Authentication Squid to LDAP.
-
Доброго времени!
pfsense: 2.5.2-RELEASE
squid: 0.4.45_4помогите разобраться с аутентификацией Squid через AD, после того как включаешь аутентификацию по LDAP, в браузере ожидаемо появляются поля ввода логина и пароль, ввожу доменные учетные данные, он их принимает но интернета нет, т.е по заданному ресурсу не переходит.
настройки Authentication:
Authentication Method - LDAP
Authentication Server - IP RODC
Authentication server port - 389
Authentication Processes - 5
Authentication TTL - 5
LDAP version - 3
LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru
LDAP Password - Password
LDAP Base Domain - DC=domain,DC=ru
LDAP Username DN Attribute - sAMAccountName
LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))в группу !INTERNETACCESS в AD добавлены Пользователи домена.
-
Добрый
@guf-rolex-x
Поищите КАК прикрутить SSO (kerberos) auth для сквида.
Здесь эта тема осуждалась и на хабре была статья коллеги с нашего форума.ЗЫ. Нашел
https://forum.netgate.com/topic/151545/%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D1%8B%D0%B9-%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%B4%D0%BB%D1%8F-%D0%BF%D1%80%D0%B5%D0%B4%D0%BF%D1%80%D0%B8%D1%8F%D1%82%D0%B8%D1%8F-%D1%81-%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9-%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B5%D0%B9-squid-lightsquid-sqstat-ldap-group-acl-kerberos-sso-sslhttps://habr.com/ru/post/492684/
-
LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru
Не надо так. Заведите в АД простого пользователя с именем pfsense. Пробуйте еще в кавычки " " заключить - у вас там кириллица.
LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))
Не надо использовать ! в названиях - для нек-го ПО это как ОТРИЦАНИЕ.
Зы. Совет. Не пользуйте кириллицу для названий объектов (OU, group etc) в АД. Избавит от многих проблем.
-
@werter не совсем понял про кавычки, создал обычного пользователя в AD pfSense, т.е к такому виду нужно привести:
"CN=pfSense pfS. pfSense,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru"
"(&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))"
пробовал так же без кавычек, сейчас вообще не принимает логин/пароль, сразу сбрасывается поле ввода, также попробовал создать группу без ! знака, INTERNETACCES и добавил туда Пользователей домена, результат такой же.
-
CN=pfSense pfS. pfSense
Зачем вы так поль-ля называете? Вы себе доп. проблемы решили создать?
ПРОСТО pfsense и всё. Не надо мудрить.Ссылки я вам нашел. Потрудитесь разобраться неспеша.
-
Доброго времени! наконец руки добрались заняться, спустя два года)
что делал:- Создать правило для входящих подключений в брандмауэре на порт 389 по TCP на своем rodc (проверил доступность telnetом ip:port - все ок)
- Создал учетную запись в AD пользователя для для входа в web-интерфейс pfSense (буду использовать свою доменную четную запись)
- Создал учетную запись в AD пользователя pfSense для запроса паролей, хранящихся в базе данных AD
- Создал группу в AD pfSense Administration и добавил туда свою учетную запись AD
- Создал группу в AD pfSense Internet Acces и добавил туда свою учетную запись AD (добавил свою для теста)
- Создал группу AD Squid в Authentication Servers на pfSense и указал там свою доменную учетную запись
- Протестировал в Diagnostics/Authentication на pfsense указав в Authentication Server: AD Squid (все ок)
- Настроил Proxy Server: AuthenticationAuthentication:
Authentication Method: LDAP
Authentication Server: IP rodc
Authentication server port: 389
Authentication Processes: 5
Authentication TTL: 5
LDAP version: 3
Transport: TCP-Standart
LDAP Server User DN: "CN=pfSense,OU="Пользователи",OU="Город",OU="Филиалы",DC=domain,DC=ru"
LDAP Password: password
LDAP Base Domain: DC=domain,DC=ru
LDAP Username DN Attribute: samAccountName
LDAP Search Filter: (&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)
(&(memberOf-"CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru")(sAMAccountName-%s) - пробовал так в кавычки
"(&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)" - пробовал все взять в кавычки
и ничего не выходит, появляется форма ввода логина и пароль в браузере вводишь и нифига...не едет
что не так?