<![CDATA[Связка squidGuard+group ACL+LDAP on Windows server 2003 - должна работать?]]>Добрый день.
Неделю уже бьюсь со squidguard, даже переустанавливал, думал, пакеты как-то не так установились…

Суть проблемы: нужна фильтрация доступа к сайтам с авторизацией в домене (дабы не заводить сотрудникам отдельные учетные записи на прокси и не объяснять что это такое, как пользоваться, какой логин-пароль куда вводить).

Установил и включил squid - авторизация ldap проходит, пользователи в интернет выходят или не выходят (если вводится неверный логин/пароль).
Установил и по букварю (подсказки в веб-интерфейсе+этот форум+офсайт) настроил squidguard.
И вот тут-то пошли неприятности: все пользователи попадают в группу default (срабатывают правила со страницы Common ACL), авторизация через groups acl с использованием запроса ldap не работает.
Например запрос:

ldapusersearch ldap://server-domainname-n.domainname-16.local/DC=domainname-16,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ProxyManagers%2cCN=Users%2cDC=domainname-16%2cDC=local))

приводит к появлению в логах записей:

Added LDAP source: korab
(squidGuard): ldap_simple_bind_s failed: Invalid credentials

Если запрос выдать через консоль (здесь меня смущает "result: 0 Success" - это нормально?):


 ldapsearch -D ldapsquid@domainname-16.local -w password -h server-domainname-n.domainname-16.local -b "dc=domainname-16,dc=local" "(&(memberOf=CN=ProxyManagers,CN=Users,DC=domainname-16,DC=local)(sAMAccountName=korab))"
# extended LDIF
#
# LDAPv3
# base <dc=domainname-16,dc=local>with scope subtree
# filter: (&(memberOf=CN=ProxyManagers,CN=Users,DC=domainname-16,DC=local)(sAMAccountName=korab))
# requesting: ALL
#
!!!Skipped!!!
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
!!!Skipped!!!
memberOf: CN=ProxyManagers,CN=Users,DC=domainname-16,DC=local
!!!Skipped!!!
# search result
search: 2
result: 0 Success

# numResponses: 6
# numEntries: 1
# numReferences: 4</dc=domainname-16,dc=local>

Учетная запись для подключения squidguard'a к ldap по всей видимости настроена верно, т.к. если на той вкладке указать неверный, например, пароль, squidguard просто не стартует: в логах появляются сообщения вида squidGuard stopped (1469369604.501), при текущих же настройках в логах: squidGuard ready for requests (1469371080.632) .

Что я упускаю?
ldapusersearch - это название утилиты или какой-то процедуры в конфигах? Файла с таким именем мне найти не удалось.
Может быть squidguard в принципе не может работать с доменами с уровнем леса 2003?
Если у кого-то настроен squidguard - поделитесь запросом ldapusersearch?

Моя конфигурация:
pfSense: 2.3.1-RELEASE-p1 (amd64) built on Wed May 25 14:53:06 CDT 2016 FreeBSD 10.3-RELEASE-p3
AD: windows server 2003

]]>https://forum.netgate.com/topic/103198/связка-squidguard-group-acl-ldap-on-windows-server-2003-должна-работатьRSS for NodeFri, 13 Mar 2026 05:07:16 GMTSun, 24 Jul 2016 15:07:48 GMT60<![CDATA[Reply to Связка squidGuard+group ACL+LDAP on Windows server 2003 - должна работать? on Mon, 25 Jul 2016 14:30:02 GMT]]>werter
Первая ссылка про squid - с ним у меня проблемы нет.
Вторая ссылка очень интересна, спасибо.

А по моим вопросам (без установки доп. ПО) можете помочь? Может есть какой-то нюанс, не я один с таким вопросом здесь появляюсь: в англоязычной ветке висит несколько таких же (без ответов, к сожалению).

]]>https://forum.netgate.com/post/639658https://forum.netgate.com/post/639658Mon, 25 Jul 2016 14:30:02 GMT<![CDATA[Reply to Связка squidGuard+group ACL+LDAP on Windows server 2003 - должна работать? on Mon, 25 Jul 2016 10:13:04 GMT]]>http://hasandimdik.com/index.php/2014/04/12/pfsense-active-directory-authentication/

http://pf2ad.mundounix.com.br/en/index.html

]]>https://forum.netgate.com/post/639611https://forum.netgate.com/post/639611Mon, 25 Jul 2016 10:13:04 GMT