nixp.ru v3.0

17 января 2017,
вторник,
00:52:19 MSK

DevOps с компанией «Флант»
Anarchist написал 31 марта 2008 года в 14:17 (442 просмотра) Ведет себя как мужчина; открыл 258 тем в форуме, оставил 4097 комментариев на сайте.

Сволочи. С внедрением wiki совсем обленились и забили на документирование :(

Есть сервер FreeBSD 6.2, системная авторизация переделана на OpenLDAP-2.3.41, в LDAP’е живут не только обычные POSIX юзвери, но и Samba.

Там же живёт proxy-сервер SQUID 2.6.STABLE18

Сконфигурировать сквид для авторизованного доступа всех без ограничений — не вопрос:

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -v 3 -b "ou=Users,dc=mydomain,dc=ru" -D "uid=squid,ou=Services,dc=mydomain,dc=ru" -W /usr/local/etc/squid/passwd 127.0.0.1
acl ldapauth proxy_auth REQUIRED
http_access allow ldapauth
http_access deny all

Но вот когда ставится задача в зависимости от значения атрибута пользователя ограничивать или не ограничивать доступ в ресурсам Сети — приехали :(

http://wiki.squid-cache.org/SquidFaq/SquidAcl

и в частности

http://workaround.org/moin/SquidLdap

знаю.

Но последние рекомендации:

external_acl_type ldapgroup %LOGIN /usr/lib/squid/squid_ldap_group -b o=Company
   -f (&(objectclass=person)(cn=%v)(groupMembership=cn=%a,ou=Proxygroups,o=Company))
   -D cn=Tim,ou=IT-Services,o=Company -w timspassword -h ldapserver
acl ldapgroup-googleallowed external ldapgroup googleallowed
acl google dstdomain google.com
http_access deny google !ldapgroup-googleallowed

увы устарели и/или неполны.

Вопрос: как прописать acl, зависящий от значений в базе LDAP?

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.