SQUID + AD
-
Добрый день!
Понимаю, что тема неоднократно уже обсуждалась как в этой ветке, так и в других. Но прошерстив все темы так и не смог уяснить для себя: можно ли использовать доменную авторизацию с SQUID в pfSense 2.3.*?
Что имеем: pfSense 2.3.2_1, AD 2003.
Что хотим: Пускать авторизованных пользователей в Интернет, делать пользователей на группы (SquidGuard).
Что сделано: в сквиде настроил авторизацию по LDAP, привожу конфиг авторизации:acl sglog url_regex -i sgr=ACCESSDENIED auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b dc=domain,dc=ru -D pfsense@domain.ru -w P@ssw0rd -f "sAMAccountName=%s" -u cn -P 192.168.1.1:389 auth_param basic children 5 auth_param basic realm Please enter your credentials to access the proxy auth_param basic credentialsttl 60 minutes acl password proxy_auth REQUIRED # Custom options after auth external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl -R -b "dc=domain,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=domain,dc=ru))" -D pfsense@domain.ru -w P@ssw0rd 192.168.1.1 acl ad_inet external ldap_users IT http_access allow ad_inet
Что получилось: в браузере (хром, ие) просит дополнительно вводить пароль. Если ввести - всё отлично, пользователя видно в логах. Если отказаться от ввода - доступ к кэшу запрещён. Избавиться от этого никак не удаётся.
Пробовал мануал с самбой - самба36 устанавливается без поддержки ADS, соответственно не может к домену подцепиться. самба4 - ругается на библиотеки.
Мучал kerberos - тоже ничего вразумительного от него не добился.Подскажите, пожалуйста, что я делают не так и куда ещё капнуть для достижения заданной цели.
-
Дык так и должно работать. Без запроса логина и пароля пользователя надо юзать NTLM авторизацию.
Здесь описано как это сделать: http://pf2ad.mundounix.com.br/en/index.html
Но возникает другая проблема: как разделить пользователей по скорости интернета и как заблокировать тех, кому он не нужен. -
ооо, спасибо огромное за эту ссылочку. я и не знал про этот проект, а он действительно помог решить мою проблему, над которой я бился 4 дня, за 5 минут. а я уж хотел отказываться от pfsense в пользу чистого freebsd…
резать скорости мне нет необходимости, а блочить инет можно через squidguard, вроде, основываясь на вхождение в доменные группы. но в этом тоже пока нет необходимости. основной проблемой было подружить домен с прокси.