PfSense + squid (2.7.9)+ SquidGuard (1.4_4 ) + LDAP, AD (Win Server 2008)
-
Добрый день.
Подскажите как правильно настроить такую связку как squid+SquidGuard в PfSense для авторизации и самое главное фильтрации пользователей через LDAP?В данный момент как я понимаю squid авторизует пользователей из AD благодаря тому что в настройках Authentication method указан аккаунт с правами на чтение каталога AD и сам сервер. Авторизация работает, LightSquid кое как считает даже это все. Но я не очень понимаю как мне поделить пользователей на группы? Это делать в Custom Options во вкладке Squid? Строками типа:
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=tsvu,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=tsvu,dc=local)****КСТАТИ ЧТО ТУТ НАДО УКАЗЫВАТЬ?? В OU USERS как бы ничего нет все в других папках причем не в одной а в нескольких..)" -D squid@tsvu.local -w fO6PZezH 10.152.173.74;
acl ad_inet_suv external ldap_users InetSuv;
acl ad_inet_user external ldap_users InetUser;
http_access allow ad_inet_suv;
http_access allow ad_inet_user;
redirect_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5или делать это в Groups Access Control List (ACL) но у же в SquidGuard? там тоже можно указать Client (source) Ldap search.
Подскажите кто знает каким образом работает эта авторизация и как настроить. Спасибо, буду рад любой помощи!
-
Для фильтрации изменил надпись в SquidGuard - Groups Access Control List (ACL) - Client (source) на
ldapusersearch ldap://tsvu.local:3268/dc=tsvu,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=InetSuv,OU=TSVU_USER,DC=tsvu,DC=local))
и пока что все ок, Custom Options в Squid не трогал..