search
Logo

by www.babydo.de
external_acl_type ldapgroup

By André, on 11-01-2008 01:00

Views : 1392

Favoured : 76

Published in : Software, Squid Proxy

Squid und Gruppenrechte aus einer Windows2003 ADS über LDAP

Ziel war es gewisse URLs (Ebay, Youtube etc pp) nur einem gewissen Teil der Benutzer zugänglich zu machen.
Als erstes musste eine neue OU namens Squid in die die ADS gebaut werden, in Diese OU legte ich dann neue Gruppen an, in denen die Benutzer waren, die auf diese URLs zugreifen dürfen (vorzugsweise heissen die Gruppen so, wie die URL die sie erlaubt).

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "OU=OU,DC=domäne,DC=de" -D "cn=Account,cn=der,dc=sich,dc=bei ldap anmedet" -w "Passwort des Accounts" -f "(&(objectClass=Person)(sAMAccountName=%s))" -u sAMAccountName -P -h 123.456.789.000 IP des Katalogservers (wichtig ist hier, dass ein katalog server der ADS angegeben wird!)

external_acl_type ldapgroup ttl=600 children=12 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v3 -b "OU=XXX,DC=XXX,DC=XX" -D "CN=squid,CN=users,DC=XXX,DC=XX" -w "XXXXX" -h 123.456.789.000 -f "(&(objectClass=User)(sAMAccountName=%u)(memberOf=CN=%g,OU=Squid,DC=XXX,DC=XX))" -d

hier nun das stück Software, die die Abfrage einer Gruppenmitgliedschaft ermögtlicht squid_ldap_group

external_acl_type ldapgroup ttl=2 children=12 %LOGIN /usr/local/libexec/squid/squid_ldap_group -v3 -b "DC=domäne,DC=de" --> hier angeben wo die benutzer in der ads gesucht werden sollen -D "CN=Benutzer,OU=der,OU=sich,DC=an,DC=LDAP anmeldet" -w "sein passwort" -->kann der gleiche account wie bei squid_ldap_auth sein -h 123.456.789.000 --> IP des ADS-LDAP-SERVERS hier wichtig, dass es der Betriebsmaster der Domäne ist-f "(&(objectClass=User)(sAMAccountName=%u)(memberOf=CN=%g,OU=WO,OU=Die,DC=Gruppen,DC=Sind)) -D -->hier angeben, wo die neue OU mit den Gruppen ist

das war das grundgerüst...nun noch die acls...

als erstes hab ich mir eine datei erzeugt, die ldap-urls.acl heisst, in dieser stehen urls die man nicht betreten darf z.b. youtube.com

acl ldap-urls url_regex "/usr/local/etc/squid/ldap-urls.acl -->squid sagen, welche datei er durchsuchen soll

acl ldapgroup-enabled external ldapgroup youtube --> hier sagen wir squid, welche ADS Gruppe durchsucht werden soll

http_access deny ldap-urls !ldapgroup-enabled --> und nun den Zugang auf grundsätzlich beschränken, es sei denn der benutzer ist in der Gruppe youtube

das war auch nicht wirklich schwer...nur nen bisserl tricky... :-)

 

 

Last update: 20-04-2009 14:01
User comments Quote this article in website Favoured Read more...
 

Amazon Suche

Suchen nach:
Amazon-Logo

Google AdSense
We have 1 guest online
Valid XHTML and CSS