SQUID + LDAP + AD

default666 · Mar 4, 2012, 5:12 PM

http_access allow password localnet
```- хз, сам не знаю что это такое.

/usr/local/libexec/squid/squid_ldap_group -R -b "dc=rrsrv,dc=ath,dc=cx" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=IT,ou=users,ou=HQ,dc=rrsrv,dc=ath,dc=cx))" -D pfs@rrsrv.ath.cx -w pfs 192.168.1.11 > **ERR**

/usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=rrsrv,dc=ath,dc=cx -D pfs@rrsrv.ath.cx -w pfs -f "sAMAccountName=%s" -u cn -P 192.168.1.11:389 > **OK**

А группу какую указывать основную или любую в которую входит пользователь?

SysR · Mar 4, 2012, 5:38 PM

На группу в который пользователь должно вернуть ОК на левую ERR.

Скорее всего у тебя срабатывает АЦЛ по ЛОКАЛНЕТ то есть доступ всем авторизированым не зависимо от того в группе или нет.
Кстати у тебя какой сквид? Я устанавливал 3ий но установился 2,7 ???

Allow users on interface включен? У меня нет.

default666 · Mar 4, 2012, 6:30 PM

Кое-какая продрись произошла:
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(1): /usr/local/libexec/squid/squid_ldap_group -R -b "dc=rrsrv,dc=ath,dc=cx" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,ou=HQ,dc=rrsrv,dc=ath,dc=cx))" -D pfs@rrsrv.ath.cx -w pfs 192.168.1.11
adm InetUsers
OK

косяк видимо был в пути: (memberOf=cn=%a,ou=HQ,dc=rrsrv,dc=ath,dc=cx)

squid 2.7.9 STABLE устанавливал его

Allow users on interface включен. Без этого squid не стартует.

Перестало тормозить при первом входе на веб страницу, однако пускает всех авторизованных.

default666 · Mar 4, 2012, 6:39 PM

@SysR:

Скорее всего у тебя срабатывает АЦЛ по ЛОКАЛНЕТ то есть доступ всем авторизированым не зависимо от того в группе или нет.

Как его прибить ПРАВИЛЬНО этот ACL? Ибо при тупом комментировании оного в squid.conf всё начинает правильно работать, однако при сохранении настроек через веб интерфейс squid.conf перезаписывыается с настройками http_access allow password localnet.

SysR · Mar 4, 2012, 6:42 PM

Выложи скрин страницы General в рабочем состоянии ну и логи, чего не стартует без Allow users on interface

default666 · Mar 6, 2012, 3:06 PM

Вот такая хрень БЫЛА:
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(1): /usr/local/etc/rc.d/squid.sh restart
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(2): /usr/local/etc/rc.d/squid.sh restart
2012/03/05 00:53:41| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 75: http_access allow password localnet
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(3): /usr/local/etc/rc.d/squid.sh restart
2012/03/05 00:54:56| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 75: http_access allow password localnet
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
2012/03/05 00:55:01| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 75: http_access allow password localnet
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
Щас нормально запускается без Allow users on interface, squid нормально пашет, не тормозит, пускает только тех кого нужно.

default666 · Mar 7, 2012, 5:47 PM

SysR

Такой АЦЛ может быть не единственным а например из группы в АД можно задать соответствие пользователя скорости в delay_pools:

Накатай на эту тему отдельную статью. Для pfsense.

SysR · Mar 15, 2012, 8:37 AM

К сожалению стандартная схема пулов в пфСенсе настроена на ограничение по типам файлов а не по группам. Поэтому пока что разрулись скорось по (внешним) групам не представляется возможным стандартным способом.

Если кому интересно поправить файл через консоль то могу накидать небольшой мануал что и как.

Alevander_V_G · May 4, 2012, 11:52 AM

À â êàêîé ñòðî÷êå ôàéëà squid.inc äîáàâëÿòü -R ?
Âñå, âðîäå, çàðàáîòàëî, êàê îïèñàíî â ñòàòüå. Íî âîò ïðîáëåììà: êàê áûòü åñëè èìÿ ãðóïïû ñîäåðæèò ïðîáåëû? Íèêàê íå ïîëó÷àåòñÿ ïåðåäàòü. "" - íå ïîìîãàþò.
È ïðîáîâàë ëè êòî-íèáóäü äåëàòü negotiate àâòîðèçàöèþ ñ ó÷åòîì ïðèíàäëåæíîñòè ãðóïïàì?

SysR · May 4, 2012, 12:06 PM

/usr/local/libexec/squid/squid_ldap_auth -R [….]

Alevander_V_G · May 11, 2012, 8:38 AM

×òîáû ðàáîòàëî äåéñòâèëåëüíî ïî ãðóïïàì, íàäî ôàéë /usr/local/pkg/squid.inc ïîïðàâèòü òàê, ÷òîáû â squid.conf íå äîáàâëÿëèñü ñòðîêè:
acl password proxy_auth REQUIRED
http_access allow password localnet
Äëÿ ýòî äîñòàòî÷íî ïåðåä íèìè ïîñòàâèòü #.

Ïîïðîáîâàë âñå ýòî íà squid 3.1.19. Òàì ïðèøëîñü ñåðüåçíåå ïîïðàâèòü squid.inc, òàê êàê îáëàñòü Custom Settings, çà÷åì òî, âïèñûâàåòñÿ ðàíüøå ÷åì íàì ýòî íàäî. Íî ïîêà íå çàðàáîòàëî. Â ëîãàõ ïèøåò:
WARNING: Cannot run '/usr/local/libexec/squid/squid_ldap_group' process
Õîòÿ èç êîììàíäíîé ñòðîêè âñå ñðàáàòûâàåò.
:(

SysR · May 14, 2012, 7:42 AM

Не обновляйте 3ий сквид кто пользуется ЛДАП авторизацией. Рискуете получить:

Can't use proxy auth because no authentication schemes are fully configured.

Alevander_V_G · May 18, 2012, 9:10 AM

А хоть кто-нибудь настраивал Negotiate authentication method в pfSense? Ну не красиво это в 21 веке заставлять пользователей по 10 раз на дню вводить пароли и передавать их в открытом виде.

SysR · May 19, 2012, 1:28 PM

Браузер не просит пароль снова пока его не закроешь.

faint · Jun 23, 2012, 3:54 PM

возможно восстановить картинки из первого поста?

SysR · Jun 25, 2012, 5:53 AM

@faint:

возможно восстановить картинки из первого поста?

К сожалению нет. Так как пришлось пока что отказаться от ЛДАП авторизации. Все необходимые опции продублированы в текстовом описании кроме строки поиска в squid.inc: /usr/local/libexec/squid/squid_ldap_auth -R [….]

nomeron · Jun 25, 2012, 12:24 PM

Всем рекомендую пробовать по следующему блоку в доп параметрах:
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domen,dc=edu" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=CN=%a,DC=domen,DC=edu))" -D user@domen.edu -w pass 192.168.0.1:389;acl ad_inet external ldap_users inetusers;http_access allow ad_inet;
Здесь: user@domen.edu - пользователь с правами в контейнере Users
domen.edu -имя домен
pass - пароль

stafford · Sep 15, 2012, 5:12 PM

Нажимаю сохранить и выскакивает ошибка

The host 'external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=test,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users_test,dc=test,dc=local))" -D smvСОБАКАtest.local -w super_password 192.168.1.1;' is not a valid CIDR range
The host 'acl ad_inet external ldap_users users_test;' is not a valid CIDR range
The host 'http_access allow ad_inet;' is not a valid CIDR range

домен - test.local
группа - users_test
админ - test.local\smv

PhoenixFV · Apr 29, 2013, 7:09 AM

Всех приветствую, а не могли бы вы обновить картинки к описанию, а то не могу ниодну росмотреть… Спасибо!

nomeron · Apr 29, 2013, 8:26 AM

Вот здесь есть картинки http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
Squid только нужен 2.7 (если требуется авторизация по группам)