SQUID + LDAP + AD

PhoenixFV

Дык, а что не так? Если по правильному заходит а по неправильному не заходит? Какую цель желаете достичь и что сейчас есть? Опишите поподробней…

swch

@PhoenixFV:

Дык, а что не так? Если по правильному заходит а по неправильному не заходит? Какую цель желаете достичь и что сейчас есть? Опишите поподробней…

По идее аутентификация LDAP подразумевает, что при входе в браузер и наборе адреса сайта логин и пароль пользователя берутся автоматом и ни каких окон с запросом логина и пароля быть не должно.
Выше по тексту были опубликованы проверочные команды типа:
**/usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=hq,dc=domain,dc=com))" -D srv@domain.com -w pwd 192.168.1.1

/usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b dc=domain,dc=com -D srv@domain.com -w pwd -f "sAMAccountName=%s" -u cn -P 192.168.1.1:389
Первой команде в консоли указываешь user[пробел]group[энтэр]Должно вернуть ОК или ERR
Второй user[пробел]passwd[энтэр] так же должен увидеть ОК или ERR**
Так вот при наборе подобных команд в консоле у меня на первую выдает ошибку, а на вторую ОК.
Почему не пойму.

swch

2 дня мучений и косяк найден.
Оказалось что контейнер Users это CN, а не OU.
Теперь команды хелперов выполняются нормально, правила squid все равно не работают так как хотелось.
Вот кусок squid.conf:

Custom options

external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "DC=domen,DC=local" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=CN=%a,CN=Users,DC=domen,DC=local))" -D Proxys@domen.local -w 123456 192.168.1.1
acl ad_inet external ldap_users InetUsers
http_access allow ad_inet

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v 3 -b DC=domen,DC=local -D Proxys@domen.local -w 123456 -f "sAMAccountName=%s" -u CN -P 192.168.1.1:389
auth_param basic children 6
auth_param basic realm Please enter login and password
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
http_access allow password localnet

При открытии броузера и ввода адреса вылетает окно с запросом логина и пароля. Т.е. получается действует вот этот кусок: auth_param basic program ….
Подскажите, так и должно быть или все таки кусок external_acl_type ldap_users... не работает?

SysR

При открытии броузера и ввода адреса вылетает окно с запросом логина и пароля. Т.е. получается действует вот этот кусок: auth_param basic program ….
Подскажите, так и должно быть или все таки кусок external_acl_type ldap_users... не работает?

Так и должно быть.
Прозрачно работает только NTLM авторизация, это уже совсем другая тема.

По поводу Users… да это у МС почему-то CN, поэтому рекомендуется в АД создавать отдельные OU для своих пользователей.

swch

C NTLM авторизацией тоже не все гладко. По уму надо бы делать через керберос и винбинд. Но это гемор такой, что проще сразу целый сервер FREEBSD или LINUX поставить.

swch

В процессе работы возникла новая проблема: Как в lightsquid-e имена пользователей из AD заменить на фамилии имена и желательно в кириллице для отчета статистика. Прочел настройку lightsquid. Там есть файлик настройки realname.cfg, но он работает с IP-адресами, а у меня имена пользователей. Как быть?

werter

@swch:

В процессе работы возникла новая проблема: Как в lightsquid-e имена пользователей из AD заменить на фамилии имена и желательно в кириллице для отчета статистика. Прочел настройку lightsquid. Там есть файлик настройки realname.cfg, но он работает с IP-адресами, а у меня имена пользователей. Как быть?

А если в этом файле прописать сопоставление фамилия-имя - имя пользователя. По аналогии с IP ?

swch

А вы знаете действительно помогло.
Только почему-то в документации об этом ничего не сказано.

werter

@swch:

А вы знаете действительно помогло.
Только почему-то в документации об этом ничего не сказано.

Честно говоря, не ожидал. Просто по аналогии посоветовал.

P.s. И да, я тоже рад что вышло. Возьму на заметку :)

Safer

2ТС: а нельзя ли картинки обновить в первом посте, а то похоже прибились они на хостинге?

dvserg

@Safer:

2ТС: а нельзя ли картинки обновить в первом посте, а то похоже прибились они на хостинге?

А вот для этого есть возможность прикреплять картинки и файлы к посту в Additional Options.

Safer

@dvserg:

@Safer:

2ТС: а нельзя ли картинки обновить в первом посте, а то похоже прибились они на хостинге?

А вот для этого есть возможность прикреплять картинки и файлы к посту в Additional Options.

Я где-то не там смотрю картинки, или это не мне адресовано? sry за отфтоп

dvserg

@Safer:

@dvserg:

@Safer:

2ТС: а нельзя ли картинки обновить в первом посте, а то похоже прибились они на хостинге?

А вот для этого есть возможность прикреплять картинки и файлы к посту в Additional Options.

Я где-то не там смотрю картинки, или это не мне адресовано? sry за отфтоп

Это скорее напоминание для выкладывающих картинки на сторонние хостинги. Естественно от моего напоминания на тех хостингах картинки сами не поправятся.

ultra

Настраивал по этому мануалу: http://vicryhc.wordpress.com/2013/07/08/how-to-setting-squid-on-pfsense-with-authentiaction-ldap-windows/
AD Server 2008R2 + Pfsense 2.0.3-RELEASE-i386-20130412-1022 + клиенты WinXP/Win7

Angel_19

Может автор темы сделает более подробную статью?
А то что-то уж больно кратко…

kegelo

Так в итоге у кого нить получилось окошко с авторизацией логина и пароля убрать?

ultra

@kegelo:

Так в итоге у кого нить получилось окошко с авторизацией логина и пароля убрать?

В смысле? Авторизация в AD но без ввода логина/пароля как в transparent?

kozyan

Доброго времени суток!

Подскажите пожалуйста возможно ли подружить PfSense с доменными логинами которые написаны на кириллице?

Имеется PfSense 2.01 + Squid 3.1.20 + LDAP auth
Пробовал в доп настройках сквида ставить " auth_param basic utf8 on"  однако результат тот же….

Может есть вариант других связок? В целом не обязательно чтобы это был сквид.

werter

Вар .1 - обновление ( или установка с нуля 2.1 и подтягивание конфигов) до версии 2.1

Вар. 2 - https://redmine.pfsense.org/issues/2227

It was indeed a missing utf8_encode():

I changed source:/etc/inc/auth.inc@184a6ceb#L1054 as following:
11054c1054
2<            $search    = @$ldapfunc($ldap,$ldac_split,$ldapfilter);
3–-
4>            $search    = @$ldapfunc($ldap,utf8_encode($ldac_split),$ldapfilter);
51056c1056
6<            $search  = @$ldapfunc($ldap,"{$ldac_split},{$ldapbasedn}",$ldapfilter);
7---
8>            $search  = @$ldapfunc($ldap,utf8_encode("{$ldac_split},{$ldapbasedn}"),$ldapfilter);

And LDAP-based authentication is working just fine by now.

lex 0

Добрый день!

А можно показать адекватный скриншоты Firewall rules, при данной связке SQUID + LDAP + AD? А так же настройки: Proxy server: General settings, Proxy server: Access control, Proxy server: Authentication.

Буду очень признателен!!!