pfSense + squid. Не работает доменная авторизация.

kranky

Всем добрый день. Настраивал pfsense + squid по этому мануалу https://forum.netgate.com/topic/148868/pfsense-squid-adgroups-https, уже неделю мучаюсь с тем, что в браузере у пользователя запрашивает логин и пароль от прокси сервера, по идее должны подходить учетные данные от пользователя, который в соответствующей группе AD, но это не работает. В Groups ACL стоит такой фильтр - ldapusersearch ldap://dc-01.ax.loc:3268/DC=ax,DC=loc?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=pfsense_proxy_group%2cCN=Users%2cDC=ax%2cDC=loc))

Пишу сюда от безысходности и надеюсь на вашу помощь.

Версия ПФ: 2.5.1-RELEASE (amd64)
built on Mon Apr 12 07:50:14 EDT 2021
FreeBSD 12.2-STABLE

2021-06-15 12_12_58.jpg 2021-06-15 12_13_10.jpg ! 2021-06-15 12_16_52.jpg

werter

Добрый
@kranky
Запрос ldapusersearch ldap://dc-01.ax.loc:3268/DC=ax,DC=loc?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=pfsense_proxy_group%2cCN=Users%2cDC=ax%2cDC=loc)) правильно отрабатывает? Проверяли в консоле?

Может чего в комментах найдете https://habr.com/ru/post/492684/

kranky

@werter в консоли выдает такую ошибку, что она означает пока тоже не понял. 2021-06-16 07_55_52.jpg

вчера победил всплывающее окошко с требованием ввести логин и пароль, хотя победой это не назовешь конечно. в настройках прокси сервера (в панели управления) просто вместо ip указал hostname, то есть - https://pfsense:3128. по сути проблема лишь в том, что у сквида нет связи с АД, чтобы на основе групп блокировался или разрешался интернет.

kranky

@werter сопутствующий вопрос, в полях LDAP Server User DN и LDAP DN должна быть одна и та же учетная запись? и в каком виде? просто сколько уже форумов не читал, однозначного ответа так и не нашел :с

kranky

@werter команда /usr/local/libexec/squid/basic_ldap_auth -v 3 -b DC=ax,AC=loc -D CN=squid,CN=Users,DC=ax,DC=loc -w password -f "sAMAccountName=%s" -u uid -P dc-01.ax.loc:389
squid password

выдает такую ошибку

basic_ldap_auth: WARNING, LDAP search error 'Operations error'
BH Operations error

werter

@kranky
Тут сверялись https://habr.com/ru/post/492684/ ?

werter

@kranky
Еще
https://youtu.be/nrIXEaeji5w?t=58

kranky

@werter Вы даже не представляете, сколько я материала перелопатил на эту тему, включая все видео на ютубе)

Банально уже идеи закончились, хотя по сути должно работать. Я больше грешу на то, что у сквида по каким-то причинам нет связи с LDAP, поэтому все остальное соответственное тоже не работает. Если руками прописать адрес прокси сервера на клиенте, то интернет блокируется, да, но без журналирования и ограничения его на основе AD групп - это вообще не вариант.

Еще обратил внимание, что по пути /usr/local/libexec/squid/ отсутствует хелпер squid_ldap_group, который имеет место быть во многих мануалах, тоже странный момент.

werter

@kranky
удалить сквид, почистить остатки ,установить сквид ?

werter

@kranky
LDAP Username DN Attribute : sAMAccountName

У Вас LDAP Username DN Attribute: uid