SQUID + LDAP + AD

default666

Что-то не пашет оно:
pfsense 2.0.1 Release
win 2003 ee r2 sp2
лес и домен 2003-го уровня
win xp pro sp 3

Proxy server: Access Control > Allowed subnets - пусто
Proxy server: General settings > Allow users on interface - стоит галка

squid.conf

# Do not edit manually !
http_port 192.168.1.1:8080
icp_port 0

pid_filename /var/run/squid.pid
cache_effective_user proxy
cache_effective_group proxy
error_directory /usr/local/etc/squid/errors/English
icon_directory /usr/local/etc/squid/icons
visible_hostname pfsense.rrsrv.ath.cx
cache_mgr adm@rrsrv.ath.cx
access_log /dev/null
cache_log /var/squid/logs/cache.log
cache_store_log none
logfile_rotate 0
shutdown_lifetime 3 seconds
# Allow local network(s) on interface(s)
acl localnet src  192.168.1.0/255.255.255.0
uri_whitespace strip

cache_mem 16 MB
maximum_object_size_in_memory 32 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir diskd /var/squid/cache 100 16 256
minimum_object_size 0 KB
maximum_object_size 4 KB
offline_mode off
cache_swap_low 90
cache_swap_high 95

# No redirector configured

# Setup some default acls
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl safeports port 21 70 80 210 280 443 488 563 591 631 777 901  3128 1025-65535 
acl sslports port 443 563  
acl manager proto cache_object
acl purge method PURGE
acl connect method CONNECT
acl dynamic urlpath_regex cgi-bin \?
cache deny dynamic
http_access allow manager localhost

http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !safeports
http_access deny CONNECT !sslports

# Always allow localhost connections
http_access allow localhost

quick_abort_min 0 KB
quick_abort_max 0 KB
request_body_max_size 10240 KB
reply_body_max_size 10485760 deny all
delay_pools 1
delay_class 1 2
delay_parameters 1 -1/-1 -1/-1
delay_initial_bucket_level 100
# Throttle extensions matched in the url
acl throttle_exts urlpath_regex -i "/var/squid/acl/throttle_exts.acl"
delay_access 1 allow throttle_exts
delay_access 1 deny all

# Custom options
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=rrsrv,dc=ath,dc=cx" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,ou=HQ,dc=rrsrv,dc=ath,dc=cx))" -D pfs@rrsrv.ath.cx -w pfs 192.168.1.1
acl ad_inet external ldap_users InetUsers_GSG
http_access allow ad_inet

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=rrsrv,dc=ath,dc=cx -D pfs@rrsrv.ath.cx -w pfs -f "sAMAccountName=%s" -u cn -P 192.168.1.11:389
auth_param basic children 5
auth_param basic realm Please enter your credentials to access the proxy
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
http_access allow password localnet
# Default block all to be sure
http_access deny all

В группе InetUsers_GSG один юзер, однако в нет попадают все кто есть в AD. Сама группа лежит в подразделении - ou=users,ou=HQ,dc=rrsrv,dc=ath,dc=cx, юзеры в подразделении - OU=IT,OU=users,OU=HQ,DC=rrsrv,DC=ath,DC=cx

SysR

http_access allow password localnet

??

# These hosts do not have any restrictions
http_access allow unrestricted_hosts
# Always allow access to whitelist domains
http_access allow whitelist
# Block access to blacklist domains
http_access deny blacklist
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=domain,dc=com -D srv@domain.com -w pwd -f "sAMAccountName=%s" -u cn -P 192.168.1.1:389
auth_param basic children 5
auth_param basic realm Please enter your credentials to access the proxy
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
http_access allow unrestricted_hosts
# Custom options
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=hq,dc=domain,dc=com))" -D srv@domain.com -w pwd 192.168.1.1
acl ad_inet external ldap_users gginet
http_access allow ad_inet

# Default block all to be sure
http_access deny all

Попробуй в консоли посмотреть что возвращают:

/usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=hq,dc=domain,dc=com))" -D srv@domain.com -w pwd 192.168.1.1

 /usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=domain,dc=com -D srv@domain.com -w pwd -f "sAMAccountName=%s" -u cn -P 192.168.1.1:389

Первой команде в консоли указываешь **user[пробел]group[энтэр]**Должно вернуть ОК или ERR
Второй user[пробел]passwd[энтэр] так же должен увидеть ОК или ERR

default666

http_access allow password localnet
```- хз, сам не знаю что это такое.

/usr/local/libexec/squid/squid_ldap_group -R -b "dc=rrsrv,dc=ath,dc=cx" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=IT,ou=users,ou=HQ,dc=rrsrv,dc=ath,dc=cx))" -D pfs@rrsrv.ath.cx -w pfs 192.168.1.11 > **ERR**

/usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=rrsrv,dc=ath,dc=cx -D pfs@rrsrv.ath.cx -w pfs -f "sAMAccountName=%s" -u cn -P 192.168.1.11:389 > **OK**

А группу какую указывать основную или любую в которую входит пользователь?

SysR

На группу в который пользователь должно вернуть ОК на левую ERR.

Скорее всего у тебя срабатывает АЦЛ по ЛОКАЛНЕТ то есть доступ всем авторизированым не зависимо от того в группе или нет.
Кстати у тебя какой сквид? Я устанавливал 3ий но установился 2,7  ???

Allow users on interface включен? У меня нет.

default666

Кое-какая продрись произошла:
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(1): /usr/local/libexec/squid/squid_ldap_group -R -b "dc=rrsrv,dc=ath,dc=cx" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,ou=HQ,dc=rrsrv,dc=ath,dc=cx))" -D pfs@rrsrv.ath.cx -w pfs 192.168.1.11
adm InetUsers
OK

косяк видимо был в пути: (memberOf=cn=%a,ou=HQ,dc=rrsrv,dc=ath,dc=cx)

squid 2.7.9 STABLE  устанавливал его

Allow users on interface включен. Без этого squid не стартует.

Перестало тормозить при первом входе на веб страницу, однако пускает всех авторизованных.

default666

@SysR:

Скорее всего у тебя срабатывает АЦЛ по ЛОКАЛНЕТ то есть доступ всем авторизированым не зависимо от того в группе или нет.

Как его прибить ПРАВИЛЬНО этот ACL? Ибо при тупом комментировании оного в squid.conf всё начинает правильно работать, однако при сохранении настроек через веб интерфейс squid.conf перезаписывыается с настройками http_access allow password localnet.

SysR

Выложи скрин страницы General в рабочем состоянии ну и логи, чего не стартует без Allow users on interface

default666

Вот такая хрень БЫЛА:
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(1): /usr/local/etc/rc.d/squid.sh restart
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(2): /usr/local/etc/rc.d/squid.sh restart
2012/03/05 00:53:41| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 75: http_access allow password localnet
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(3): /usr/local/etc/rc.d/squid.sh restart
2012/03/05 00:54:56| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 75: http_access allow password localnet
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
2012/03/05 00:55:01| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 75: http_access allow password localnet
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
Щас нормально запускается без Allow users on interface, squid нормально пашет, не тормозит, пускает только тех кого нужно.

default666

SysR

Такой АЦЛ может быть не единственным а например из группы в АД можно задать соответствие пользователя скорости в delay_pools:

Накатай на эту тему отдельную статью. Для pfsense.

SysR

К сожалению стандартная схема пулов в пфСенсе настроена на ограничение по типам файлов а не по группам. Поэтому пока что разрулись скорось по (внешним) групам не представляется возможным стандартным способом.

Если кому интересно поправить файл через консоль то могу накидать небольшой мануал что и как.

Alevander_V_G

À â êàêîé ñòðî÷êå ôàéëà squid.inc äîáàâëÿòü -R ?
Âñå, âðîäå, çàðàáîòàëî, êàê îïèñàíî â ñòàòüå. Íî âîò ïðîáëåììà: êàê áûòü åñëè èìÿ ãðóïïû ñîäåðæèò ïðîáåëû? Íèêàê íå ïîëó÷àåòñÿ ïåðåäàòü. "" - íå ïîìîãàþò.
È ïðîáîâàë ëè êòî-íèáóäü äåëàòü negotiate àâòîðèçàöèþ ñ ó÷åòîì ïðèíàäëåæíîñòè ãðóïïàì?

SysR

/usr/local/libexec/squid/squid_ldap_auth -R [….]

Alevander_V_G

×òîáû ðàáîòàëî äåéñòâèëåëüíî ïî ãðóïïàì, íàäî ôàéë /usr/local/pkg/squid.inc ïîïðàâèòü òàê, ÷òîáû â squid.conf íå äîáàâëÿëèñü ñòðîêè:
acl password proxy_auth REQUIRED
http_access allow password localnet
Äëÿ ýòî äîñòàòî÷íî ïåðåä íèìè ïîñòàâèòü #.

Ïîïðîáîâàë âñå ýòî íà squid 3.1.19. Òàì ïðèøëîñü ñåðüåçíåå ïîïðàâèòü squid.inc, òàê êàê îáëàñòü Custom Settings, çà÷åì òî, âïèñûâàåòñÿ ðàíüøå ÷åì íàì ýòî íàäî. Íî ïîêà íå çàðàáîòàëî.  ëîãàõ ïèøåò:
WARNING: Cannot run '/usr/local/libexec/squid/squid_ldap_group' process
Õîòÿ èç êîììàíäíîé ñòðîêè âñå ñðàáàòûâàåò.
  :(

SysR

Не обновляйте 3ий сквид кто пользуется ЛДАП авторизацией. Рискуете получить:

Can't use proxy auth because no authentication schemes are fully configured.

Alevander_V_G

А хоть кто-нибудь настраивал Negotiate authentication method в pfSense? Ну не красиво это в 21 веке заставлять пользователей по 10 раз на дню вводить пароли и передавать их в открытом виде.

SysR

Браузер не просит пароль снова пока его не закроешь.

faint

возможно восстановить картинки из первого поста?

SysR

@faint:

возможно восстановить картинки из первого поста?

К сожалению нет. Так как пришлось пока что отказаться от ЛДАП авторизации. Все необходимые опции продублированы в текстовом описании кроме строки поиска в squid.inc: /usr/local/libexec/squid/squid_ldap_auth -R [….]

nomeron

Всем рекомендую пробовать по следующему блоку в доп параметрах:
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domen,dc=edu" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=CN=%a,DC=domen,DC=edu))" -D user@domen.edu -w pass 192.168.0.1:389;acl ad_inet external ldap_users inetusers;http_access allow ad_inet;
Здесь: user@domen.edu - пользователь с правами в контейнере Users
domen.edu -имя домен
pass - пароль

stafford

Нажимаю сохранить и выскакивает ошибка

The host 'external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=test,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users_test,dc=test,dc=local))" -D smvСОБАКАtest.local -w super_password 192.168.1.1;' is not a valid CIDR range
The host 'acl ad_inet external ldap_users users_test;' is not a valid CIDR range
The host 'http_access allow ad_inet;' is not a valid CIDR range

домен - test.local
группа - users_test
админ - test.local\smv