SQUID + LDAP + AD
-
Тему сначала почитайте.
Первый этап в любом случае:Попробуй в консоли посмотреть что возвращают:
Code:
/usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=hq,dc=domain,dc=com))" -D srv@domain.com -w pwd 192.168.1.1/usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=domain,dc=com -D srv@domain.com -w pwd -f "sAMAccountName=%s" -u cn -P 192.168.1.1:389
Первой команде в консоли указываешь user[пробел]group[энтэр]Должно вернуть ОК или ERR
Второй user[пробел]passwd[энтэр] так же должен увидеть ОК или ERRВот это должно работать. По крайней мере вторая команда для пользователя.
Если не работает - искать причину (маршрутизация правила фаервола с двух сторон, политики безопасности сети, DNS и тп) -
Я извиняюсь может за глупый вопрос, но про какую консоль идет речь, т е мне нужно подрубиться к машине с pfsense через shell и от имени root ввести туда эти команды??? Просто я раньше был мышевозом вот и туплю при работе с Unix системами, а компания хотит переходить на OpenSorce… Разъясните плиз!!! Заранее благодарен!
И еще оговорюсь, что домен поднят на Win Server 2008 R2, это как-то может влиять на ход вещей? Еще хотел бы уточнить а вот этот фильтр для чего userPrincipalNAme=%s ?
-
Я извиняюсь может за глупый вопрос, но про какую консоль идет речь, т е мне нужно подрубиться к машине с pfsense через shell и от имени root ввести туда эти команды??? Просто я раньше был мышевозом вот и туплю при работе с Unix системами, а компания хотит переходить на OpenSorce… Разъясните плиз!!! Заранее благодарен!
И еще оговорюсь, что домен поднят на Win Server 2008 R2, это как-то может влиять на ход вещей? Еще хотел бы уточнить а вот этот фильтр для чего userPrincipalNAme=%s ?
http://forum.pfsense.org/index.php/topic,22839.msg126296.html#msg126296
-
И еще оговорюсь, что домен поднят на Win Server 2008 R2, это как-то может влиять на ход вещей? Еще хотел бы уточнить а вот этот фильтр для чего userPrincipalNAme=%s ?
В Win Server 2008 R2 у объектов есть закладка "Редактор атрибутор". Там и смотрите значения.
userPrincipalNAme полное имя пользователя. Фактически это sAMAccountName@имя домена.
Сама операционная система не влияет на атрибуты. Влиять будет режим работы домена, но тут в примерах только стандартные атрибуты, которые всюду одинаковые.
Лучше эксперименты проводить в начале без русских букв в значениях.
Т.е использовать (memberOf=cn=%a,ou=hq,dc=domain,dc=com) а не (memberOf=cn=%a,ou="Бухгалтерия",dc=domain,dc=com)
Еще, может кто, на счет регистра символов подскажет, зачем писать memberOf ? -
Спасибо всем за помощь, все заработало… Теперь есть другой вопрос, окно авторизации нельзя ли убрать??? Т.е. чтобы пользователь входил в инет но не требовалось вбивать постоянно логин и пароль, или как разрешить SSL трафик для всех пользователей домена...? Просто в конторе MACов много, и с ними есть проблемы иногда припроверки сертификатов начинают снова просить авторизацию... Помогите с SSL трафиком, спасибо!
-
Если нужен подсчет трафика по каждому пользователю, то только через окно авторизации, иначе советую купить керио.
-
Приветствую!
Все настроил как описано выше. Не работает.
Ввожу в консоле проверочные команды:
На первую команду отвечает ERR.
На вторую команду отвечает OK.
В результате в броузере выскакивает окно для ввода логина и пароля. Если вбить правильный логин и пароль работает, если нет, то просить пароль до бесконечности.
Подскажите, что я делаю не так? -
Дык, а что не так? Если по правильному заходит а по неправильному не заходит? Какую цель желаете достичь и что сейчас есть? Опишите поподробней…
-
Дык, а что не так? Если по правильному заходит а по неправильному не заходит? Какую цель желаете достичь и что сейчас есть? Опишите поподробней…
По идее аутентификация LDAP подразумевает, что при входе в браузер и наборе адреса сайта логин и пароль пользователя берутся автоматом и ни каких окон с запросом логина и пароля быть не должно.
Выше по тексту были опубликованы проверочные команды типа:
**/usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=hq,dc=domain,dc=com))" -D srv@domain.com -w pwd 192.168.1.1/usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=domain,dc=com -D srv@domain.com -w pwd -f "sAMAccountName=%s" -u cn -P 192.168.1.1:389
Первой команде в консоли указываешь user[пробел]group[энтэр]Должно вернуть ОК или ERR
Второй user[пробел]passwd[энтэр] так же должен увидеть ОК или ERR**
Так вот при наборе подобных команд в консоле у меня на первую выдает ошибку, а на вторую ОК.
Почему не пойму. -
2 дня мучений и косяк найден.
Оказалось что контейнер Users это CN, а не OU.
Теперь команды хелперов выполняются нормально, правила squid все равно не работают так как хотелось.
Вот кусок squid.conf:Custom options
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "DC=domen,DC=local" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=CN=%a,CN=Users,DC=domen,DC=local))" -D Proxys@domen.local -w 123456 192.168.1.1
acl ad_inet external ldap_users InetUsers
http_access allow ad_inetauth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b DC=domen,DC=local -D Proxys@domen.local -w 123456 -f "sAMAccountName=%s" -u CN -P 192.168.1.1:389
auth_param basic children 6
auth_param basic realm Please enter login and password
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
http_access allow password localnetПри открытии броузера и ввода адреса вылетает окно с запросом логина и пароля. Т.е. получается действует вот этот кусок: auth_param basic program ….
Подскажите, так и должно быть или все таки кусок external_acl_type ldap_users... не работает? -
При открытии броузера и ввода адреса вылетает окно с запросом логина и пароля. Т.е. получается действует вот этот кусок: auth_param basic program ….
Подскажите, так и должно быть или все таки кусок external_acl_type ldap_users... не работает?Так и должно быть.
Прозрачно работает только NTLM авторизация, это уже совсем другая тема.По поводу Users… да это у МС почему-то CN, поэтому рекомендуется в АД создавать отдельные OU для своих пользователей.
-
C NTLM авторизацией тоже не все гладко. По уму надо бы делать через керберос и винбинд. Но это гемор такой, что проще сразу целый сервер FREEBSD или LINUX поставить.
-
В процессе работы возникла новая проблема: Как в lightsquid-e имена пользователей из AD заменить на фамилии имена и желательно в кириллице для отчета статистика. Прочел настройку lightsquid. Там есть файлик настройки realname.cfg, но он работает с IP-адресами, а у меня имена пользователей. Как быть?
-
В процессе работы возникла новая проблема: Как в lightsquid-e имена пользователей из AD заменить на фамилии имена и желательно в кириллице для отчета статистика. Прочел настройку lightsquid. Там есть файлик настройки realname.cfg, но он работает с IP-адресами, а у меня имена пользователей. Как быть?
А если в этом файле прописать сопоставление фамилия-имя - имя пользователя. По аналогии с IP ?
-
А вы знаете действительно помогло.
Только почему-то в документации об этом ничего не сказано. -
А вы знаете действительно помогло.
Только почему-то в документации об этом ничего не сказано.Честно говоря, не ожидал. Просто по аналогии посоветовал.
P.s. И да, я тоже рад что вышло. Возьму на заметку :)
-
2ТС: а нельзя ли картинки обновить в первом посте, а то похоже прибились они на хостинге?
-
2ТС: а нельзя ли картинки обновить в первом посте, а то похоже прибились они на хостинге?
А вот для этого есть возможность прикреплять картинки и файлы к посту в Additional Options.
-
-
2ТС: а нельзя ли картинки обновить в первом посте, а то похоже прибились они на хостинге?
А вот для этого есть возможность прикреплять картинки и файлы к посту в Additional Options.
Я где-то не там смотрю картинки, или это не мне адресовано? sry за отфтоп
Это скорее напоминание для выкладывающих картинки на сторонние хостинги. Естественно от моего напоминания на тех хостингах картинки сами не поправятся.
