• Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login
Netgate Discussion Forum
  • Categories
  • Recent
  • Tags
  • Popular
  • Users
  • Search
  • Register
  • Login

Authentication Squid to LDAP.

Scheduled Pinned Locked Moved Russian
6 Posts 2 Posters 1.2k Views
Loading More Posts
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • G
    Guf-Rolex-X
    last edited by Jul 20, 2021, 7:30 AM

    Доброго времени!
    pfsense: 2.5.2-RELEASE
    squid: 0.4.45_4

    помогите разобраться с аутентификацией Squid через AD, после того как включаешь аутентификацию по LDAP, в браузере ожидаемо появляются поля ввода логина и пароль, ввожу доменные учетные данные, он их принимает но интернета нет, т.е по заданному ресурсу не переходит.

    настройки Authentication:
    Authentication Method - LDAP
    Authentication Server - IP RODC
    Authentication server port - 389
    Authentication Processes - 5
    Authentication TTL - 5
    LDAP version - 3
    LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru
    LDAP Password - Password
    LDAP Base Domain - DC=domain,DC=ru
    LDAP Username DN Attribute - sAMAccountName
    LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))

    в группу !INTERNETACCESS в AD добавлены Пользователи домена.

    W 2 Replies Last reply Jul 20, 2021, 8:54 AM Reply Quote 0
    • W
      werter @Guf-Rolex-X
      last edited by werter Jul 20, 2021, 8:56 AM Jul 20, 2021, 8:54 AM

      Добрый
      @guf-rolex-x
      Поищите КАК прикрутить SSO (kerberos) auth для сквида.
      Здесь эта тема осуждалась и на хабре была статья коллеги с нашего форума.

      ЗЫ. Нашел
      https://forum.netgate.com/topic/151545/%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D1%8B%D0%B9-%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%B4%D0%BB%D1%8F-%D0%BF%D1%80%D0%B5%D0%B4%D0%BF%D1%80%D0%B8%D1%8F%D1%82%D0%B8%D1%8F-%D1%81-%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9-%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B5%D0%B9-squid-lightsquid-sqstat-ldap-group-acl-kerberos-sso-ssl

      https://habr.com/ru/post/492684/

      1 Reply Last reply Reply Quote 0
      • W
        werter @Guf-Rolex-X
        last edited by werter Jul 20, 2021, 9:01 AM Jul 20, 2021, 8:58 AM

        @guf-rolex-x

        LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru

        Не надо так. Заведите в АД простого пользователя с именем pfsense. Пробуйте еще в кавычки " " заключить - у вас там кириллица.

        LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))

        Не надо использовать ! в названиях - для нек-го ПО это как ОТРИЦАНИЕ.

        Зы. Совет. Не пользуйте кириллицу для названий объектов (OU, group etc) в АД. Избавит от многих проблем.

        G 1 Reply Last reply Jul 20, 2021, 9:56 AM Reply Quote 0
        • G
          Guf-Rolex-X @werter
          last edited by Jul 20, 2021, 9:56 AM

          @werter не совсем понял про кавычки, создал обычного пользователя в AD pfSense, т.е к такому виду нужно привести:

          "CN=pfSense pfS. pfSense,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru"

          "(&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))"

          пробовал так же без кавычек, сейчас вообще не принимает логин/пароль, сразу сбрасывается поле ввода, также попробовал создать группу без ! знака, INTERNETACCES и добавил туда Пользователей домена, результат такой же.

          W 1 Reply Last reply Jul 20, 2021, 10:51 AM Reply Quote 0
          • W
            werter @Guf-Rolex-X
            last edited by Jul 20, 2021, 10:51 AM

            @guf-rolex-x

            CN=pfSense pfS. pfSense

            Зачем вы так поль-ля называете? Вы себе доп. проблемы решили создать?
            ПРОСТО pfsense и всё. Не надо мудрить.

            Ссылки я вам нашел. Потрудитесь разобраться неспеша.

            1 Reply Last reply Reply Quote 0
            • G
              Guf-Rolex-X
              last edited by Jun 7, 2023, 11:51 AM

              Доброго времени! наконец руки добрались заняться, спустя два года)
              что делал:

              • Создать правило для входящих подключений в брандмауэре на порт 389 по TCP на своем rodc (проверил доступность telnetом ip:port - все ок)
              • Создал учетную запись в AD пользователя для для входа в web-интерфейс pfSense (буду использовать свою доменную четную запись)
              • Создал учетную запись в AD пользователя pfSense для запроса паролей, хранящихся в базе данных AD
              • Создал группу в AD pfSense Administration и добавил туда свою учетную запись AD
              • Создал группу в AD pfSense Internet Acces и добавил туда свою учетную запись AD (добавил свою для теста)
              • Создал группу AD Squid в Authentication Servers на pfSense и указал там свою доменную учетную запись
              • Протестировал в Diagnostics/Authentication на pfsense указав в Authentication Server: AD Squid (все ок)
              • Настроил Proxy Server: AuthenticationAuthentication:
                Authentication Method: LDAP
                Authentication Server: IP rodc
                Authentication server port: 389
                Authentication Processes: 5
                Authentication TTL: 5
                LDAP version: 3
                Transport: TCP-Standart
                LDAP Server User DN: "CN=pfSense,OU="Пользователи",OU="Город",OU="Филиалы",DC=domain,DC=ru"
                LDAP Password: password
                LDAP Base Domain: DC=domain,DC=ru
                LDAP Username DN Attribute: samAccountName
                LDAP Search Filter: (&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)
                (&(memberOf-"CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru")(sAMAccountName-%s) - пробовал так в кавычки
                "(&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)" - пробовал все взять в кавычки
                и ничего не выходит, появляется форма ввода логина и пароль в браузере вводишь и нифига...не едет
                что не так?
              1 Reply Last reply Reply Quote 0
              • First post
                Last post
              Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.
                This community forum collects and processes your personal information.
                consent.not_received