SQUID + AD



  • Добрый день!

    Понимаю, что тема неоднократно уже обсуждалась как в этой ветке, так и в других. Но прошерстив все темы так и не смог уяснить для себя: можно ли использовать доменную авторизацию с SQUID в pfSense 2.3.*?
    Что имеем: pfSense 2.3.2_1, AD 2003.
    Что хотим: Пускать авторизованных пользователей в Интернет, делать пользователей на группы (SquidGuard).
    Что сделано: в сквиде настроил авторизацию по LDAP, привожу конфиг авторизации:

    acl sglog url_regex -i sgr=ACCESSDENIED
    auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -b dc=domain,dc=ru -D pfsense@domain.ru -w P@ssw0rd -f "sAMAccountName=%s" -u cn -P 192.168.1.1:389
    auth_param basic children 5
    auth_param basic realm Please enter your credentials to access the proxy
    auth_param basic credentialsttl 60 minutes
    acl password proxy_auth REQUIRED
    # Custom options after auth
    external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl -R -b "dc=domain,dc=ru" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=domain,dc=ru))" -D pfsense@domain.ru -w P@ssw0rd 192.168.1.1
    acl ad_inet external ldap_users IT
    http_access allow ad_inet
    

    Что получилось: в браузере (хром, ие) просит дополнительно вводить пароль. Если ввести - всё отлично, пользователя видно в логах. Если отказаться от ввода - доступ к кэшу запрещён. Избавиться от этого никак не удаётся.
    Пробовал мануал с самбой - самба36 устанавливается без поддержки ADS, соответственно не может к домену подцепиться. самба4 - ругается на библиотеки.
    Мучал kerberos - тоже ничего вразумительного от него не добился.

    Подскажите, пожалуйста, что я делают не так и куда ещё капнуть для достижения заданной цели.



  • Дык так и должно работать. Без запроса логина и пароля пользователя надо юзать NTLM авторизацию.
    Здесь описано как это сделать: http://pf2ad.mundounix.com.br/en/index.html
    Но возникает другая проблема: как разделить пользователей по скорости интернета и как заблокировать тех, кому он не нужен.



  • ооо, спасибо огромное за эту ссылочку. я и не знал про этот проект, а он действительно помог решить мою проблему, над которой я бился 4 дня, за 5 минут. а я уж хотел отказываться от pfsense в пользу чистого freebsd…
    резать скорости мне нет необходимости, а блочить инет можно через squidguard, вроде, основываясь на вхождение в доменные группы. но в этом тоже пока нет необходимости. основной проблемой было подружить домен с прокси.