The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ldapsearch блоикровка"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (ACL, блокировки)
Изначальное сообщение [ Отслеживать ]

"ldapsearch блоикровка"  +/
Сообщение от Ninjatrasher (ok) on 12-Май-14, 15:36 
Добрый день.

Проблема в следующем

В наличии Debian + Squid 1.4 + SquidGuard

Настраиваю в SquidGuard доступ группы Pol-squidGuard-SocialNetwork-Allowed для доступа к соц.сетям. ACL не срабатывает и сбрасывается на default. Но если в Acl прописывать user имяпользователя, то все срабатывает. В логах сквидгард пишет Added LDAP source:username, то есть вроде как он пользователя из группы подхватывает. Посмотрите пожалуйста свежим взглядом на конфиг и направьте в какую сторону капать.

Конфиг SquidGuard:

#
# CONFIG FILE FOR SQUIDGUARD
#

dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/log


ldapbinddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
ldapbindpass пароль

ldapcachetime 300

src socialnet_allowed {
            
ldapusersearch ldap://s-msk00-gdc01.ylrus.com:3268/dc=ylrus,dc=com?sAMAccountName?sub?(&(memberof=CN=pol-squidGuard-SocialNetwork-Allowed,OU=Groups,DC=ylrus,DC=com)(sAMAccountName=%s))
}
dest porn {
    domainlist    porn/domains
    urllist        porn/urls
    redirect     http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
}

dest socialnetwork {

       domainlist       socialnet/domains
        urllist         socialnet/urls
      redirect http://www.foo.bar/squidGuard.cgi?clientaddr=%a&clientn...

}

acl     {
    socialnet_allowed {
       pass  !porn socialnetwork
       redirect http://www.foo.bar/allblocked.html
    }
    default {
        pass !porn !socialnetwork    
        redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
    }
        
}

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ldapsearch блоикровка"  +/
Сообщение от Ninjatrasher (ok) on 12-Май-14, 18:58 
Вот что пишется в логах SquidGard:

2014-05-12 18:54:35 [10213] New setting: dbhome: /usr/local/squidGuard/db
2014-05-12 18:54:35 [10213] New setting: logdir: /usr/local/squidGuard/log
2014-05-12 18:54:35 [10213] New setting: ldapbinddn: CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
2014-05-12 18:54:35 [10213] New setting: ldapbindpass: пароль
2014-05-12 18:54:35 [10213] New setting: ldapcachetime: 300
2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/porn/domains
2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/domains.db
2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/porn/urls
2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/urls.db
2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/socialnet/domains
2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10213] squidGuard 1.4 started (1399906475.758)
2014-05-12 18:54:35 [10213] squidGuard ready for requests (1399906475.776)
2014-05-12 18:54:35 [10214] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10214] squidGuard 1.4 started (1399906475.762)
2014-05-12 18:54:35 [10214] squidGuard ready for requests (1399906475.782)
2014-05-12 18:54:35 [10212] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10212] squidGuard 1.4 started (1399906475.759)
2014-05-12 18:54:35 [10212] squidGuard ready for requests (1399906475.783)
2014-05-12 18:54:36 [10009] Added LDAP source: esovetov
2014-05-12 18:55:00 [10009] Added LDAP source: stryuk

Хотя в группе, которая указана в ldapusersearch по факту только esovetov.

Не понимаю в чем. Очень прошу указания в какую сторону капать или указание на фактическую ошибку в конфиге.

>[оверквотинг удален]
> acl  {
>     socialnet_allowed {
>        pass  !porn socialnetwork
>        redirect http://www.foo.bar/allblocked.html
>     }
>  default {
>   pass !porn !socialnetwork
>   redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
>  }
> }

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ldapsearch блоикровка"  +/
Сообщение от Ninjatrasher (ok) on 13-Май-14, 22:02 
Путем проб и ошибок, докопался, что не срабатывает механизм ldapsearch и все сваливается на дефолтный acl.
Если у кого нибудь есть информация или линк где почитать как правильно настроить slapd и ldap.conf буду очень признателен.

>[оверквотинг удален]
>> acl  {
>>     socialnet_allowed {
>>        pass  !porn socialnetwork
>>        redirect http://www.foo.bar/allblocked.html
>>     }
>>  default {
>>   pass !porn !socialnetwork
>>   redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
>>  }
>> }

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ldapsearch блоикровка"  +/
Сообщение от ipmanyak (ok) on 14-Май-14, 14:43 
Может не в тему, но возможно поможет прояснить проблемы
http://samag.ru/archive/article/204
http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
http://system-administrators.info/?p=3299

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ldapsearch блоикровка"  +/
Сообщение от Ninjatrasher (ok) on 14-Май-14, 18:28 
спасибо за ссылки.

сейчас проблема перешла в другую стадию. через Webmin настроил Ldap client к основной базе AD на Windows Server2008 r2. Через Webmin показывается весь каталог. Но Ldapsearch по прежнему не работает. Не понимаю в чем дело, вот конфиг ldap.conf

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE    dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT    12
#TIMELIMIT    15
#DEREF        never

# TLS certificates (needed for GnuTLS)
TLS_CACERT    /etc/ssl/certs/ca-certificates.crt

host s-msk00-gdc01.ylrus.com
uri  ldap://s-msk00-gdc01.ylrus.com
binddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
bindpw Passw0rd
base DC=ylrus,DC=com
ldap_version 3

То есть при таком конфиге, через WebMin Ldap clients показывает содержимое AD.

А если запускать ldapsearch, то выдает ошибку DSID-0C0906E8. Погуглив выяснил, что нужно запустить slapd, запускаю, ситуация не меняется.

Есть идеи как это побороть?

> Может не в тему, но возможно поможет прояснить проблемы
> http://samag.ru/archive/article/204
> http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
> http://system-administrators.info/?p=3299

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ldapsearch блоикровка"  +/
Сообщение от Ninjatrasher (ok) on 15-Май-14, 18:10 
Проблема перешла в новую стадию. Настроил Sladp proxy к AD, ldap search отрабатывает хорошо, ищет пользователей.

Но СквидГард пишет следующиее:


manager@vs-msk00-prx02:~$ squidGuard -d
2014-05-15 18:02:59 [58152] New setting: dbhome: /usr/local/squidGuard/db
2014-05-15 18:02:59 [58152] New setting: logdir: /usr/local/squidGuard/log
2014-05-15 18:02:59 [58152] New setting: ldapbinddn: CN=svcsquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
2014-05-15 18:02:59 [58152] New setting: ldapbindpass: Passw0rd
2014-05-15 18:02:59 [58152] New setting: ldapcachetime: 300
2014-05-15 18:02:59 [58152] init domainlist /usr/local/squidGuard/db/porn/domains
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/porn/domains.db
2014-05-15 18:02:59 [58152] init urllist /usr/local/squidGuard/db/porn/urls
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/porn/urls.db
2014-05-15 18:02:59 [58152] init domainlist /usr/local/squidGuard/db/socialnet/domains
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/socialnet/domains.db
2014-05-15 18:02:59 [58152] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/socialnet/urls.db
2014-05-15 18:02:59 [58152] squidGuard 1.4 started (1400162579.157)
2014-05-15 18:02:59 [58152] squidGuard ready for requests (1400162579.160)
http://www.yandex.ru 172.18.2.76- esovetov@ylrus.com GET
2014-05-15 18:03:30 [58152] squidGuard: ldap_search_ext_s failed: Operations error (params: dc=ylrus,dc=com, 2, (&(sAMAccountName=esovetov@ylrus.com)(memberOf=CN=pol-squidGuard-SocialNetworks-Alloew,OU=Location1,OU=Groups,DC=ylrus,DC=com)), sAMAccountName)
2014-05-15 18:03:30 [58152] Added LDAP source: esovetov@ylrus.com
2014-05-15 18:03:30 [58152] source not found
2014-05-15 18:03:30 [58152] no ACL matching source, using default

http://www.yandex.ru 172.18.2.76- esovetov GET
2014-05-15 18:04:00 [58152] squidGuard: ldap_search_ext_s failed: Operations error (params: dc=ylrus,dc=com, 2, (&(sAMAccountName=esovetov)(memberOf=CN=pol-squidGuard-SocialNetworks-Alloew,OU=Location1,OU=Groups,DC=ylrus,DC=com)), sAMAccountName)
2014-05-15 18:04:00 [58152] Added LDAP source: esovetov
2014-05-15 18:04:00 [58152] source not found
2014-05-15 18:04:00 [58152] no ACL matching source, using default

Причем если я в SCR пишут user esovetov, все отрабатывает как надо. Подскажите в чем проблема? понимаю, что где не правильно составлен запрос. Уже перепробовал около 7-10 вариантов запроса, результат 0.


>[оверквотинг удален]
> base DC=ylrus,DC=com
> ldap_version 3
> То есть при таком конфиге, через WebMin Ldap clients показывает содержимое AD.
> А если запускать ldapsearch, то выдает ошибку DSID-0C0906E8. Погуглив выяснил, что нужно
> запустить slapd, запускаю, ситуация не меняется.
> Есть идеи как это побороть?
>> Может не в тему, но возможно поможет прояснить проблемы
>> http://samag.ru/archive/article/204
>> http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
>> http://system-administrators.info/?p=3299

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру