Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Authentication Squid to LDAP.

    Scheduled Pinned Locked Moved Russian
    6 Posts 2 Posters 1.2k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Guf-Rolex-X
      last edited by

      Доброго времени!
      pfsense: 2.5.2-RELEASE
      squid: 0.4.45_4

      помогите разобраться с аутентификацией Squid через AD, после того как включаешь аутентификацию по LDAP, в браузере ожидаемо появляются поля ввода логина и пароль, ввожу доменные учетные данные, он их принимает но интернета нет, т.е по заданному ресурсу не переходит.

      настройки Authentication:
      Authentication Method - LDAP
      Authentication Server - IP RODC
      Authentication server port - 389
      Authentication Processes - 5
      Authentication TTL - 5
      LDAP version - 3
      LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru
      LDAP Password - Password
      LDAP Base Domain - DC=domain,DC=ru
      LDAP Username DN Attribute - sAMAccountName
      LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))

      в группу !INTERNETACCESS в AD добавлены Пользователи домена.

      werterW 2 Replies Last reply Reply Quote 0
      • werterW
        werter @Guf-Rolex-X
        last edited by werter

        Добрый
        @guf-rolex-x
        Поищите КАК прикрутить SSO (kerberos) auth для сквида.
        Здесь эта тема осуждалась и на хабре была статья коллеги с нашего форума.

        ЗЫ. Нашел
        https://forum.netgate.com/topic/151545/%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D1%8B%D0%B9-%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%B4%D0%BB%D1%8F-%D0%BF%D1%80%D0%B5%D0%B4%D0%BF%D1%80%D0%B8%D1%8F%D1%82%D0%B8%D1%8F-%D1%81-%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9-%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B5%D0%B9-squid-lightsquid-sqstat-ldap-group-acl-kerberos-sso-ssl

        https://habr.com/ru/post/492684/

        1 Reply Last reply Reply Quote 0
        • werterW
          werter @Guf-Rolex-X
          last edited by werter

          @guf-rolex-x

          LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru

          Не надо так. Заведите в АД простого пользователя с именем pfsense. Пробуйте еще в кавычки " " заключить - у вас там кириллица.

          LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))

          Не надо использовать ! в названиях - для нек-го ПО это как ОТРИЦАНИЕ.

          Зы. Совет. Не пользуйте кириллицу для названий объектов (OU, group etc) в АД. Избавит от многих проблем.

          G 1 Reply Last reply Reply Quote 0
          • G
            Guf-Rolex-X @werter
            last edited by

            @werter не совсем понял про кавычки, создал обычного пользователя в AD pfSense, т.е к такому виду нужно привести:

            "CN=pfSense pfS. pfSense,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru"

            "(&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))"

            пробовал так же без кавычек, сейчас вообще не принимает логин/пароль, сразу сбрасывается поле ввода, также попробовал создать группу без ! знака, INTERNETACCES и добавил туда Пользователей домена, результат такой же.

            werterW 1 Reply Last reply Reply Quote 0
            • werterW
              werter @Guf-Rolex-X
              last edited by

              @guf-rolex-x

              CN=pfSense pfS. pfSense

              Зачем вы так поль-ля называете? Вы себе доп. проблемы решили создать?
              ПРОСТО pfsense и всё. Не надо мудрить.

              Ссылки я вам нашел. Потрудитесь разобраться неспеша.

              1 Reply Last reply Reply Quote 0
              • G
                Guf-Rolex-X
                last edited by

                Доброго времени! наконец руки добрались заняться, спустя два года)
                что делал:

                • Создать правило для входящих подключений в брандмауэре на порт 389 по TCP на своем rodc (проверил доступность telnetом ip:port - все ок)
                • Создал учетную запись в AD пользователя для для входа в web-интерфейс pfSense (буду использовать свою доменную четную запись)
                • Создал учетную запись в AD пользователя pfSense для запроса паролей, хранящихся в базе данных AD
                • Создал группу в AD pfSense Administration и добавил туда свою учетную запись AD
                • Создал группу в AD pfSense Internet Acces и добавил туда свою учетную запись AD (добавил свою для теста)
                • Создал группу AD Squid в Authentication Servers на pfSense и указал там свою доменную учетную запись
                • Протестировал в Diagnostics/Authentication на pfsense указав в Authentication Server: AD Squid (все ок)
                • Настроил Proxy Server: AuthenticationAuthentication:
                  Authentication Method: LDAP
                  Authentication Server: IP rodc
                  Authentication server port: 389
                  Authentication Processes: 5
                  Authentication TTL: 5
                  LDAP version: 3
                  Transport: TCP-Standart
                  LDAP Server User DN: "CN=pfSense,OU="Пользователи",OU="Город",OU="Филиалы",DC=domain,DC=ru"
                  LDAP Password: password
                  LDAP Base Domain: DC=domain,DC=ru
                  LDAP Username DN Attribute: samAccountName
                  LDAP Search Filter: (&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)
                  (&(memberOf-"CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru")(sAMAccountName-%s) - пробовал так в кавычки
                  "(&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)" - пробовал все взять в кавычки
                  и ничего не выходит, появляется форма ввода логина и пароль в браузере вводишь и нифига...не едет
                  что не так?
                1 Reply Last reply Reply Quote 0
                • First post
                  Last post
                Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.