<![CDATA[Authentication Squid to LDAP.]]>Доброго времени!
pfsense: 2.5.2-RELEASE
squid: 0.4.45_4

помогите разобраться с аутентификацией Squid через AD, после того как включаешь аутентификацию по LDAP, в браузере ожидаемо появляются поля ввода логина и пароль, ввожу доменные учетные данные, он их принимает но интернета нет, т.е по заданному ресурсу не переходит.

настройки Authentication:
Authentication Method - LDAP
Authentication Server - IP RODC
Authentication server port - 389
Authentication Processes - 5
Authentication TTL - 5
LDAP version - 3
LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru
LDAP Password - Password
LDAP Base Domain - DC=domain,DC=ru
LDAP Username DN Attribute - sAMAccountName
LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))

в группу !INTERNETACCESS в AD добавлены Пользователи домена.

]]>https://forum.netgate.com/topic/165249/authentication-squid-to-ldapRSS for NodeSat, 11 Apr 2026 20:33:24 GMTTue, 20 Jul 2021 07:30:56 GMT60<![CDATA[Reply to Authentication Squid to LDAP. on Wed, 07 Jun 2023 11:51:52 GMT]]>Доброго времени! наконец руки добрались заняться, спустя два года)
что делал:

  • Создать правило для входящих подключений в брандмауэре на порт 389 по TCP на своем rodc (проверил доступность telnetом ip:port - все ок)
  • Создал учетную запись в AD пользователя для для входа в web-интерфейс pfSense (буду использовать свою доменную четную запись)
  • Создал учетную запись в AD пользователя pfSense для запроса паролей, хранящихся в базе данных AD
  • Создал группу в AD pfSense Administration и добавил туда свою учетную запись AD
  • Создал группу в AD pfSense Internet Acces и добавил туда свою учетную запись AD (добавил свою для теста)
  • Создал группу AD Squid в Authentication Servers на pfSense и указал там свою доменную учетную запись
  • Протестировал в Diagnostics/Authentication на pfsense указав в Authentication Server: AD Squid (все ок)
  • Настроил Proxy Server: AuthenticationAuthentication:
    Authentication Method: LDAP
    Authentication Server: IP rodc
    Authentication server port: 389
    Authentication Processes: 5
    Authentication TTL: 5
    LDAP version: 3
    Transport: TCP-Standart
    LDAP Server User DN: "CN=pfSense,OU="Пользователи",OU="Город",OU="Филиалы",DC=domain,DC=ru"
    LDAP Password: password
    LDAP Base Domain: DC=domain,DC=ru
    LDAP Username DN Attribute: samAccountName
    LDAP Search Filter: (&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)
    (&(memberOf-"CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru")(sAMAccountName-%s) - пробовал так в кавычки
    "(&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)" - пробовал все взять в кавычки
    и ничего не выходит, появляется форма ввода логина и пароль в браузере вводишь и нифига...не едет
    что не так?
]]>https://forum.netgate.com/post/1109286https://forum.netgate.com/post/1109286Wed, 07 Jun 2023 11:51:52 GMT<![CDATA[Reply to Authentication Squid to LDAP. on Tue, 20 Jul 2021 10:51:50 GMT]]>@guf-rolex-x

CN=pfSense pfS. pfSense

Зачем вы так поль-ля называете? Вы себе доп. проблемы решили создать?
ПРОСТО pfsense и всё. Не надо мудрить.

Ссылки я вам нашел. Потрудитесь разобраться неспеша.

]]>https://forum.netgate.com/post/993093https://forum.netgate.com/post/993093Tue, 20 Jul 2021 10:51:50 GMT<![CDATA[Reply to Authentication Squid to LDAP. on Tue, 20 Jul 2021 09:56:17 GMT]]>@werter не совсем понял про кавычки, создал обычного пользователя в AD pfSense, т.е к такому виду нужно привести:

"CN=pfSense pfS. pfSense,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru"

"(&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))"

пробовал так же без кавычек, сейчас вообще не принимает логин/пароль, сразу сбрасывается поле ввода, также попробовал создать группу без ! знака, INTERNETACCES и добавил туда Пользователей домена, результат такой же.

]]>https://forum.netgate.com/post/993087https://forum.netgate.com/post/993087Tue, 20 Jul 2021 09:56:17 GMT<![CDATA[Reply to Authentication Squid to LDAP. on Tue, 20 Jul 2021 09:01:56 GMT]]>@guf-rolex-x

LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru

Не надо так. Заведите в АД простого пользователя с именем pfsense. Пробуйте еще в кавычки " " заключить - у вас там кириллица.

LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))

Не надо использовать ! в названиях - для нек-го ПО это как ОТРИЦАНИЕ.

Зы. Совет. Не пользуйте кириллицу для названий объектов (OU, group etc) в АД. Избавит от многих проблем.

]]>https://forum.netgate.com/post/993080https://forum.netgate.com/post/993080Tue, 20 Jul 2021 09:01:56 GMT<![CDATA[Reply to Authentication Squid to LDAP. on Tue, 20 Jul 2021 08:56:10 GMT]]>Добрый
@guf-rolex-x
Поищите КАК прикрутить SSO (kerberos) auth для сквида.
Здесь эта тема осуждалась и на хабре была статья коллеги с нашего форума.

ЗЫ. Нашел
https://forum.netgate.com/topic/151545/%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D1%8B%D0%B9-%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%B4%D0%BB%D1%8F-%D0%BF%D1%80%D0%B5%D0%B4%D0%BF%D1%80%D0%B8%D1%8F%D1%82%D0%B8%D1%8F-%D1%81-%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9-%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B5%D0%B9-squid-lightsquid-sqstat-ldap-group-acl-kerberos-sso-ssl

https://habr.com/ru/post/492684/

]]>https://forum.netgate.com/post/993079https://forum.netgate.com/post/993079Tue, 20 Jul 2021 08:56:10 GMT