SquidGuard и группы Active Directory
Amanda не так плоха, как это смотрит. Мне потребовались приблизительно 4 часа для понимания всего этого. Это - просто сценарий фронтэнда для всех встроенных инструментов, которые Linux использует для резервных копий и управления ленточными накопителями.
При использовании rsync (который является прекрасным путем также) по сети, помните, что резервные копии будут бесполезны, если сервер резервного копирования (и все резервные копии в системе) будет уничтожен (огонь, лавинная рассылка, грабеж, и т.д.).
Если достаточно важно скопировать, это обычно достаточно важно для прилегающего объекта. (По моему скромному мнению),
Решенный.
Принятие следующего:
- Domain name: "domain.com"
- Group name: "Internet Users"
- User name: "UserName"
- Path to group: "domain.com\OU1\OU2\Internet Users"
Запрос для проверки, если бы пользователь является членом той группы, был бы:
(&(memberOf=CN=Group Name,OU=OU2,OU=OU1,DC=domain,DC=com)(SAMAccountName=UserName))
Таким образом, необходимо было бы добавить, следующее к squidGuard.conf для идентификации членов той группы (" %s" заполнитель squidGuard.conf для "имени пользователя клиента"):
src Internet_Users {
ldapusersearch ldap://dc.domain.com/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Internet Users,OU=OU2,OU=OU1,DC=domain,DC=com))
}
Протест: это не будет работать, если записано как выше, давая Вам лаконичное сообщение "синтаксической ошибки"; это вызвано тем, что (часть) оператор рассматривают как URL, таким образом, необходимо выйти из специальных символов, таких как запятые и пробелы; правильная форма таким образом была бы этим:
src Internet_Users {
ldapusersearch ldap://dc.domain.com/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Internet%20Users%2cOU=OU2%2cOU=OU1%2cDC=domain%2cDC=com))
}
Кроме того, для предотвращения проблем с направлениями Active Directory (иногда, DC просто перенаправит Вас к другому, даже если Вы будете на том же домене, которым он управляет), могло бы быть полезно запросить глобальный каталог:
src Internet_Users {
ldapusersearch ldap://gc.domain.com:3268/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=Internet%20Users%2cOU=OU2%2cOU=OU1%2cDC=domain%2cDC=com))
}
Отказ от ответственности: Я не сделал этого, и я не знаком с SquidGuard. Сказав, что вот некоторые возможные подходы.
1) Если Вы добавите свою машину сквида к домену, то Вы сможете разрешить AD группы и искать AD состав группы через nss, таким образом, необходимо будет смочь использовать squid_unix_group помощника. Согласно он - страница справочника, это даже имеет переключатель для снятия изоляции с доменной части AD групп.
2) Учитывая, что AD является своего рода сервером LDAP, я подозреваю, что Вы смогли бы использовать squid_ldap_group который согласно странице справочника:
"Как ожидалось конструкцией external_acl Сквида, после определения имени пользователя и группы, сопровождаемой новой строкой, этот помощник произведет или хорошо или ДОПУСТИТ ОШИБКУ на следующей строке, чтобы показать, является ли пользователь членом указанной группы".
3) Даже если это не работает, необходимо, вероятно, смочь получить сведения о функциональном эквиваленте с помощью сквида external_acl_type.
4) Проверьте http://etutorials.org/Server+Administration/Squid.+The+definitive+guide/Chapter+12.+Authentication+Helpers/12.5+External+ACLs/, это упоминает некоторых помощников (wbinfo_group, winbindd_group), которые, кажется, не были созданы/установлены в версии сквида, который я выполняю.
Что касается запроса, чтобы видеть, является ли пользователь членом группы LDAP или нет, она зависит от того, какая группа LDAP как различные группы, используйте различные атрибуты для определения членства.
Некоторые фильтры запроса в качестве примера: Чтобы видеть, является ли человек членом groupOfUniqueNames:
(&(cn=<GROUP_CN>)(objectClass=groupOfUniqueNames)(uniqueMember=<MEMBER_DN>))
Чтобы видеть, является ли uid членом posixGroup:
(&(cn=<GROUPCN>)(objeCtclass=posixGroup)(memberUid=<UID>))
Если они будут соответствовать, то они возвратят запись группы или атрибуты группы, которую Вы указываете при определении кого-либо.
Надежда это помогает.
-
1Спасибо за Ваш ответ, но мне нужно SquidGuard для проверки членства в группе пользователей, не Сквида; когда Сквид вызывает SquidGuard, чтобы сделать фильтрацию URL, это только передает его user' имя s (если пользователь прошел проверку подлинности), не любая другая пользовательская сопутствующая информация; так it' s SquidGuard, который должен искать составы группы. Я знаю, что это может сделать то использование LDAP, я просто don' t знают , как сделать это . – Massimo 10 May 2010 в 16:39