Authentication Squid to LDAP.

Guf-Rolex-X

Доброго времени!
pfsense: 2.5.2-RELEASE
squid: 0.4.45_4

помогите разобраться с аутентификацией Squid через AD, после того как включаешь аутентификацию по LDAP, в браузере ожидаемо появляются поля ввода логина и пароль, ввожу доменные учетные данные, он их принимает но интернета нет, т.е по заданному ресурсу не переходит.

настройки Authentication:
Authentication Method - LDAP
Authentication Server - IP RODC
Authentication server port - 389
Authentication Processes - 5
Authentication TTL - 5
LDAP version - 3
LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru
LDAP Password - Password
LDAP Base Domain - DC=domain,DC=ru
LDAP Username DN Attribute - sAMAccountName
LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))

в группу !INTERNETACCESS в AD добавлены Пользователи домена.

werter

Добрый
@guf-rolex-x
Поищите КАК прикрутить SSO (kerberos) auth для сквида.
Здесь эта тема осуждалась и на хабре была статья коллеги с нашего форума.

ЗЫ. Нашел
https://forum.netgate.com/topic/151545/%D0%B1%D0%B5%D1%81%D0%BF%D0%BB%D0%B0%D1%82%D0%BD%D1%8B%D0%B9-%D0%BF%D1%80%D0%BE%D0%BA%D1%81%D0%B8-%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80-%D0%B4%D0%BB%D1%8F-%D0%BF%D1%80%D0%B5%D0%B4%D0%BF%D1%80%D0%B8%D1%8F%D1%82%D0%B8%D1%8F-%D1%81-%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%BD%D0%BE%D0%B9-%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B5%D0%B9-squid-lightsquid-sqstat-ldap-group-acl-kerberos-sso-ssl

https://habr.com/ru/post/492684/

werter

@guf-rolex-x

LDAP Server User DN - CN=Иванов И. Иванович,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru

Не надо так. Заведите в АД простого пользователя с именем pfsense. Пробуйте еще в кавычки " " заключить - у вас там кириллица.

LDAP Search Filter - (&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))

Не надо использовать ! в названиях - для нек-го ПО это как ОТРИЦАНИЕ.

Зы. Совет. Не пользуйте кириллицу для названий объектов (OU, group etc) в АД. Избавит от многих проблем.

Guf-Rolex-X

@werter не совсем понял про кавычки, создал обычного пользователя в AD pfSense, т.е к такому виду нужно привести:

"CN=pfSense pfS. pfSense,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru"

"(&(objectClass=person)(sAMAccountName=%s)(memberof=CN=!INTERNETACCESS,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru))"

пробовал так же без кавычек, сейчас вообще не принимает логин/пароль, сразу сбрасывается поле ввода, также попробовал создать группу без ! знака, INTERNETACCES и добавил туда Пользователей домена, результат такой же.

werter

@guf-rolex-x

CN=pfSense pfS. pfSense

Зачем вы так поль-ля называете? Вы себе доп. проблемы решили создать?
ПРОСТО pfsense и всё. Не надо мудрить.

Ссылки я вам нашел. Потрудитесь разобраться неспеша.

Guf-Rolex-X

Доброго времени! наконец руки добрались заняться, спустя два года)
что делал:

• Создать правило для входящих подключений в брандмауэре на порт 389 по TCP на своем rodc (проверил доступность telnetом ip:port - все ок)
• Создал учетную запись в AD пользователя для для входа в web-интерфейс pfSense (буду использовать свою доменную четную запись)
• Создал учетную запись в AD пользователя pfSense для запроса паролей, хранящихся в базе данных AD
• Создал группу в AD pfSense Administration и добавил туда свою учетную запись AD
• Создал группу в AD pfSense Internet Acces и добавил туда свою учетную запись AD (добавил свою для теста)
• Создал группу AD Squid в Authentication Servers на pfSense и указал там свою доменную учетную запись
• Протестировал в Diagnostics/Authentication на pfsense указав в Authentication Server: AD Squid (все ок)
• Настроил Proxy Server: AuthenticationAuthentication:
  Authentication Method: LDAP
  Authentication Server: IP rodc
  Authentication server port: 389
  Authentication Processes: 5
  Authentication TTL: 5
  LDAP version: 3
  Transport: TCP-Standart
  LDAP Server User DN: "CN=pfSense,OU="Пользователи",OU="Город",OU="Филиалы",DC=domain,DC=ru"
  LDAP Password: password
  LDAP Base Domain: DC=domain,DC=ru
  LDAP Username DN Attribute: samAccountName
  LDAP Search Filter: (&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)
  (&(memberOf-"CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru")(sAMAccountName-%s) - пробовал так в кавычки
  "(&(memberOf-CN=pfSense Internet Access,OU=Пользователи,OU=Город,OU=Филиалы,DC=domain,DC=ru)(sAMAccountName-%s)" - пробовал все взять в кавычки
  и ничего не выходит, появляется форма ввода логина и пароль в браузере вводишь и нифига...не едет
  что не так?