• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

SQUID + LDAP + AD

Scheduled Pinned Locked Moved Russian
57 Posts 17 Posters 49.6k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • D
    default666
    last edited by Mar 4, 2012, 5:12 PM Mar 4, 2012, 4:56 PM

    http_access allow password localnet
    ```- хз, сам не знаю что это такое.
    
    /usr/local/libexec/squid/squid_ldap_group -R -b "dc=rrsrv,dc=ath,dc=cx" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=IT,ou=users,ou=HQ,dc=rrsrv,dc=ath,dc=cx))" -D pfs@rrsrv.ath.cx -w pfs 192.168.1.11 > **ERR**
    
    /usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=rrsrv,dc=ath,dc=cx -D pfs@rrsrv.ath.cx -w pfs -f "sAMAccountName=%s" -u cn -P 192.168.1.11:389 > **OK**
    
    А группу какую указывать основную или любую в которую входит пользователь?
    1 Reply Last reply Reply Quote 0
    • S
      SysR
      last edited by Mar 4, 2012, 5:38 PM Mar 4, 2012, 5:29 PM

      На группу в который пользователь должно вернуть ОК на левую ERR.

      Скорее всего у тебя срабатывает АЦЛ по ЛОКАЛНЕТ то есть доступ всем авторизированым не зависимо от того в группе или нет.
      Кстати у тебя какой сквид? Я устанавливал 3ий но установился 2,7  ???

      Allow users on interface включен? У меня нет.

      1 Reply Last reply Reply Quote 0
      • D
        default666
        last edited by Mar 4, 2012, 6:30 PM Mar 4, 2012, 6:13 PM

        Кое-какая продрись произошла:
        [2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(1): /usr/local/libexec/squid/squid_ldap_group -R -b "dc=rrsrv,dc=ath,dc=cx" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,ou=HQ,dc=rrsrv,dc=ath,dc=cx))" -D pfs@rrsrv.ath.cx -w pfs 192.168.1.11
        adm InetUsers
        OK

        косяк видимо был в пути: (memberOf=cn=%a,ou=HQ,dc=rrsrv,dc=ath,dc=cx)

        squid 2.7.9 STABLE  устанавливал его

        Allow users on interface включен. Без этого squid не стартует.

        Перестало тормозить при первом входе на веб страницу, однако пускает всех авторизованных.

        1 Reply Last reply Reply Quote 0
        • D
          default666
          last edited by Mar 4, 2012, 6:39 PM Mar 4, 2012, 6:35 PM

          @SysR:

          Скорее всего у тебя срабатывает АЦЛ по ЛОКАЛНЕТ то есть доступ всем авторизированым не зависимо от того в группе или нет.

          Как его прибить ПРАВИЛЬНО этот ACL? Ибо при тупом комментировании оного в squid.conf всё начинает правильно работать, однако при сохранении настроек через веб интерфейс squid.conf перезаписывыается с настройками http_access allow password localnet.

          1 Reply Last reply Reply Quote 0
          • S
            SysR
            last edited by Mar 4, 2012, 6:42 PM

            Выложи скрин страницы General в рабочем состоянии ну и логи, чего не стартует без Allow users on interface

            1 Reply Last reply Reply Quote 0
            • D
              default666
              last edited by Mar 6, 2012, 3:06 PM Mar 6, 2012, 3:03 PM

              Вот такая хрень БЫЛА:
              [2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(1): /usr/local/etc/rc.d/squid.sh restart
              [2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(2): /usr/local/etc/rc.d/squid.sh restart
              2012/03/05 00:53:41| ACL name 'localnet' not defined!
              FATAL: Bungled squid.conf line 75: http_access allow password localnet
              Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
              [2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(3): /usr/local/etc/rc.d/squid.sh restart
              2012/03/05 00:54:56| ACL name 'localnet' not defined!
              FATAL: Bungled squid.conf line 75: http_access allow password localnet
              Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
              2012/03/05 00:55:01| ACL name 'localnet' not defined!
              FATAL: Bungled squid.conf line 75: http_access allow password localnet
              Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
              Щас нормально запускается без Allow users on interface, squid нормально пашет, не тормозит, пускает только тех кого нужно.

              1 Reply Last reply Reply Quote 0
              • D
                default666
                last edited by Mar 7, 2012, 5:47 PM

                SysR

                Такой АЦЛ может быть не единственным а например из группы в АД можно задать соответствие пользователя скорости в delay_pools:

                Накатай на эту тему отдельную статью. Для pfsense.

                1 Reply Last reply Reply Quote 0
                • S
                  SysR
                  last edited by Mar 15, 2012, 8:37 AM

                  К сожалению стандартная схема пулов в пфСенсе настроена на ограничение по типам файлов а не по группам. Поэтому пока что разрулись скорось по (внешним) групам не представляется возможным стандартным способом.

                  Если кому интересно поправить файл через консоль то могу накидать небольшой мануал что и как.

                  1 Reply Last reply Reply Quote 0
                  • A
                    Alevander_V_G
                    last edited by May 4, 2012, 11:52 AM May 4, 2012, 10:57 AM

                    À â êàêîé ñòðî÷êå ôàéëà squid.inc äîáàâëÿòü -R ?
                    Âñå, âðîäå, çàðàáîòàëî, êàê îïèñàíî â ñòàòüå. Íî âîò ïðîáëåììà: êàê áûòü åñëè èìÿ ãðóïïû ñîäåðæèò ïðîáåëû? Íèêàê íå ïîëó÷àåòñÿ ïåðåäàòü. "" - íå ïîìîãàþò.
                    È ïðîáîâàë ëè êòî-íèáóäü äåëàòü negotiate àâòîðèçàöèþ ñ ó÷åòîì ïðèíàäëåæíîñòè ãðóïïàì?

                    1 Reply Last reply Reply Quote 0
                    • S
                      SysR
                      last edited by May 4, 2012, 12:06 PM May 4, 2012, 12:03 PM

                      /usr/local/libexec/squid/squid_ldap_auth -R [….]

                      1 Reply Last reply Reply Quote 0
                      • A
                        Alevander_V_G
                        last edited by May 11, 2012, 8:38 AM

                        ×òîáû ðàáîòàëî äåéñòâèëåëüíî ïî ãðóïïàì, íàäî ôàéë /usr/local/pkg/squid.inc ïîïðàâèòü òàê, ÷òîáû â squid.conf íå äîáàâëÿëèñü ñòðîêè:
                        acl password proxy_auth REQUIRED
                        http_access allow password localnet
                        Äëÿ ýòî äîñòàòî÷íî ïåðåä íèìè ïîñòàâèòü #.

                        Ïîïðîáîâàë âñå ýòî íà squid 3.1.19. Òàì ïðèøëîñü ñåðüåçíåå ïîïðàâèòü squid.inc, òàê êàê îáëàñòü Custom Settings, çà÷åì òî, âïèñûâàåòñÿ ðàíüøå ÷åì íàì ýòî íàäî. Íî ïîêà íå çàðàáîòàëî.  ëîãàõ ïèøåò:
                        WARNING: Cannot run '/usr/local/libexec/squid/squid_ldap_group' process
                        Õîòÿ èç êîììàíäíîé ñòðîêè âñå ñðàáàòûâàåò.
                          :(

                        1 Reply Last reply Reply Quote 0
                        • S
                          SysR
                          last edited by May 14, 2012, 7:42 AM

                          Не обновляйте 3ий сквид кто пользуется ЛДАП авторизацией. Рискуете получить:

                          Can't use proxy auth because no authentication schemes are fully configured.

                          1 Reply Last reply Reply Quote 0
                          • A
                            Alevander_V_G
                            last edited by May 18, 2012, 9:10 AM

                            А хоть кто-нибудь настраивал Negotiate authentication method в pfSense? Ну не красиво это в 21 веке заставлять пользователей по 10 раз на дню вводить пароли и передавать их в открытом виде.

                            1 Reply Last reply Reply Quote 0
                            • S
                              SysR
                              last edited by May 19, 2012, 1:28 PM

                              Браузер не просит пароль снова пока его не закроешь.

                              1 Reply Last reply Reply Quote 0
                              • F
                                faint
                                last edited by Jun 23, 2012, 3:54 PM

                                возможно восстановить картинки из первого поста?

                                1 Reply Last reply Reply Quote 0
                                • S
                                  SysR
                                  last edited by Jun 25, 2012, 5:53 AM

                                  @faint:

                                  возможно восстановить картинки из первого поста?

                                  К сожалению нет. Так как пришлось пока что отказаться от ЛДАП авторизации. Все необходимые опции продублированы в текстовом описании кроме строки поиска в squid.inc: /usr/local/libexec/squid/squid_ldap_auth -R [….]

                                  1 Reply Last reply Reply Quote 0
                                  • N
                                    nomeron
                                    last edited by Jun 25, 2012, 12:24 PM Jun 25, 2012, 12:13 PM

                                    Всем рекомендую пробовать по следующему блоку в доп параметрах:
                                    external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domen,dc=edu" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=CN=%a,DC=domen,DC=edu))" -D user@domen.edu -w pass 192.168.0.1:389;acl ad_inet external ldap_users inetusers;http_access allow ad_inet;
                                    Здесь: user@domen.edu - пользователь с правами в контейнере Users
                                    domen.edu -имя домен
                                    pass - пароль

                                    1 Reply Last reply Reply Quote 0
                                    • S
                                      stafford
                                      last edited by Sep 15, 2012, 5:12 PM Sep 15, 2012, 5:04 PM

                                      Нажимаю сохранить и выскакивает ошибка

                                      The host 'external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=test,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users_test,dc=test,dc=local))" -D smvСОБАКАtest.local -w super_password 192.168.1.1;' is not a valid CIDR range
                                      The host 'acl ad_inet external ldap_users users_test;' is not a valid CIDR range
                                      The host 'http_access allow ad_inet;' is not a valid CIDR range

                                      домен - test.local
                                      группа - users_test
                                      админ - test.local\smv

                                      1 Reply Last reply Reply Quote 0
                                      • P
                                        PhoenixFV
                                        last edited by Apr 29, 2013, 7:09 AM

                                        Всех приветствую, а не могли бы вы обновить картинки к описанию, а то не могу ниодну росмотреть… Спасибо!

                                        1 Reply Last reply Reply Quote 0
                                        • N
                                          nomeron
                                          last edited by Apr 29, 2013, 8:26 AM

                                          Вот здесь есть картинки http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
                                          Squid только нужен 2.7 (если требуется авторизация по группам)

                                          1 Reply Last reply Reply Quote 0
                                          • First post
                                            Last post
                                          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                                            This community forum collects and processes your personal information.
                                            consent.not_received