Filtragem de usuários por grupo do AD [RESOLVIDO]

1. Filtragem de usuários por grupo do AD [RESOLVIDO]

canofre
(usa Debian)

Enviado em 22/10/2014 - 17:23h

Boa Tarde a todos!

Bom gostaria de começar informando que já realizei inúmeras pesquisas e não encontrei o resultado ou não tive a capacidade de entender. Inclusive nos links abaixo do VOL mesmo:
http://www.vivaolinux.com.br/artigo/Squid-autenticando-no-Windows-utilizando-grupos-do-AD
http://www.vivaolinux.com.br/artigo/Squid-autenticando-em-base-Active-Directory?pagina=3

Tenho o Squid 3 autenticando no AD pelo método basic_ldap_auth devido a necessidade de exibir o pop-up para autenticação. Até ai tudo bem, porem não estou conseguindo filtrar os usuários pelos grupos do AD, informado que determinado grupo será bloqueado ou que não tem acesso a determinadas páginas.

As tentativas mais recentes foram assim:

external_acl_type grupos_ad %LOGIN /usr/lib/squid3/ext_ldap_group_acl -d -R -b "dc=dominio,dc=com,dc=br" -D userad@dominio.com.br -w senha -f sAMAccountName=%s -h 10.1.1.1
acl grupo_01 external grupos_ad Nome_do_Grupo_no_AD
http_access deny grupo_01

Na parte do filtro (-f), ja alterei por outros formatos como:

-f "(&(cn=%v)(memberof=cn=%a,ou=usuarios,dc=dominio,dc=com,dc=br))"
-f "(&(objectclass=person)(sAMAccountname=%v)(memberof=cn=%a,ou=usuarios,dc=dominio,dc=com,dc=br))"

Em qualquer um dos casos ele passa o usuário do grupo_01

0 0

Quote

2. Solução

canofre
(usa Debian)

Enviado em 12/11/2014 - 09:25h

Consegui resolver após tirar algumas dúvidas com o responsável pelo nosso AD.

1. Trecho do squid.conf que estava com problema e foi corrigido:

external_acl_type grupos_squid_ad ttl=360 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -d -R \
-b "dc=diminio,dc=com,dc=br" -D userad@dominio.com.br -w senha_userad \
-f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Grupos,dc=diminio,dc=com,dc=br))" \
-h 10.1.1.1

acl usuariosRedesSociais external grupos_squid_ad bloqueiaRedesSociais
acl usuariosVideosAudios external grupos_squid_ad bloqueiaStreaming

acl negarRedesSociais url_regex -i "/etc/squid3/listaRedesSociais"
acl negarVideosAudios url_regex -i "/etc/squid3/listaVideosAudios"

http_access deny usuariosRedesSociais negarRedesSociais
http_access deny usuariosVideosAudios negarVideosAudios

2. O problema: os grupos que precisam ser criados devem ser dentro da "OU" que será pesquisada, no caso os grupos bloqueiaRedesSociais e bloqueiaStreaming foram criados dentro da OU=Grupos, a partir dai passou a funcionar corretamente.

0 0

Quote