Прошу помощи в настройке SQUID+LDAP - PfSense 2.3.1

nan

Собственно прошу помощи, в настройке авторизации пользователей в SQUID -
на данный момент все узеры ходят из одной OU в AD допустим ou=MyBusines - а хотелось бы, что бы ходили только те юзеры, которые находятся в группе безопасности SQUID в AD.
Как это сделать? пробовал разные варианты настройки, не понимаю, из одной группы так и не берет, а цепляет из всей папки (((
Вот что прописано:
Authentication Method: LDAP
Далее все стандарно…
LDAP version: 3
LDAP Server User DN: squid@domain.local
LDAP Password: XXX
LDAP Base Domain: DC=DOMAIN,DC=LOCAL
LDAP Username DN Attribute: sAMAccountName
LDAP Search Filter: sAMAccountName=%s
Squid Authentication NT Domain Settings: по умолчанию все пусто NT Domain / Secondary NT Servers - пустые значения

На картинке пример авторизации пользователей в разделе: System / User Manager / Authentication / ServersEdit. - с такими настройками заходим в Diagnostics / Authentication - пользователей домена с их паролями определяет. Но берет именно всех юзеров AD - если прописываю те же настройки в SQUID - то вообще юзера отбивает не распознает (((
Часть по авторизации на самом PfSense - будем расстраивать обратно, управляться будет только локальными юзерами - настраивалось для проверки....



werter

Доброе
PeerCertificateAuthority точно надо ?

nan

На пикче - настройка для доступа к самому PF, собственно Peer - отсутствует в настройке SQUID.
Собственно добавил 2-ю пикчу из настроек авторизации юзеров в SQUID. И только так читает юзеров, а если выставляю, как на первой пикче (авторизация в PF)  -то не работает.. ((
помогите!
Или я копаю не в ту сторону? Может смотреть в сторону FreeRADIUS?

werter

Создайте пол-ля squid в AD
Создайте Группу распространения в AD и включите туда тех пол-лей, к-ым необходим доступ через сквид
На DC  - Пуск -> выполнить -> adsiedit.msc и смотрите там правильный путь до этой группы.
После в настройках сквид попробуйте привести к виду :

nan

Можно поподробнее поле Extended Query?
Я так понимаю, что скрин от авторизации пользователей по пути: System User / Manager / Authentication / Servers - вроде так!!!
Тогда получается, что сначала юзеры авторизуются в PF а затем в Squid?

acckiydarik

Я извиняюсь.. у меня во вкладке аутентификации что бы не выбрал горит серым(не активным) и не могу ничего настроить.
Как активировать что бы можно было задавать настройки?

atyltin

читайте тут http://pro-ldap.ru/art/levintsa/20140626-squid/index.html#overview
Почему картинка от настройки авторизации на pfsense?

1. Настроить авторизацию на squid. Можно ldap. Проверить конфиг squid /usr/local/etc/squid/squid.conf
должно быть что-то вроде того
auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b "DC=my,DC=domen,DC=spb,DC=ru" -D username@my.domen.spb.ru -R -w password -f ""sAMAccountName=%s"" -u cn -P 192.168.1.1:389
Проверяем работу хелпера из консоли на ввод имени и пароля должен сказать ок

2. Далее настраиваем верефикацию.
//внешний ацл
external_acl_type ldap ttl=90 children=10 %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl -R -b "dc=my,dc=domen,dc=spb,dc=ru" -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,ou=domainkontainer,dc=my,dc=domain,dc=spb,dc=ru))" -D username@my.domain.spb.ru -w password -K -d 192.168.1.1
//создаем acl тех кто входит в группу ад FullAccess
acl acl_ldap_fullaccess external ldap FullAccess
// разрешаем им ходить в инет.
http_access allow acl_ldap_fullaccess
// остальным запрещаем.
http_access deny all