Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    pfSense + Squid + AD

    Scheduled Pinned Locked Moved Russian
    23 Posts 7 Posters 3.9k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      Konstanti @20ivs
      last edited by Konstanti

      @20ivs
      т е отличие только в том , что вместо
      /usr/local/libexec/squid/basic_ldap_auth

      надо использовать
      /usr/local/libexec/squid/ext_ldap_group_acl

      все остальное остается таким же как в шаблоне ????
      должно выглядеть так ??
      /usr/local/libexec/squid/ext_ldap_group_acl -v XXX -b XXX -D XXX -w XXXX -f "XXXXX" -u XXXX -P XXXX:PPP
      Просьба , ориентируйтесь на шаблон , а не то как заполнено в конфиге
      Так проще

      1 Reply Last reply Reply Quote 0
      • L
        lucas1
        last edited by

        Да, я посмотрел squid.conf. basic_ldap_auth работает для групп. Только - u uid в моем .conf/.
        Но:
        как сделать, чтобы не было Authentication Prompt?

        1 Reply Last reply Reply Quote 0
        • werterW
          werter
          last edited by

          как сделать, чтобы не было Authentication Prompt?

          Может это ?
          https://pf2ad.mundounix.com.br/

          L milleniumM 2 Replies Last reply Reply Quote 0
          • L
            lucas1 @werter
            last edited by

            А вообще появление Authentication Prompt это нормально?
            У вас такого приглашения ввода пароля нет?

            1 Reply Last reply Reply Quote 0
            • 2
              20ivs
              last edited by

              В общем, проблема решена. Развернут нормальный полноценный Squid и никто теперь не затирает конфиг и не мешает выбирать в конфиге нужный хелпер 😀
              Всем спасибо за участие! Хороших выходных! 🍹

              1 Reply Last reply Reply Quote 1
              • milleniumM
                millenium @werter
                last edited by

                @werter теперь стал платный ..☹

                werterW 1 Reply Last reply Reply Quote 0
                • werterW
                  werter @millenium
                  last edited by werter

                  @millenium
                  Попробуйте скачать скрипт https://github.com/pf2ad/pf2ad, убрать проверку версии пф в нем:

                  Закомментировать\удалить строчки:

                  ...
# Verifica versao pfSense
# if [ "$(cat /etc/version)" != "2.4.3-RELEASE" ]; then
#	echo "ERROR: You need the pfSense version 2.4.3 to apply this script"
#	exit 2
# fi
...

                  И уже после запустить скрипт :

                  sh pf2ad.sh

                  Может и сработать, если разработчик не грохнул зависимости, к-ые он подтягивает.

                  1 Reply Last reply Reply Quote 0
                  • K
                    kingar
                    last edited by

                    Добрый день.
                    PfSense 2.4.5-RELEASE-p1 настроена авторизация Squid через AD.
                    Проблема с авторизацией доменной УЗ в браузере.
                    В организации есть два типа УЗ: рабочие и сервисные. Рабочие - меняется пароль каждый месяц и нет ограничений "вход на". Сервисные - пароль меняется реже, но прописаны сервера в "вход на" (убрать нельзя).
                    Если указать в настройках Squid сервисную УЗ, то авторизация в браузере не проходит, если указать рабочую УЗ - все работает.
                    Использовать рабочую УЗ не удобно (менять пароль каждый месяц, отпуска, увольнения).
                    У сервисной УЗ прописаны все сервера("вход на"), и где стоит браузер, и где pfsense, и AD. Раньше ограничений("вход на") не было, УЗ сервисные работали.
                    Есть подозрения, что pfsense (squid) обращается к AD под другим именем. Прописывал в hosts имя сервера и блокировал файл, чтоб pfsense не переписывал, не помогло. Что еще можно посмотреть?

                    werterW 1 Reply Last reply Reply Quote 0
                    • werterW
                      werter @kingar
                      last edited by werter

                      @kingar

                      Не оч. понятное объяснение (

                      У вас есть учетка, к-ую пользует пф для входа в АД.
                      В GPO в настройках данной учетки поставьте ЗАПРЕТ на примение политики, к-ая заставляет менять пароли каждый месяц. Т.е. добавьте ее в исключения этой политики. ЗАПРЕТ имеет более высокий приоритет.

                      Зы. Кстати, сама MS НЕ РЕКОМЕНДУЕТ использовать ежемесячную политику смены пароля. И в вин серв 2016, 2019 по-умолчанию этот идиотизм выкл.
                      Если человек увольняется, то просто откл. его учетку в АД. А через 3 мес. пройдитесь скриптом на Powershell, к-ый удалит учетки, логон к-ых старше 3-х месяцев.
                      Хороший ресурс с примерами таких скриптов http://woshub.com/

                      K 1 Reply Last reply Reply Quote 0
                      • K
                        kingar @werter
                        last edited by

                        @werter
                        Доступа к AD у меня нет. Админы AD не будут мои хотелки делать, ответ прост "не работает - не используйте".
                        Буду пробовать отлавливать, как pfsense обращается к AD учеткой, у которой ограничен доступ входа на сервера.

                        werterW 1 Reply Last reply Reply Quote 0
                        • werterW
                          werter @kingar
                          last edited by werter

                          @kingar

                          Есть подозрения, что pfsense (squid) обращается к AD под другим именем.

                          Есть подозрение , что пф общается с АД под той учеткой, к-ая указана для этого в настройках. Не выдумывайте.

                          Прописывал в hosts имя сервера и блокировал файл

                          Объясните смысл сего.

                          Или лдап-фильтр крутите для АД-учетки на пф. Но не думаю, что дело в нем.
                          Или просите админов на той стороне сделать так, как было предложено выше. Иначе пароль учетки, к-ую пф пользует для общения с АД будет каждый месяц уходить в бан по причине идиотской политики, от к-ый отказались даже разработчики АД.

                          Ссылка https://www.securitylab.ru/news/498917.php

                          K 1 Reply Last reply Reply Quote 0
                          • K
                            kingar @werter
                            last edited by

                            @werter said in pfSense + Squid + AD:

                            Объясните смысл сего.

                            На контроллере домена фиксировался запрос авторизации от сервера "localhost.domain.local", такое имя прописано в hosts, поэтому решил зафиксировать в hosts имя сервера "server045.domain.local". Данное решение не помогло.

                            Проблему решил так: сделал бэкап, переустановил pfsense(сброс на дефолт не помог) и накатил бэкап. После этого контроллер стал принимать имя сервера "server045.domain.local".

                            werterW 1 Reply Last reply Reply Quote 0
                            • werterW
                              werter @kingar
                              last edited by werter

                              @kingar

                              После этого контроллер стал принимать имя сервера "server045.domain.local".

                              Причем тут имя пф в сети? Важна учетка в АД ,к-ая прописана в настройках ЛДАП-аутентификации на пф. И какие ПРАВА у этой учетки в самой АД.

                              1 Reply Last reply Reply Quote 0
                              • First post
                                Last post
                              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.