SQUID a uživatelé v LDAP

[franz]

ahoj linuxaci, pomozte lame , mam nainstalovan squid a rad bych uzivatele overil proti LDAP, nejak plavu v tech cn, o, ou atd.
squid mam nastroj
auth_param basic program /usr/lib/squid/ldap_auth , chce to hodne parametru, kterym uplne nerozumim.
auth_param basic children 10
auth_param basic realm web-proxy

auth_param basic program /usr/lib/squid/ldap_auth -b o=firma -h 192.168.10.1
   -D cn=franz,ou=uzivatele,o=firma -w nejake_heslo_netusim -f nejaky_filter_netusim

vsude ctu, ze ldap je strom, nevim co znamena to o,dn,cn,ou
jak ten squid nebo ldap pozna, ze zrovna ten a ten uzivatel ma povoleny pristup na web?
kdyz v tom "stromu" mam pod ou=uzivatel jeste dalsi uzivatele, to maji pak vsichni pristup na
web, co kdyz chci jen nektere, nejak nechapu, nema tam byt jeste nejaky prepinac ktere rika
ty muzes na web a ty ne?
nebo to nejak resi ten filter, ktery nechapu?

Omluvte pablba, franz

[Reklama]

[franz]

vlastne bych rad ten ldap zacal pouzivat i na jine veci, ale nejak asi nechapu to filozofii, kdyz neco ulozim, tak preci nikdo nemohl predpokladat, ze tam budou vsechny kolonky co ja si vymyslim, reknu blbej priklad, chci mit uzivatele , muze, kolonka - barva oci a ted reknu, ze na web pustim jen ty co maji modre oci (u zenskych rekneme jen brunety)

[Mirek Prýmek]

No... V podstatě říkáš, že o LDAPu nevíš vůbec nic a vůbec nerozumíš tomu, jak funguje.

Co teda očekáváš? Že ti někdo bude na několika stranách vysvětlovat, jak LDAP funguje, jak ho máš nakonfigurovat a jak provozovat?

Nebylo by lepší si přečíst manuál nebo alespoň nějaký tutoriál a přijít až když budeš mít problém s něčím konkrétním?

[franz]

No... V podstatě říkáš, že o LDAPu nevíš vůbec nic a vůbec nerozumíš tomu, jak funguje.

Co teda očekáváš? Že ti někdo bude na několika stranách vysvětlovat, jak LDAP funguje, jak ho máš nakonfigurovat a jak provozovat?

Nebylo by lepší si přečíst manuál nebo alespoň nějaký tutoriál a přijít až když budeš mít problém s něčím konkrétním?

mate recht, existuji nejake prameny i v cestine?
neco jsem studoval, ale nepobral, tak jsem zkusil tu komunitu, cetl jsem prave ze je ochotna.

[Mirek Prýmek]

mate recht, existuji nejake prameny i v cestine?

Pochybuju, že pořádné. Bez angličtiny se tyhle věci prostě dělat nedají.

neco jsem studoval, ale nepobral, tak jsem zkusil tu komunitu, cetl jsem prave ze je ochotna.

Komunita i kdyby byla ochotná jak chtěla, studium nenahradí

Pokud byste měl nějaký konkrétní dotaz, není problém odpovědět, ale na otázku "nic o tom nevím, co mám dělat" se odpovídá fakt blbě

[Reklama]

[Petr_Svetr]

vlastne bych rad ten ldap zacal pouzivat i na jine veci, ale nejak asi nechapu to filozofii, kdyz neco ulozim, tak preci nikdo nemohl predpokladat, ze tam budou vsechny kolonky co ja si vymyslim, reknu blbej priklad, chci mit uzivatele , muze, kolonka - barva oci a ted reknu, ze na web pustim jen ty co maji modre oci (u zenskych rekneme jen brunety)

proc by nemohl predpokladat? vzdyt LDAP je v podstate primitivni DB (jedna tabulka), kde mas nektere sloupce preddefinovany a zbytek si muzes upravit dle libosti. Klidne i tu barvu oci atd. DB je hierachicka, takze se vetvi atd.
Stejne, jako v SQL databazi potrebujes select, abys z ty tabulky mohl tahat data, tak LDAPu proste reknes, podle kterych atributu ma brat vysledky (v tom stromu reknes, ktera vetev ano) - tedy komus povolis se prihlasit a komu ne. Nevim, jak se tomu rika podle RFC, ale proste LDAP string

[Petr_Svetr]

jo, a kdyz zadas do google LDAP a vysledky v cestine, tak vraci 90k vysledku - fakt se nezlob, ale to je na zamysleni....

[Mirek Prýmek]

jo, a kdyz zadas do google LDAP a vysledky v cestine, tak vraci 90k vysledku

Nojo, jenže kolik z nich se týká Squidu, kolik z nich je aktuálních a kolik z nich je o OS, který OP používá...

[Mareg]

Takhle to funguje u nás (squid3):

Kód: [Vybrat]

# Skupina stroju u kterych se vyzaduje autorizace pres LDAP
# Případně jakkoliv jinak definovaná skupina
acl NA_HESLO src xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx xxx.xxx.xxx.xxx

# Overeni v LDAPu, sem by se asi zadalo, vyber jen mezi modrookými
auth_param basic program /usr/lib/squid3/squid_ldap_auth -v3 -b "dc=nspuh,dc=cz" -f "uid=%s" <ip_adresa_LDAP_serveru>

# Hlaseni v zobrazovanem dialogu prihlaseni
auth_param basic realm -----------                     Vas pristup na Internet je zaznamenavan.                            ------------

# Uzivatele kteri se ven nedostnou v zadnem pripade
acl NEPROJDOU proxy_auth bezhesla usertest

# Tohle presne nevim, ale asi kdo je autorizovan v LDAP
# bude ve skupine HESLA_OK
acl HESLA_OK proxy_auth REQUIRED

# Pokud je uzivatel ve skupine NEPROJDOU, tak nic
http_access deny  NA_HESLO NEPROJDOU

# pokud je ve skupine NA_HESLO a byl autorizovan pres LDAP
# tak muze ven
http_access allow NA_HESLO HESLA_OK


To že LDAP počítá s tím, že chcete "evidovat" kdo má modré oči a je blondýn je zbytečné psát.
Prostě RTFM.