 ldapsearch блоикровка,  Ninjatrasher, 12-Май-14, 15:36 [смотреть все]Добрый день. Проблема в следующем В наличии Debian + Squid 1.4 + SquidGuard Настраиваю в SquidGuard доступ группы Pol-squidGuard-SocialNetwork-Allowed для доступа к соц.сетям. ACL не срабатывает и сбрасывается на default. Но если в Acl прописывать user имяпользователя, то все срабатывает. В логах сквидгард пишет Added LDAP source:username, то есть вроде как он пользователя из группы подхватывает. Посмотрите пожалуйста свежим взглядом на конфиг и направьте в какую сторону капать. Конфиг SquidGuard: #
# CONFIG FILE FOR SQUIDGUARD
# dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/log
ldapbinddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
ldapbindpass пароль
ldapcachetime 300 src socialnet_allowed {
ldapusersearch ldap://s-msk00-gdc01.ylrus.com:3268/dc=ylrus,dc=com?sAMAccountName?sub?(&(memberof=CN=pol-squidGuard-SocialNetwork-Allowed,OU=Groups,DC=ylrus,DC=com)(sAMAccountName=%s))
}
dest porn {
domainlist porn/domains
urllist porn/urls
redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
} dest socialnetwork { domainlist socialnet/domains
urllist socialnet/urls
redirect http://www.foo.bar/squidGuard.cgi?clientaddr=%a&clientn... } acl {
socialnet_allowed {
pass !porn socialnetwork
redirect http://www.foo.bar/allblocked.html
}
default {
pass !porn !socialnetwork
redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
}
}
|
- ldapsearch блоикровка, Ninjatrasher, 18:58 , 12-Май-14 (1)
Вот что пишется в логах SquidGard:2014-05-12 18:54:35 [10213] New setting: dbhome: /usr/local/squidGuard/db
2014-05-12 18:54:35 [10213] New setting: logdir: /usr/local/squidGuard/log
2014-05-12 18:54:35 [10213] New setting: ldapbinddn: CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
2014-05-12 18:54:35 [10213] New setting: ldapbindpass: пароль
2014-05-12 18:54:35 [10213] New setting: ldapcachetime: 300
2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/porn/domains
2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/domains.db
2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/porn/urls
2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/urls.db
2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/socialnet/domains
2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10213] squidGuard 1.4 started (1399906475.758)
2014-05-12 18:54:35 [10213] squidGuard ready for requests (1399906475.776)
2014-05-12 18:54:35 [10214] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10214] squidGuard 1.4 started (1399906475.762)
2014-05-12 18:54:35 [10214] squidGuard ready for requests (1399906475.782)
2014-05-12 18:54:35 [10212] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10212] squidGuard 1.4 started (1399906475.759)
2014-05-12 18:54:35 [10212] squidGuard ready for requests (1399906475.783)
2014-05-12 18:54:36 [10009] Added LDAP source: esovetov
2014-05-12 18:55:00 [10009] Added LDAP source: stryuk Хотя в группе, которая указана в ldapusersearch по факту только esovetov. Не понимаю в чем. Очень прошу указания в какую сторону капать или указание на фактическую ошибку в конфиге. >[оверквотинг удален]
> acl {
> socialnet_allowed {
> pass !porn socialnetwork
> redirect http://www.foo.bar/allblocked.html
> }
> default {
> pass !porn !socialnetwork
> redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
> }
> }
- ldapsearch блоикровка, Ninjatrasher, 22:02 , 13-Май-14 (2)
Путем проб и ошибок, докопался, что не срабатывает механизм ldapsearch и все сваливается на дефолтный acl.
Если у кого нибудь есть информация или линк где почитать как правильно настроить slapd и ldap.conf буду очень признателен.>[оверквотинг удален]
>> acl {
>> socialnet_allowed {
>> pass !porn socialnetwork
>> redirect http://www.foo.bar/allblocked.html
>> }
>> default {
>> pass !porn !socialnetwork
>> redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
>> }
>> }
- ldapsearch блоикровка, ipmanyak, 14:43 , 14-Май-14 (3)
- ldapsearch блоикровка, Ninjatrasher, 18:28 , 14-Май-14 (4)
спасибо за ссылки.сейчас проблема перешла в другую стадию. через Webmin настроил Ldap client к основной базе AD на Windows Server2008 r2. Через Webmin показывается весь каталог. Но Ldapsearch по прежнему не работает. Не понимаю в чем дело, вот конфиг ldap.conf #
# LDAP Defaults
# # See ldap.conf(5) for details
# This file should be world readable but not world writable. #BASE dc=example,dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666 #SIZELIMIT 12
#TIMELIMIT 15
#DEREF never # TLS certificates (needed for GnuTLS)
TLS_CACERT /etc/ssl/certs/ca-certificates.crt host s-msk00-gdc01.ylrus.com
uri ldap://s-msk00-gdc01.ylrus.com
binddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
bindpw Passw0rd
base DC=ylrus,DC=com
ldap_version 3 То есть при таком конфиге, через WebMin Ldap clients показывает содержимое AD. А если запускать ldapsearch, то выдает ошибку DSID-0C0906E8. Погуглив выяснил, что нужно запустить slapd, запускаю, ситуация не меняется. Есть идеи как это побороть? > Может не в тему, но возможно поможет прояснить проблемы
> http://samag.ru/archive/article/204
> http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
> http://system-administrators.info/?p=3299
- ldapsearch блоикровка, Ninjatrasher, 18:10 , 15-Май-14 (5)
Проблема перешла в новую стадию. Настроил Sladp proxy к AD, ldap search отрабатывает хорошо, ищет пользователей.Но СквидГард пишет следующиее:
manager@vs-msk00-prx02:~$ squidGuard -d
2014-05-15 18:02:59 [58152] New setting: dbhome: /usr/local/squidGuard/db
2014-05-15 18:02:59 [58152] New setting: logdir: /usr/local/squidGuard/log
2014-05-15 18:02:59 [58152] New setting: ldapbinddn: CN=svcsquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
2014-05-15 18:02:59 [58152] New setting: ldapbindpass: Passw0rd
2014-05-15 18:02:59 [58152] New setting: ldapcachetime: 300
2014-05-15 18:02:59 [58152] init domainlist /usr/local/squidGuard/db/porn/domains
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/porn/domains.db
2014-05-15 18:02:59 [58152] init urllist /usr/local/squidGuard/db/porn/urls
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/porn/urls.db
2014-05-15 18:02:59 [58152] init domainlist /usr/local/squidGuard/db/socialnet/domains
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/socialnet/domains.db
2014-05-15 18:02:59 [58152] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/socialnet/urls.db
2014-05-15 18:02:59 [58152] squidGuard 1.4 started (1400162579.157)
2014-05-15 18:02:59 [58152] squidGuard ready for requests (1400162579.160)
http://www.yandex.ru 172.18.2.76- esovetov@ylrus.com GET
2014-05-15 18:03:30 [58152] squidGuard: ldap_search_ext_s failed: Operations error (params: dc=ylrus,dc=com, 2, (&(sAMAccountName=esovetov@ylrus.com)(memberOf=CN=pol-squidGuard-SocialNetworks-Alloew,OU=Location1,OU=Groups,DC=ylrus,DC=com)), sAMAccountName)
2014-05-15 18:03:30 [58152] Added LDAP source: esovetov@ylrus.com
2014-05-15 18:03:30 [58152] source not found
2014-05-15 18:03:30 [58152] no ACL matching source, using default
http://www.yandex.ru 172.18.2.76- esovetov GET
2014-05-15 18:04:00 [58152] squidGuard: ldap_search_ext_s failed: Operations error (params: dc=ylrus,dc=com, 2, (&(sAMAccountName=esovetov)(memberOf=CN=pol-squidGuard-SocialNetworks-Alloew,OU=Location1,OU=Groups,DC=ylrus,DC=com)), sAMAccountName)
2014-05-15 18:04:00 [58152] Added LDAP source: esovetov
2014-05-15 18:04:00 [58152] source not found
2014-05-15 18:04:00 [58152] no ACL matching source, using default Причем если я в SCR пишут user esovetov, все отрабатывает как надо. Подскажите в чем проблема? понимаю, что где не правильно составлен запрос. Уже перепробовал около 7-10 вариантов запроса, результат 0.
>[оверквотинг удален]
> base DC=ylrus,DC=com
> ldap_version 3
> То есть при таком конфиге, через WebMin Ldap clients показывает содержимое AD.
> А если запускать ldapsearch, то выдает ошибку DSID-0C0906E8. Погуглив выяснил, что нужно
> запустить slapd, запускаю, ситуация не меняется.
> Есть идеи как это побороть?
>> Может не в тему, но возможно поможет прояснить проблемы
>> http://samag.ru/archive/article/204
>> http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
>> http://system-administrators.info/?p=3299
|
Версия для распечатки
