URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 7106
[ Назад ]

Исходное сообщение
"ldapsearch блоикровка"
Отправлено Ninjatrasher , 12-Май-14 15:36

Добрый день.
Проблема в следующем
В наличии Debian + Squid 1.4 + SquidGuard
Настраиваю в SquidGuard доступ группы Pol-squidGuard-SocialNetwork-Allowed для доступа к соц.сетям. ACL не срабатывает и сбрасывается на default. Но если в Acl прописывать user имяпользователя, то все срабатывает. В логах сквидгард пишет Added LDAP source:username, то есть вроде как он пользователя из группы подхватывает. Посмотрите пожалуйста свежим взглядом на конфиг и направьте в какую сторону капать.
Конфиг SquidGuard:
#
# CONFIG FILE FOR SQUIDGUARD
#
dbhome /usr/local/squidGuard/db
logdir /usr/local/squidGuard/log

ldapbinddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
ldapbindpass пароль
ldapcachetime 300
src socialnet_allowed {

ldapusersearch ldap://s-msk00-gdc01.ylrus.com:3268/dc=ylrus,dc=com?sAMAccountName?sub?(&(memberof=CN=pol-squidGuard-SocialNetwork-Allowed,OU=Groups,DC=ylrus,DC=com)(sAMAccountName=%s))
}
dest porn {
    domainlist    porn/domains
    urllist        porn/urls
    redirect     http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
}
dest socialnetwork {
       domainlist       socialnet/domains
        urllist         socialnet/urls
      redirect http://www.foo.bar/squidGuard.cgi?clientaddr=%a&clientn...
}
acl     {
    socialnet_allowed {
       pass  !porn socialnetwork
       redirect http://www.foo.bar/allblocked.html
    }
    default {
        pass !porn !socialnetwork
        redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
    }

}

Содержание

ldapsearch блоикровка,Ninjatrasher, 18:58 , 12-Май-14
- ldapsearch блоикровка,Ninjatrasher, 22:02 , 13-Май-14
  - ldapsearch блоикровка,ipmanyak, 14:43 , 14-Май-14
    - ldapsearch блоикровка,Ninjatrasher, 18:28 , 14-Май-14
      - ldapsearch блоикровка,Ninjatrasher, 18:10 , 15-Май-14

Сообщения в этом обсуждении

"ldapsearch блоикровка"
Отправлено Ninjatrasher , 12-Май-14 18:58

Вот что пишется в логах SquidGard:
2014-05-12 18:54:35 [10213] New setting: dbhome: /usr/local/squidGuard/db
2014-05-12 18:54:35 [10213] New setting: logdir: /usr/local/squidGuard/log
2014-05-12 18:54:35 [10213] New setting: ldapbinddn: CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
2014-05-12 18:54:35 [10213] New setting: ldapbindpass: пароль
2014-05-12 18:54:35 [10213] New setting: ldapcachetime: 300
2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/porn/domains
2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/domains.db
2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/porn/urls
2014-05-12 18:54:35 [10213] loading dbfile /usr/local/squidGuard/db/porn/urls.db
2014-05-12 18:54:35 [10213] init domainlist /usr/local/squidGuard/db/socialnet/domains
2014-05-12 18:54:35 [10213] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10213] squidGuard 1.4 started (1399906475.758)
2014-05-12 18:54:35 [10213] squidGuard ready for requests (1399906475.776)
2014-05-12 18:54:35 [10214] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10214] squidGuard 1.4 started (1399906475.762)
2014-05-12 18:54:35 [10214] squidGuard ready for requests (1399906475.782)
2014-05-12 18:54:35 [10212] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-12 18:54:35 [10212] squidGuard 1.4 started (1399906475.759)
2014-05-12 18:54:35 [10212] squidGuard ready for requests (1399906475.783)
2014-05-12 18:54:36 [10009] Added LDAP source: esovetov
2014-05-12 18:55:00 [10009] Added LDAP source: stryuk
Хотя в группе, которая указана в ldapusersearch по факту только esovetov.
Не понимаю в чем. Очень прошу указания в какую сторону капать или указание на фактическую ошибку в конфиге.
>[оверквотинг удален]
> acl  {
>     socialnet_allowed {
>        pass  !porn socialnetwork
>        redirect http://www.foo.bar/allblocked.html
>     }
>  default {
>   pass !porn !socialnetwork
>   redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
>  }
> }

"ldapsearch блоикровка"
Отправлено Ninjatrasher , 13-Май-14 22:02

Путем проб и ошибок, докопался, что не срабатывает механизм ldapsearch и все сваливается на дефолтный acl.
Если у кого нибудь есть информация или линк где почитать как правильно настроить slapd и ldap.conf буду очень признателен.
>[оверквотинг удален]
>> acl  {
>>     socialnet_allowed {
>>        pass  !porn socialnetwork
>>        redirect http://www.foo.bar/allblocked.html
>>     }
>>  default {
>>   pass !porn !socialnetwork
>>   redirect http://admin.foo.bar.de/cgi/blocked?clientaddr=%a+clien...
>>  }
>> }

"ldapsearch блоикровка"
Отправлено ipmanyak , 14-Май-14 14:43

Может не в тему, но возможно поможет прояснить проблемы
http://samag.ru/archive/article/204
http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
http://system-administrators.info/?p=3299

"ldapsearch блоикровка"
Отправлено Ninjatrasher , 14-Май-14 18:28

спасибо за ссылки.
сейчас проблема перешла в другую стадию. через Webmin настроил Ldap client к основной базе AD на Windows Server2008 r2. Через Webmin показывается весь каталог. Но Ldapsearch по прежнему не работает. Не понимаю в чем дело, вот конфиг ldap.conf
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
#BASE    dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666
#SIZELIMIT    12
#TIMELIMIT    15
#DEREF        never
# TLS certificates (needed for GnuTLS)
TLS_CACERT    /etc/ssl/certs/ca-certificates.crt
host s-msk00-gdc01.ylrus.com
uri  ldap://s-msk00-gdc01.ylrus.com
binddn CN=svcSquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
bindpw Passw0rd
base DC=ylrus,DC=com
ldap_version 3
То есть при таком конфиге, через WebMin Ldap clients показывает содержимое AD.
А если запускать ldapsearch, то выдает ошибку DSID-0C0906E8. Погуглив выяснил, что нужно запустить slapd, запускаю, ситуация не меняется.
Есть идеи как это побороть?
> Может не в тему, но возможно поможет прояснить проблемы
> http://samag.ru/archive/article/204
> http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
> http://system-administrators.info/?p=3299

"ldapsearch блоикровка"
Отправлено Ninjatrasher , 15-Май-14 18:10

Проблема перешла в новую стадию. Настроил Sladp proxy к AD, ldap search отрабатывает хорошо, ищет пользователей.
Но СквидГард пишет следующиее:

manager@vs-msk00-prx02:~$ squidGuard -d
2014-05-15 18:02:59 [58152] New setting: dbhome: /usr/local/squidGuard/db
2014-05-15 18:02:59 [58152] New setting: logdir: /usr/local/squidGuard/log
2014-05-15 18:02:59 [58152] New setting: ldapbinddn: CN=svcsquidGuard,CN=Users,OU=MSK00,OU=Offices,DC=ylrus,DC=com
2014-05-15 18:02:59 [58152] New setting: ldapbindpass: Passw0rd
2014-05-15 18:02:59 [58152] New setting: ldapcachetime: 300
2014-05-15 18:02:59 [58152] init domainlist /usr/local/squidGuard/db/porn/domains
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/porn/domains.db
2014-05-15 18:02:59 [58152] init urllist /usr/local/squidGuard/db/porn/urls
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/porn/urls.db
2014-05-15 18:02:59 [58152] init domainlist /usr/local/squidGuard/db/socialnet/domains
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/socialnet/domains.db
2014-05-15 18:02:59 [58152] init urllist /usr/local/squidGuard/db/socialnet/urls
2014-05-15 18:02:59 [58152] loading dbfile /usr/local/squidGuard/db/socialnet/urls.db
2014-05-15 18:02:59 [58152] squidGuard 1.4 started (1400162579.157)
2014-05-15 18:02:59 [58152] squidGuard ready for requests (1400162579.160)
http://www.yandex.ru 172.18.2.76- esovetov@ylrus.com GET
2014-05-15 18:03:30 [58152] squidGuard: ldap_search_ext_s failed: Operations error (params: dc=ylrus,dc=com, 2, (&(sAMAccountName=esovetov@ylrus.com)(memberOf=CN=pol-squidGuard-SocialNetworks-Alloew,OU=Location1,OU=Groups,DC=ylrus,DC=com)), sAMAccountName)
2014-05-15 18:03:30 [58152] Added LDAP source: esovetov@ylrus.com
2014-05-15 18:03:30 [58152] source not found
2014-05-15 18:03:30 [58152] no ACL matching source, using default
http://www.yandex.ru 172.18.2.76- esovetov GET
2014-05-15 18:04:00 [58152] squidGuard: ldap_search_ext_s failed: Operations error (params: dc=ylrus,dc=com, 2, (&(sAMAccountName=esovetov)(memberOf=CN=pol-squidGuard-SocialNetworks-Alloew,OU=Location1,OU=Groups,DC=ylrus,DC=com)), sAMAccountName)
2014-05-15 18:04:00 [58152] Added LDAP source: esovetov
2014-05-15 18:04:00 [58152] source not found
2014-05-15 18:04:00 [58152] no ACL matching source, using default
Причем если я в SCR пишут user esovetov, все отрабатывает как надо. Подскажите в чем проблема? понимаю, что где не правильно составлен запрос. Уже перепробовал около 7-10 вариантов запроса, результат 0.

>[оверквотинг удален]
> base DC=ylrus,DC=com
> ldap_version 3
> То есть при таком конфиге, через WebMin Ldap clients показывает содержимое AD.
> А если запускать ldapsearch, то выдает ошибку DSID-0C0906E8. Погуглив выяснил, что нужно
> запустить slapd, запускаю, ситуация не меняется.
> Есть идеи как это побороть?
>> Может не в тему, но возможно поможет прояснить проблемы
>> http://samag.ru/archive/article/204
>> http://www.linuxrsp.ru/artic/LDAP-HOWTO.html
>> http://system-administrators.info/?p=3299