Прошу помощи в настройке SQUID+LDAP - PfSense 2.3.1



  • Собственно прошу помощи, в настройке авторизации пользователей в SQUID -
    на данный момент все узеры ходят из одной OU в AD допустим ou=MyBusines - а хотелось бы, что бы ходили только те юзеры, которые находятся в группе безопасности SQUID в AD.
    Как это сделать? пробовал разные варианты настройки, не понимаю, из одной группы так и не берет, а цепляет из всей папки (((
    Вот что прописано:
    Authentication Method: LDAP
    Далее все стандарно…
    LDAP version: 3
    LDAP Server User DN: squid@domain.local
    LDAP Password: XXX
    LDAP Base Domain: DC=DOMAIN,DC=LOCAL
    LDAP Username DN Attribute: sAMAccountName
    LDAP Search Filter: sAMAccountName=%s
    Squid Authentication NT Domain Settings: по умолчанию все пусто NT Domain / Secondary NT Servers - пустые значения

    На картинке пример авторизации пользователей в разделе: System / User Manager / Authentication / ServersEdit. - с такими настройками заходим в Diagnostics / Authentication - пользователей домена с их паролями определяет. Но берет именно всех юзеров AD - если прописываю те же настройки в SQUID - то вообще юзера отбивает не распознает (((
    Часть по авторизации на самом PfSense - будем расстраивать обратно, управляться будет только локальными юзерами - настраивалось для проверки....


    ![squid - auth.png](/public/imported_attachments/1/squid - auth.png)
    ![squid - auth.png_thumb](/public/imported_attachments/1/squid - auth.png_thumb)



  • Доброе
    PeerCertificateAuthority точно надо ?



  • На пикче - настройка для доступа к самому PF, собственно Peer - отсутствует в настройке SQUID.
    Собственно добавил 2-ю пикчу из настроек авторизации юзеров в SQUID. И только так читает юзеров, а если выставляю, как на первой пикче (авторизация в PF)  -то не работает.. ((
    помогите!
    Или я копаю не в ту сторону? Может смотреть в сторону FreeRADIUS?



  • Создайте пол-ля squid в AD
    Создайте Группу распространения в AD и включите туда тех пол-лей, к-ым необходим доступ через сквид
    На DC  - Пуск -> выполнить -> adsiedit.msc и смотрите там правильный путь до этой группы.
    После в настройках сквид попробуйте привести к виду :




  • Можно поподробнее поле Extended Query?
    Я так понимаю, что скрин от авторизации пользователей по пути: System User / Manager / Authentication / Servers - вроде так!!!
    Тогда получается, что сначала юзеры авторизуются в PF а затем в Squid?



  • Я извиняюсь.. у меня во вкладке аутентификации что бы не выбрал горит серым(не активным) и не могу ничего настроить.
    Как активировать что бы можно было задавать настройки?



  • читайте тут http://pro-ldap.ru/art/levintsa/20140626-squid/index.html#overview
    Почему картинка от настройки авторизации на pfsense?

    1. Настроить авторизацию на squid. Можно ldap. Проверить конфиг squid /usr/local/etc/squid/squid.conf
    должно быть что-то вроде того
    auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b "DC=my,DC=domen,DC=spb,DC=ru" -D username@my.domen.spb.ru -R -w password -f ""sAMAccountName=%s"" -u cn -P 192.168.1.1:389
    Проверяем работу хелпера из консоли на ввод имени и пароля должен сказать ок

    2. Далее настраиваем верефикацию.
    //внешний ацл
    external_acl_type ldap ttl=90 children=10 %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl -R -b "dc=my,dc=domen,dc=spb,dc=ru" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,ou=domainkontainer,dc=my,dc=domain,dc=spb,dc=ru))" -D username@my.domain.spb.ru -w password -K -d 192.168.1.1
    //создаем acl тех кто входит в группу ад FullAccess
    acl acl_ldap_fullaccess external ldap FullAccess
    // разрешаем им ходить в инет.
    http_access allow acl_ldap_fullaccess
    // остальным запрещаем.
    http_access deny all


Log in to reply