Связка squidGuard+group ACL+LDAP on Windows server 2003 - должна работать?
-
Добрый день.
Неделю уже бьюсь со squidguard, даже переустанавливал, думал, пакеты как-то не так установились…Суть проблемы: нужна фильтрация доступа к сайтам с авторизацией в домене (дабы не заводить сотрудникам отдельные учетные записи на прокси и не объяснять что это такое, как пользоваться, какой логин-пароль куда вводить).
Установил и включил squid - авторизация ldap проходит, пользователи в интернет выходят или не выходят (если вводится неверный логин/пароль).
Установил и по букварю (подсказки в веб-интерфейсе+этот форум+офсайт) настроил squidguard.
И вот тут-то пошли неприятности: все пользователи попадают в группу default (срабатывают правила со страницы Common ACL), авторизация через groups acl с использованием запроса ldap не работает.
Например запрос:ldapusersearch ldap://server-domainname-n.domainname-16.local/DC=domainname-16,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ProxyManagers%2cCN=Users%2cDC=domainname-16%2cDC=local))
приводит к появлению в логах записей:
Added LDAP source: korab (squidGuard): ldap_simple_bind_s failed: Invalid credentials
Если запрос выдать через консоль (здесь меня смущает "result: 0 Success" - это нормально?):
ldapsearch -D ldapsquid@domainname-16.local -w password -h server-domainname-n.domainname-16.local -b "dc=domainname-16,dc=local" "(&(memberOf=CN=ProxyManagers,CN=Users,DC=domainname-16,DC=local)(sAMAccountName=korab))" # extended LDIF # # LDAPv3 # base <dc=domainname-16,dc=local>with scope subtree # filter: (&(memberOf=CN=ProxyManagers,CN=Users,DC=domainname-16,DC=local)(sAMAccountName=korab)) # requesting: ALL # !!!Skipped!!! objectClass: top objectClass: person objectClass: organizationalPerson objectClass: user !!!Skipped!!! memberOf: CN=ProxyManagers,CN=Users,DC=domainname-16,DC=local !!!Skipped!!! # search result search: 2 result: 0 Success # numResponses: 6 # numEntries: 1 # numReferences: 4</dc=domainname-16,dc=local>
Учетная запись для подключения squidguard'a к ldap по всей видимости настроена верно, т.к. если на той вкладке указать неверный, например, пароль, squidguard просто не стартует: в логах появляются сообщения вида squidGuard stopped (1469369604.501), при текущих же настройках в логах: squidGuard ready for requests (1469371080.632) .
Что я упускаю?
ldapusersearch - это название утилиты или какой-то процедуры в конфигах? Файла с таким именем мне найти не удалось.
Может быть squidguard в принципе не может работать с доменами с уровнем леса 2003?
Если у кого-то настроен squidguard - поделитесь запросом ldapusersearch?Моя конфигурация:
pfSense: 2.3.1-RELEASE-p1 (amd64) built on Wed May 25 14:53:06 CDT 2016 FreeBSD 10.3-RELEASE-p3
AD: windows server 2003 -
http://hasandimdik.com/index.php/2014/04/12/pfsense-active-directory-authentication/
http://pf2ad.mundounix.com.br/en/index.html
-
werter
Первая ссылка про squid - с ним у меня проблемы нет.
Вторая ссылка очень интересна, спасибо.А по моим вопросам (без установки доп. ПО) можете помочь? Может есть какой-то нюанс, не я один с таким вопросом здесь появляюсь: в англоязычной ветке висит несколько таких же (без ответов, к сожалению).