SQUID + LDAP + AD
-
Скорее всего у тебя срабатывает АЦЛ по ЛОКАЛНЕТ то есть доступ всем авторизированым не зависимо от того в группе или нет.
Как его прибить ПРАВИЛЬНО этот ACL? Ибо при тупом комментировании оного в squid.conf всё начинает правильно работать, однако при сохранении настроек через веб интерфейс squid.conf перезаписывыается с настройками http_access allow password localnet.
-
Выложи скрин страницы General в рабочем состоянии ну и логи, чего не стартует без Allow users on interface
-
Вот такая хрень БЫЛА:
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(1): /usr/local/etc/rc.d/squid.sh restart
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(2): /usr/local/etc/rc.d/squid.sh restart
2012/03/05 00:53:41| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 75: http_access allow password localnet
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
[2.0-RELEASE][admin@hqgw3.rrsrv.ath.cx]/root(3): /usr/local/etc/rc.d/squid.sh restart
2012/03/05 00:54:56| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 75: http_access allow password localnet
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
2012/03/05 00:55:01| ACL name 'localnet' not defined!
FATAL: Bungled squid.conf line 75: http_access allow password localnet
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
Щас нормально запускается без Allow users on interface, squid нормально пашет, не тормозит, пускает только тех кого нужно. -
SysR
Такой АЦЛ может быть не единственным а например из группы в АД можно задать соответствие пользователя скорости в delay_pools:
Накатай на эту тему отдельную статью. Для pfsense.
-
К сожалению стандартная схема пулов в пфСенсе настроена на ограничение по типам файлов а не по группам. Поэтому пока что разрулись скорось по (внешним) групам не представляется возможным стандартным способом.
Если кому интересно поправить файл через консоль то могу накидать небольшой мануал что и как.
-
À â êàêîé ñòðî÷êå ôàéëà squid.inc äîáàâëÿòü -R ?
Âñå, âðîäå, çàðàáîòàëî, êàê îïèñàíî â ñòàòüå. Íî âîò ïðîáëåììà: êàê áûòü åñëè èìÿ ãðóïïû ñîäåðæèò ïðîáåëû? Íèêàê íå ïîëó÷àåòñÿ ïåðåäàòü. "" - íå ïîìîãàþò.
È ïðîáîâàë ëè êòî-íèáóäü äåëàòü negotiate àâòîðèçàöèþ ñ ó÷åòîì ïðèíàäëåæíîñòè ãðóïïàì? -
/usr/local/libexec/squid/squid_ldap_auth -R [….]
-
×òîáû ðàáîòàëî äåéñòâèëåëüíî ïî ãðóïïàì, íàäî ôàéë /usr/local/pkg/squid.inc ïîïðàâèòü òàê, ÷òîáû â squid.conf íå äîáàâëÿëèñü ñòðîêè:
acl password proxy_auth REQUIRED
http_access allow password localnet
Äëÿ ýòî äîñòàòî÷íî ïåðåä íèìè ïîñòàâèòü #.Ïîïðîáîâàë âñå ýòî íà squid 3.1.19. Òàì ïðèøëîñü ñåðüåçíåå ïîïðàâèòü squid.inc, òàê êàê îáëàñòü Custom Settings, çà÷åì òî, âïèñûâàåòñÿ ðàíüøå ÷åì íàì ýòî íàäî. Íî ïîêà íå çàðàáîòàëî.  ëîãàõ ïèøåò:
WARNING: Cannot run '/usr/local/libexec/squid/squid_ldap_group' process
Õîòÿ èç êîììàíäíîé ñòðîêè âñå ñðàáàòûâàåò.
:( -
Не обновляйте 3ий сквид кто пользуется ЛДАП авторизацией. Рискуете получить:
Can't use proxy auth because no authentication schemes are fully configured.
-
А хоть кто-нибудь настраивал Negotiate authentication method в pfSense? Ну не красиво это в 21 веке заставлять пользователей по 10 раз на дню вводить пароли и передавать их в открытом виде.
-
Браузер не просит пароль снова пока его не закроешь.
-
возможно восстановить картинки из первого поста?
-
возможно восстановить картинки из первого поста?
К сожалению нет. Так как пришлось пока что отказаться от ЛДАП авторизации. Все необходимые опции продублированы в текстовом описании кроме строки поиска в squid.inc: /usr/local/libexec/squid/squid_ldap_auth -R [….]
-
Всем рекомендую пробовать по следующему блоку в доп параметрах:
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domen,dc=edu" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=CN=%a,DC=domen,DC=edu))" -D user@domen.edu -w pass 192.168.0.1:389;acl ad_inet external ldap_users inetusers;http_access allow ad_inet;
Здесь: user@domen.edu - пользователь с правами в контейнере Users
domen.edu -имя домен
pass - пароль -
Нажимаю сохранить и выскакивает ошибка
The host 'external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=test,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users_test,dc=test,dc=local))" -D smvСОБАКАtest.local -w super_password 192.168.1.1;' is not a valid CIDR range
The host 'acl ad_inet external ldap_users users_test;' is not a valid CIDR range
The host 'http_access allow ad_inet;' is not a valid CIDR rangeдомен - test.local
группа - users_test
админ - test.local\smv -
Всех приветствую, а не могли бы вы обновить картинки к описанию, а то не могу ниодну росмотреть… Спасибо!
-
Вот здесь есть картинки http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
Squid только нужен 2.7 (если требуется авторизация по группам) -
Спасибо! А на 3 работать не будет? Мне просто нужно всем пользюкам из АД дать доступ в инет, только с авторизацией на машие…??
-
Спасибо. Сделал все по аналогии, но когда ввожу дополнительные параметры… Squid даже не запускается...
Вот мой код, помогите править...
external_acl_type ldap_Astana %LOGIN
/usr/local/libexec/squid/squid_ldap_group -R -b "dc=nat,dc=kz" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=Astana,dc=nat,dc=kz))" -D
pfsense123@nat.kz -w pfsense123 192.168.1.200
acl ad_inet external ldap_users Astana
http_access allow ad_inetБуду ждать помощи, спасибо!
-
Дополнительные параметры нужны для авторизации по группам.
Третий Squid на этом месте пишет разные ошибки. (Но запускаться должен).
Ошибки ищите Status: System logs: System
Проблемы у него с файлом /usr/local/libexec/squid/squid_ldap_groupПопробуйте без дополнительных параметров.
Уберите галку Allow users on interface
А в Proxy server: Access control пропишите подсеть, кому разрешена аутентификация
Если ключ -R как по инструкции добавили, то будет пускать всех пользователей из ADДополнительные параметры пример для второго сквида
Все одной строчкой вставляется:
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=test,dc=edu" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=test,dc=edu))" -D admin@test.edu -w pass 192.168.0.1;acl ad_ff external ldap_users InetUsers;http_access allow ad_ff;http_access deny all;