Связка squidGuard+group ACL+LDAP on Windows server 2003 - должна работать?



  • Добрый день.
    Неделю уже бьюсь со squidguard, даже переустанавливал, думал, пакеты как-то не так установились…

    Суть проблемы: нужна фильтрация доступа к сайтам с авторизацией в домене (дабы не заводить сотрудникам отдельные учетные записи на прокси и не объяснять что это такое, как пользоваться, какой логин-пароль куда вводить).

    Установил и включил squid - авторизация ldap проходит, пользователи в интернет выходят или не выходят (если вводится неверный логин/пароль).
    Установил и по букварю (подсказки в веб-интерфейсе+этот форум+офсайт) настроил squidguard.
    И вот тут-то пошли неприятности: все пользователи попадают в группу default (срабатывают правила со страницы Common ACL), авторизация через groups acl с использованием запроса ldap не работает.
    Например запрос:

    ldapusersearch ldap://server-domainname-n.domainname-16.local/DC=domainname-16,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=ProxyManagers%2cCN=Users%2cDC=domainname-16%2cDC=local))
    

    приводит к появлению в логах записей:

    Added LDAP source: korab
    (squidGuard): ldap_simple_bind_s failed: Invalid credentials
    

    Если запрос выдать через консоль (здесь меня смущает "result: 0 Success" - это нормально?):

    
     ldapsearch -D ldapsquid@domainname-16.local -w password -h server-domainname-n.domainname-16.local -b "dc=domainname-16,dc=local" "(&(memberOf=CN=ProxyManagers,CN=Users,DC=domainname-16,DC=local)(sAMAccountName=korab))"
    # extended LDIF
    #
    # LDAPv3
    # base <dc=domainname-16,dc=local>with scope subtree
    # filter: (&(memberOf=CN=ProxyManagers,CN=Users,DC=domainname-16,DC=local)(sAMAccountName=korab))
    # requesting: ALL
    #
    !!!Skipped!!!
    objectClass: top
    objectClass: person
    objectClass: organizationalPerson
    objectClass: user
    !!!Skipped!!!
    memberOf: CN=ProxyManagers,CN=Users,DC=domainname-16,DC=local
    !!!Skipped!!!
    # search result
    search: 2
    result: 0 Success
    
    # numResponses: 6
    # numEntries: 1
    # numReferences: 4</dc=domainname-16,dc=local> 
    

    Учетная запись для подключения squidguard'a к ldap по всей видимости настроена верно, т.к. если на той вкладке указать неверный, например, пароль, squidguard просто не стартует: в логах появляются сообщения вида squidGuard stopped (1469369604.501), при текущих же настройках в логах: squidGuard ready for requests (1469371080.632) .

    Что я упускаю?
    ldapusersearch - это название утилиты или какой-то процедуры в конфигах? Файла с таким именем мне найти не удалось.
    Может быть squidguard в принципе не может работать с доменами с уровнем леса 2003?
    Если у кого-то настроен squidguard - поделитесь запросом ldapusersearch?

    Моя конфигурация:
    pfSense: 2.3.1-RELEASE-p1 (amd64) built on Wed May 25 14:53:06 CDT 2016 FreeBSD 10.3-RELEASE-p3
    AD: windows server 2003





  • werter
    Первая ссылка про squid - с ним у меня проблемы нет.
    Вторая ссылка очень интересна, спасибо.

    А по моим вопросам (без установки доп. ПО) можете помочь? Может есть какой-то нюанс, не я один с таким вопросом здесь появляюсь: в англоязычной ветке висит несколько таких же (без ответов, к сожалению).


Log in to reply