=users,dc=imcanelones,dc=gub,dc=uy -F uid=carlos.moreira -h 10.1.1.25 -w micontraseña OK por lo que puedo inferir que tambien estoy autenticando bien la pertenencia al grupo El problema es cuando llevo esto al squid.conf el primero, descarto que tenga problemas, porque solito funciona bien. el tema es con lo del grupo esto es lo que tengo escrito: external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy -f (memberuid=%s) -B ou=users,dc=imcanelones,dc=gub,dc=uy -F (uid=%s) -h 10.1.1.25 acl lan src 10.1.1.0/255.255.255.0 acl internet_users external ldap_group http_access deny !internet_users http_access allow lan password Si yo comento http_access deny !internet_users puedo salir a internet sin problemas autenticandome con cualquier usuario de ldap, pero si dejo descomentada esa linea, no hay usuario de ldap que me permita salir. O. T. Suarez escribió: Hola: ok, el tema es que no se en que parte del squid tengo que decirle que para acceder al ldap lo tiene que hacer por ejemplo con el usuario cn=admin,dc=imcanelones,dc=gub,dc=uy y alguna contraseña, para que pueda tener permisos. La verdad, no he tenido tiempo de buscar la documentacion del modulo, el fin de semana si todavia no has resuelto el problema, googleo un poco a ver si te puedo ayudar con algo mas concreto. Si no sabes donde decirselo al squid, lo mas probable es que lo este tomando del fichero ldap.conf (man ldap.conf te responde algo?, no tengo ldap instalado en mi maquina ahora). Pero que te quede claro algo, el squid, o en este caso, el authenticacion helper, no es mas que un cliente que accede al arbol ldap, y como tal, tendra acceso a aquellas partes del arbol que tiene permisos. En realidad creo que mi base de busqueda es ou=users,dc=imcanelones,dc=gub,dc=uy porque es ahi donde tengo los usuarios, debajo de ou=Groups,dc=imcanelones,dc=gub,dc=uy tengo muchos cn que son grupos, entre ellos uno que se llama Internet donde estan escrito los usuarios que quiero que accedan a internet Estamos de acuerdo que el squid va a autenticar a los usuarios con su nombre/contrasenna tal como estan en ou=users, pero la pertenecencia al grupo la tiene que sacar de algun lado no? por eso ... ok, vamos a googlear... primero la pagina man http://linux.die.net/man/8/squid_ldap_auth de ahi veo que pudiera ser algo vagamente similar a: squid_ldap_auth -P -R -b dc=your,dc=domain -D cn=squid,ou=users,dc=imcanelones,dc=gub,dc=uy -w secretsquidpassword -f ((memberof=ou=Groups,dc=imcanelones,dc=gub,dc=uy)(objectClass=Person)) ldapserver donde en el directorio ldap tendrias un usuario llamado squid con passwd secretsquidpassword. Necesita un usuario para loguearte en el directorio ldap y hacer las busquedas. como probar el authentication helper desde la linea de comando: http://www.cyberciti.biz/tips/howto-configure-squid-ldap-authentication.html ejemplo de uso de grupos: http://www.papercut.com/kb/Main/ConfiguringSquidProxyToAuthenticateWithActiveDirectory tirale un vistazo a este thread http://www.mail-archive.com/[EMAIL PROTECTED]/msg33711.html y a este http://www.squid-cache.org/mail-archive/squid-users/200404/0140.html esta version esta vieja ya pero fijate http://group-ldap-auth.sourceforge.net/squid/group_ldap_auth/index.html te hablan de dos lineas en la configuracion del squid... una para el programa como tal que utilizas de authentication helper: ldap_auth_program /usr/local/squid/bin/group_ldap_auth o=siroe.com \ ldap.siroe.com 389 y la otra para que el squid lo utilice como acl: To tell squid to use ldap_auth, use the ldap_auth acl directive: acl aclname ldap_auth (((static | dynamic) group) | username) ... Espero que algo de esto te sirva. Saludos Osvaldo ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Internet con Squid por medio de Ldap
O. T. Suarez escribió: el primero, descarto que tenga problemas, porque solito funciona bien. el tema es con lo del grupo esto es lo que tengo escrito: external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy -f (memberuid=%s) -B ou=users,dc=imcanelones,dc=gub,dc=uy -F (uid=%s) -h 10.1.1.25 acl lan src 10.1.1.0/255.255.255.0 acl internet_users external ldap_group http_access deny !internet_users http_access allow lan password Si yo comento http_access deny !internet_users puedo salir a internet sin problemas autenticandome con cualquier usuario de ldap, pero si dejo descomentada esa linea, no hay usuario de ldap que me permita salir. el detalle es este, http_access deny !internet_users ahi niegas acceso a todos los que no esten en el grupo internet_users http_access allow lan password ahi permites a los del grupo lan y ... donde permites a los que estan en el grupo internet_users? entiendes ese detalle? no seria asi?: http_access allow internet_users http_access allow lan password http_access deny all sls osvaldo Aca esta andando ahora... osea me pide usuario y contraseña y me permite entrar, el tema es que me permite entrar con cualquier usuario y contraseña, osea, si es un usuario de ldap me deja entrar a internet, pero creo que el tema ahora debe estar en arreglar el tema de login para que tome en cuenta a los que pertenecen al grupo muchas gracias por la ayuda.. una consuta, si yo saco la opcion http_access allow lan password esto lo que me hace, es que solamente los usuarios que pertenecen al grupo pueden entrar no?? sin importar desde que red lo hagan.. porque si pongo esta opcion, tampoco me permite.. pero me da un error distinto.. les copio el mensaje de error que me devuelve el explorador The following error was encountered: * *Access Denied. * Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect. Your cache administrator is root mailto:root. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Internet con Squid por medio de Ldap
external_acl_type ldap_group children=7 %LOGIN /usr/lib/squid/squid_ldap_group -P -b cn=Internet,ou=Groups,dc=imcanelones,dc=gub,dc=uy -f (memberuid=%s) -B ou=users,dc=imcanelones,dc=gub,dc=uy -F (uid=%s) -h 10.1.1.25 -f filter LDAP search filter used to search the LDAP directory for any matching group memberships. In the filter %u will be replaced by the user name (or DN if the -F or -u options are used) and %g by the requested group name. -F filter LDAP search filter used to search the LDAP directory for any matching users. In the filter %s will be replaced by the user name. If % is to be included literally in the filter then use %%. tomado de http://linux.die.net/man/8/squid_ldap_group Si te fijas, en el squid.conf tienes los dos tipos de filtros.. por un lado: -f (memberuid=%s) y por el otro: -F (uid=%s) hacen falta los dos? creo que con el primero te bastaria... sino, el segundo va a validar el usuario como valido y le va a dar acceso. A la linea que tienes en el squid ahora quitale la parte -F y mira a ver que pasa... una consuta, si yo saco la opcion http_access allow lan password esto lo que me hace, es que solamente los usuarios que pertenecen al grupo pueden entrar no?? sin importar desde que red lo hagan.. porque si pongo si, debiera ser como dices. el usuario se autentifica con el ldap, no importa la red desde donde se conecte. revisa las trazas del squid y postea el error que te sale ahi (seguro va a ser mas explicativo que el de la pagina web al usuario). Saludos Osvaldo ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] OpenVPn
ok veamos. Aparte de tu servidor vpn, tienes algun firewall/gateway por donde salen tus equipos a Internet? asumiendo que sea asi, y como puedes hacer ping a las pcs de tu red local, lo unico que te falta es aperturar en tu firewall el puerto TCP/445 solo y unicamente para las conecciones que vienen desde el vpn, el cual te permite acceder a los recursos compartidos de tu red windows. pruebalo y nos avisas. seria recomendable, para mas adelante busques una manera de configurar tu servidor vpn con algun tipo de autenticacion. suerte Hola Martin Muchas gracias por tu respuesta primero que todo Estoy configurando OPENVPN via Road Warrior, tengo mi servidor OPENVPN el una ubiciacion y tengo un cliente xp que se conecta desde su casa y que quiere conectarse a la red donde se encuentra el servidor vpn, el usario se conecta mediante el OPENVPN GUI. pero solamente puedo hacer ping hacia las maquinas de mi red pero no puedo acceder a los recuros compartidos que es lo en realidad necesito. espero me haya explicado bien y me puedas colaborar muchas gracias rene chirivi - Mensaje original De: Martin - SofPc [EMAIL PROTECTED] Para: centos-es@centos.org Enviado: miércoles, 16 de julio, 2008 12:35:36 Asunto: Re: [CentOS-es] OpenVPn Hola Rene, me queda algunas dudas, tu configuraste tus servidores openvpn, pero desde donde a donde estas haciendo ping, te hace ping cualquier terminal de una de tus resdes a la otra terminal de tu otra red? En que modo tenes configurada la VPN? Martin 2008/7/15 Rene Chirivi [EMAIL PROTECTED]: Buenas tardes, ya logre configurar mi openvpn pero solamente puedo hacer ping a las maquinas mas no puedo acceder a los recuros que tengo en mi red donde esta el servidor VPN, no se si toque hacerle alguna configuración especial de mis clientes winxp o al servidor VPN Agradezo su ayuda rene chirivi Yahoo! MTV Blog Rock ¡Cuéntanos tu historia, inspira una canción y gánate un viaje a los Premios MTV! Participa aquí http://mtvla.yahoo.com/ ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es -- Martin Peirano Yahoo! MTV Blog Rock ¡Cuéntanos tu historia, inspira una canción y gánate un viaje a los Premios MTV! Participa aquí http://mtvla.yahoo.com/ ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es Analizado por ThMailServer para Linux. Analizado por ThMailServer para Linux. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es