Netgate SG-1000 microFirewall

Author Topic: [DUDA] Cadena ldap en GroupACL squidguard  (Read 118 times)

0 Members and 1 Guest are viewing this topic.

Offline DoNeL

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
    • View Profile
[DUDA] Cadena ldap en GroupACL squidguard
« on: February 07, 2018, 10:18:21 am »
Buenas tardes,


Me gustaria saber si existe alguna variacion de la cadena ldap que usa squidguard para buscar en el dominio:

Code: [Select]
ldapusersearch ldap://192.168.0.100/DC=domain,DC=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=it%2cCN=Users%2cDC=domain%2cDC=com))
Esa cadena busca los usuarios que pertenece a un solo grupo del directorio. Mi duda es, si es posible hacer que desde una misma GroupACL, busque usuarios en varios grupos que yo especifique, que estén al mismo nivel de OU.

He buscado por varias webs, con varias configuraciones que aporta la gente, no funciona.

Un saludo.
« Last Edit: February 08, 2018, 02:08:43 am by DoNeL »

Offline j.sejo1

  • Full Member
  • ***
  • Posts: 257
  • Karma: +31/-2
    • View Profile
    • Smartit Business Corp
Re: [DUDA] Cadena ldap en GroupACL squidguard
« Reply #1 on: February 08, 2018, 05:14:23 pm »
Debe ser posible,  ya que en realidad quien hace la búsqueda es la utilidad de OpenLdap:  ldapusersearch  solo que deberías jugar con la linea de busqueda y probarla manual por consola desde el pfsense para que estes seguro de que si funciona.

Lo que no se (creo que no se puede) Es agregar varios query para la misma ACL es decir:

ldapusersearch...
ldapusersearch...
ldapusersearch...

Lo que debes hacer es tratar de parsear en la misma linea la búsqueda que deseas realizar.

otra cosa, que debes tener en cuenta y se me vino a la mente, es el perfomance del quey.

No es lo mismo buscar a los usuarios en un grupo en especifico

Que a los usuarios en varios grupos de todo el directorio,  creo que este ultimo te generaría un delay en los tiempos de respuesta del SquidGuard.




Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
Hardening Linux
http://www.smartitbc.com/en/contact.html

Offline DoNeL

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
    • View Profile
Re: [DUDA] Cadena ldap en GroupACL squidguard
« Reply #2 on: February 12, 2018, 05:00:33 am »
Hola j.sejo1,

Ante todo gracias por la respuesta.

La query no seria para buscar en todos los grupos del AD, si no para que busque en los grupos que yo concrete.

Todo esto viene dado a que tengo 77 Groups ACL, y tal y como trabaja squid, hace comprobación por cada uno de los GrpupsACL hasta que encuentre uno con el que haga match.

Esto quiere decir que si por ejemplo la regla 76 es la que tienen que utilizar 300 usuarios, al hacer una comprobación por cada petición sobre las 75 reglas que tiene, me genera un consumo excesivo en el Domain Controller, llegando a estar al 99 CPU en horas pico.

La idea es concatenar en un GroupACL la busqueda en varios grupos, para bajar el numero de reglas.

Buscando por internet, he ecnontrado esta query

Code: [Select]
(&(|(memberOf=CN=normal_group,OU=Test_Users,DC=matthew,DC=com)(memberOf=CN=internet_group,OU=Test_Users,DC=matthew,DC=com))(sAMAccountName=%s))
que habria que unificar con la que ya se utiliza en pfsense y quedando como resultado esta:

Code: [Select]
ldapusersearch ldap://192.168.0.100/DC=domain,DC=com?sAMAccountName?sub?(&(|(memberOf=CN=normal_group,OU=Test_Users,DC=matthew,DC=com)(memberOf=CN=internet_group,OU=Test_Users,DC=matthew,DC=com))(sAMAccountName=%s))
Con esa query configurada, en una regla que deniegue todo si perteneces a cualquiera de esos dos grupos, hace caso omiso y me permite todo. Es como si la obviase, pero aun asi navego.

Espero no haber liado mas el tema.

Gracias, un saludo.


Offline j.sejo1

  • Full Member
  • ***
  • Posts: 257
  • Karma: +31/-2
    • View Profile
    • Smartit Business Corp
Re: [DUDA] Cadena ldap en GroupACL squidguard
« Reply #3 on: February 14, 2018, 07:21:33 pm »
Claro 76 grupos es como demasiado.

Yo por lo general creo grupos llamado:  vip, libre, restringido, visitante, tecnología, prensa,  etc,  o en otros casos  gerentes, coordinadores, analistas, operativos etc,

En instalaciones de hasta 10mil usuarios, me he manejado con 4 a 6 grupos de internet.

Lo que no entiendo, es que si tienes 76 grupos, para que quieres una sola query?   No entiendo lo que tratas de exponer, si entiendo lo del query pero no lo ligo con los 76 grupos.


Cuando dices: """"Con esa query configurada, en una regla que deniegue todo si perteneces a cualquiera de esos dos grupos, hace caso omiso y me permite todo. Es como si la obviase, pero aun asi navego.""""

Yo lo hago a lo contrario, la CommonACL la pongo Deny, y no navega quien no tenga un grupo asignado.

Y si estas navegando, entonces la CommonACL tu la tienes Allow.


Pfsense - Bacula - NagiosZabbix - Zimbra - AlienVault
Hardening Linux
http://www.smartitbc.com/en/contact.html

Offline DoNeL

  • Newbie
  • *
  • Posts: 15
  • Karma: +0/-0
    • View Profile
Re: [DUDA] Cadena ldap en GroupACL squidguard
« Reply #4 on: February 15, 2018, 02:41:38 am »
Hola j.sejo1


Te explico un poco mas en detalla. Tengo una camapaña que es Vodafone por ejemplo, y dentro de esa campaña hay como departamentos, que a nivel de directorio activo les diferencia porque pertenecen a un grupo de usuario distinto. Son requerimientos que necesta tener el dpto de sistemas de mi empresa por asuntos de facturacion a traves de una app.

En resumen es que tengo 7 origenes de de una misma campaña que acceden a una misma tarjetrule. Pus si eso lo multiplicas por mas campañas, tengo 77 reglas. De ahi que quiera concatenar en una misma query la busqueda de usuarios en varios grupos, para intentar bajar el numero de comprobaciones a nivel de groupacl.

Si, tengo la commonacl por defecto en deny, pero al poner esa cadena LDAP, es como si fuera esquid el que permite la navegacion sin lanzar la comprobacion al squidguard.

Gracias, un saludo.