Grupuri LDAP

Configurare noua (How To)

Situatie

Solutie

Pasi de urmat

Pe lângă o simplă autentificare, poate doriți să acordați și privilegii diferite utilizatorilor. Cel mai simplu mod este să folosiți grupuri LDAP. Un grup este doar o listă de denumiri înfigurate. Exemplu de grup:

  • dn=cn=Tim,ou=IT-Services,o=Company
  • dn=cn=Tina,ou=Management,o=Company

Presupunem că acești doi utilizatori au voie să utilizeze Google acolo unde toți ceilalți utilizatori nu au voie. Mai întâi, trebuie să definiți maparea grupului LDAP:

external_acl_type ldapgroup %LOGIN /usr/lib/squid/squid_ldap_group -b o=Company
   -f (&(objectclass=person)(cn=%v)(groupMembership=cn=%a,ou=Proxygroups,o=Company))
   -D cn=Tim,ou=IT-Services,o=Company -w timspassword -h ldapserver

Expresia de filtru pare puțin complicată. Înseamnă doar că se caută orice utilizator
 (persoană) cu numele pe care îl căutăm (% v), care este membru al grupului pe care îl căutăm (grupMembership).
Acum puteți crea doar un număr de grupuri în arbore, cum ar fi: cn=googleallowed,ou=Proxygroups,o=Company

Această grămadă de ACL-uri ar trebui să blocheze pe toți de la google.com care nu este membru al grupului respectiv:

acl ldapgroup-googleallowed external ldapgroup googleallowed
acl google dstdomain google.com
http_access deny google !ldapgroup-googleallowed

Poți fi curios cum funcționează un astfel de autorizator de grup. Simplu. Doar citește rând după linie de la STDIN (precum consola) unde arată fiecare linie:

username groupname

Tip solutie

Permanent
Etichetare:

Voteaza

(7 din 19 persoane apreciaza acest articol)

Despre Autor

Leave A Comment?