Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: Ubuntu 14.04 + Suid3 + AD2012  (Прочитано 2847 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ejik_off

  • Автор темы
  • Любитель
  • *
  • Сообщений: 55
    • Просмотр профиля
Ubuntu 14.04 + Suid3 + AD2012
« : 02 Июля 2014, 14:46:58 »
Всем привет!!!
Нужна помощь в настройке доступа к ресурсам интернета в зависимости от группы в которую входит юзер. Настройку делал по статье http://www.zonepc.ru/avtorizaciya-squid-v-active-directory-cherez-kerberos/
Выход в инет есть, но в какую бы группу я пользователя ни кидал доступ к интернету не меняется.
Только начинаю работать с Linuxовыми системами, поэтому могу что-то, где-то не докрутить.
Вообщем при вводе команды
Код: [Выделить]
root@TNS-GATE-01:/etc/squid3# /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -d -b "dc=intec,dc=tns-intec,dc=kz" -D squid@intec.tns-intec.kz -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%a,OU=CORP,DC=intec,DC=tns-intec,DC=kz))" -h tns-dc-01.intec.tns-intec.kz tns-dc-02.intec.tns-intec.kz
v.pupkin GG-Internet-Blocked
получаю
Цитировать
ext_ldap_group_acl.cc(587): pid=28549 :Connected OK
ext_ldap_group_acl.cc(726): pid=28549 :group filter '(&(objectclass=person)(sAMAccountName=v.pupkin)(memberOf:1.2.840.113556.1.4.1941:=cn=GG-Internet-Blocked,OU=CORP,DC=intec,DC=tns-intec,DC=kz))', searchbase 'dc=intec,dc=tns-intec,dc=kz'
ERR
Никак не удается найти причину проблемы. 
Пользователь решил продолжить мысль 03 Июля 2014, 13:53:19:
С этой ошибкой разобрался.
Теперь не могу понять почему пользователь находящийся в группе gg-internet-blocked выходит в инет?
Когда в конфиге стоит запрет
Код: [Выделить]
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#
# LDAP authorization
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "ou=Groups,ou=CORP,dc=intec,dc=tns-intec,dc=kz" -D squid@intec.tns-intec.kz -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%g,OU=Groups,OU=CORP,DC=intec,DC=tns-intec,DC=kz))" -h tns-dc-01.intec.tns-intec.kz tns-dc-02.intec.tns-intec.kz
#

acl auth proxy_auth REQUIRED
acl BlockedAccess       external memberof "/etc/squid3/conf_param_groups_blocked.txt"
acl RestrictedAccess    external memberof "/etc/squid3/conf_param_groups_restricted.txt"
acl StandardAccess      external memberof "/etc/squid3/conf_param_groups_standard.txt"
acl FullAccess          external memberof "/etc/squid3/conf_param_groups_full_auth.txt"
acl AnonymousAccess     external memberof "/etc/squid3/conf_param_groups_full_anon.txt"


acl allowedsites        dstdomain "/etc/squid3/conf_param_sites_allowed.txt"
acl blockedsites        dstdomain "/etc/squid3/conf_param_sites_blocked.txt"
acl prioritysites       dstdomain "/etc/squid3/conf_param_sites_priority.txt"
#
acl LocalWUServers    src       "/etc/squid3/conf_param_computers_wsus.txt"
acl GlobalWUSites     dstdomain "/etc/squid3/conf_param_sites_wsus.txt"
#
#
# Squid default ACLs
# ACLs all, manager, localhost, and to_localhost are predefined.
# acl manager proto cache_object
# acl localhost src 127.0.0.1/32 ::1
# acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.1.0/24    # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16        # RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
#
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Аllow cachemgr access from localhost and localnet
http_access allow localhost manager
http_access allow localnet manager
http_access deny manager

# Allow direct access to Windows Update
http_access allow GlobalWUSites LocalWUServers

# Allow unrestricted access to prioritysites
http_access allow prioritysites localnet

# Enforce authentication, order of rules is important for authorization levels
http_access deny !auth

# Prevent access to basic auth prompt for BlockedAccess users
http_access deny BlockedAccess all
http_access allow allowedsites localnet
http_access deny RestrictedAccess all
http_access allow AnonymousAccess auth localnet
http_access allow FullAccess auth localnet
http_access deny blockedsites
http_access allow StandardAccess auth localnet

# And finally deny all other access to this proxy
http_access deny all
#
« Последнее редактирование: 03 Июля 2014, 13:53:19 от ejik_off »

Оффлайн lujana

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: Ubuntu 14.04 + Suid3 + AD2012
« Ответ #1 : 01 Апреля 2015, 11:08:32 »
Похожий случай, можете уточнить в чем была проблема с ext_ldap_group_acl?
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.015 секунд. Запросов: 21.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.