SquidGuard+ADusers+NTLM. Подсобите с настройкой.

GreyGhost

Доброго дня.
По сабжу перечитал многое, но везде идут конкретные примеры под частные случаи, а хотелось бы понять что и как надо делать.

Аутентификация в самом SQUIDe идет через AD. А вот когда хочу создать группы ACL в SquidGuard и использовать там не адреса клиентов, а AD-имена, то не получается.

Как я понимаю, чтобы аутентификация в группах шла (и логировалась) по AD-именам, необходимо:
1. В "Service / Proxy filter / General settings заполнить подраздел "LDAP Options"

• включить "LDAP Options";
• в "LDAP DN" прописать AD-имя пользователя, "читающего" LDAP (cn=LDAP_user,cn=Users,dc=domain,dc=local);
• в "LDAP DN Password" задать пароль этого пользователя в AD.

2. В "Service / Proxy filter / Groups Access:

• создать группу;
• в этой группе, в "Client (source)" прописать именно группу из AD, для которой отрабатывается ACL, т.е. прямо в том "окошке" пишем "ldapusersearch ldap://192.168.0.100/DC=domain,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=InetUsers%2cCN=Users%2cDC=domain%2cDC=local))"

…после чего AD-пользователи, занесенные в эту AD-группу, будут обрабатываться но правилам созданного ACL.

Это я так понимаю ситуацию... Но, на самом деле это не работает. :-(

Подскажите, плз, где собака порылась. :-)

werter

Что в логах pfsense, squd, squdguard ?

P.s. Может что-то из этого пригодится :

http://vicryhc.wordpress.com/2013/07/08/how-to-setting-squid-on-pfsense-with-authentiaction-ldap-windows/
https://forum.pfsense.org/index.php?topic=46843.0
http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
http://backnet.ru/2013/12/24/pfsense-squid-ad-ldap/

GreyGhost

Угу, читал это. Собственно аутентификацию самого Сквида так и настраивал. :-)
А вот на SG что-то запнулся.  :(
Но, спасибо. Побеседовали и у меня появилась некая "свежая" мысль. Буду ее думать и пробовать. :-)

GreyGhost

Возник вопрос - А откуда SG берет адрес DC? Из настроек Сквида или… ?
Ведь в его собственных настройках не увидел возможности прописать адрес.

В логе SG появляются такие строки...
(squidGuard): ldap_search_ext_s failed: Operations error (params: DC=domain,DC=local, 2, (&(sAMAccountName=UserName)(memberof=cn=ADGroupName,cn=users,dc=domain,dc=local)), sAMAccountName)
А по поведению SG создается впечатление, что вообще никакой ACL не отрабатывается… даже Common (где стоит дефолт и соцсети в deny)

dvserg

http://www.squidguard.org/Doc/ldap-ad-tips.html
Example
"ldapusersearch ldap://tic_group_dc.ticgroup.local:3268/dc=ticgroup,dc=local?sAMAccountName?sub?(&(memberof=CN=InternetGeneral%2cOU=Groups%2cOU=Altona%2cDC=ticgroup%2cDC=local)(sAMAccountName=%s))"

И вот еще http://www.squidguard.org/Doc/authentication.html

ldapbinddn     cn=root, dc=example, dc=com
 ldapbindpass   myultrasecretpassword

 # ldap cache time in seconds
 ldapcachetime  300

 src my_users { 
     ldapusersearch  ldap://ldap.example.com/cn=squidguardusers,ou=groups,dc=example,dc=com?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))
  }

 src allowed_ips {
     ldapipsearch ldap://ldap.example.com/ou=internetcomputers,dc=example,dc=com?iphostnumber?sub?(&(objectclass=iphost)(iphostnumber=%s))
 }

GreyGhost

Не помогло ни "tic_group_dc.ticgroup.local:3268", ни "ldapusersearch  ldap://ldap.example.com/cn=squidguardusers,ou=groups,dc=example,dc=com?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))"

Как включаю в "General settings" опцию "LDAP Options", так будто бы вообще не отрабатываются никакие правила SG.

mefisto74

тема старая но проблема у меня та же, авторизация через squid доменных пользователей срабатывает и как только включаю в general settings "Enable options for setup ldap connection to create filters with ldap search" то все правила ACL перестают работать. кто нибудь победил?

werter

@mefisto74
И что вы в этом пункте прописываете?
Предположу, что синтаксис неверный.