Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    SQUID + AD

    Scheduled Pinned Locked Moved Russian
    3 Posts 2 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • P Offline
      poteh
      last edited by

      Добрый день!

      Понимаю, что тема неоднократно уже обсуждалась как в этой ветке, так и в других. Но прошерстив все темы так и не смог уяснить для себя: можно ли использовать доменную авторизацию с SQUID в pfSense 2.3.*?
      Что имеем: pfSense 2.3.2_1, AD 2003.
      Что хотим: Пускать авторизованных пользователей в Интернет, делать пользователей на группы (SquidGuard).
      Что сделано: в сквиде настроил авторизацию по LDAP, привожу конфиг авторизации:

      acl sglog url_regex -i sgr=ACCESSDENIED
auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b dc=domain,dc=ru -D pfsense@domain.ru -w P@ssw0rd -f "sAMAccountName=%s" -u cn -P 192.168.1.1:389
auth_param basic children 5
auth_param basic realm Please enter your credentials to access the proxy
auth_param basic credentialsttl 60 minutes
acl password proxy_auth REQUIRED
# Custom options after auth
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl -R -b "dc=domain,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=domain,dc=ru))" -D pfsense@domain.ru -w P@ssw0rd 192.168.1.1
acl ad_inet external ldap_users IT
http_access allow ad_inet

      Что получилось: в браузере (хром, ие) просит дополнительно вводить пароль. Если ввести - всё отлично, пользователя видно в логах. Если отказаться от ввода - доступ к кэшу запрещён. Избавиться от этого никак не удаётся.
      Пробовал мануал с самбой - самба36 устанавливается без поддержки ADS, соответственно не может к домену подцепиться. самба4 - ругается на библиотеки.
      Мучал kerberos - тоже ничего вразумительного от него не добился.

      Подскажите, пожалуйста, что я делают не так и куда ещё капнуть для достижения заданной цели.

      1 Reply Last reply Reply Quote 0
      • S Offline
        swch
        last edited by

        Дык так и должно работать. Без запроса логина и пароля пользователя надо юзать NTLM авторизацию.
        Здесь описано как это сделать: http://pf2ad.mundounix.com.br/en/index.html
        Но возникает другая проблема: как разделить пользователей по скорости интернета и как заблокировать тех, кому он не нужен.

        1 Reply Last reply Reply Quote 0
        • P Offline
          poteh
          last edited by

          ооо, спасибо огромное за эту ссылочку. я и не знал про этот проект, а он действительно помог решить мою проблему, над которой я бился 4 дня, за 5 минут. а я уж хотел отказываться от pfsense в пользу чистого freebsd…
          резать скорости мне нет необходимости, а блочить инет можно через squidguard, вроде, основываясь на вхождение в доменные группы. но в этом тоже пока нет необходимости. основной проблемой было подружить домен с прокси.

          1 Reply Last reply Reply Quote 0
          • First post
            Last post
          Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.