SquidGuard+ADusers+NTLM. Подсобите с настройкой.
-
Доброго дня.
По сабжу перечитал многое, но везде идут конкретные примеры под частные случаи, а хотелось бы понять что и как надо делать.Аутентификация в самом SQUIDe идет через AD. А вот когда хочу создать группы ACL в SquidGuard и использовать там не адреса клиентов, а AD-имена, то не получается.
Как я понимаю, чтобы аутентификация в группах шла (и логировалась) по AD-именам, необходимо:
1. В "Service / Proxy filter / General settings заполнить подраздел "LDAP Options"- включить "LDAP Options";
- в "LDAP DN" прописать AD-имя пользователя, "читающего" LDAP (cn=LDAP_user,cn=Users,dc=domain,dc=local);
- в "LDAP DN Password" задать пароль этого пользователя в AD.
2. В "Service / Proxy filter / Groups Access:
- создать группу;
- в этой группе, в "Client (source)" прописать именно группу из AD, для которой отрабатывается ACL, т.е. прямо в том "окошке" пишем "ldapusersearch ldap://192.168.0.100/DC=domain,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=InetUsers%2cCN=Users%2cDC=domain%2cDC=local))"
…после чего AD-пользователи, занесенные в эту AD-группу, будут обрабатываться но правилам созданного ACL.
Это я так понимаю ситуацию... Но, на самом деле это не работает. :-(
Подскажите, плз, где собака порылась. :-)
-
Что в логах pfsense, squd, squdguard ?
P.s. Может что-то из этого пригодится :
http://vicryhc.wordpress.com/2013/07/08/how-to-setting-squid-on-pfsense-with-authentiaction-ldap-windows/
https://forum.pfsense.org/index.php?topic=46843.0
http://www.thin.kiev.ua/router-os/50-pfsense/537-pfsense-20squid-ldap-ad-.html
http://backnet.ru/2013/12/24/pfsense-squid-ad-ldap/ -
Угу, читал это. Собственно аутентификацию самого Сквида так и настраивал. :-)
А вот на SG что-то запнулся. :(
Но, спасибо. Побеседовали и у меня появилась некая "свежая" мысль. Буду ее думать и пробовать. :-) -
Возник вопрос - А откуда SG берет адрес DC? Из настроек Сквида или… ?
Ведь в его собственных настройках не увидел возможности прописать адрес.В логе SG появляются такие строки...
(squidGuard): ldap_search_ext_s failed: Operations error (params: DC=domain,DC=local, 2, (&(sAMAccountName=UserName)(memberof=cn=ADGroupName,cn=users,dc=domain,dc=local)), sAMAccountName)
А по поведению SG создается впечатление, что вообще никакой ACL не отрабатывается… даже Common (где стоит дефолт и соцсети в deny) -
http://www.squidguard.org/Doc/ldap-ad-tips.html
Example
"ldapusersearch ldap://tic_group_dc.ticgroup.local:3268/dc=ticgroup,dc=local?sAMAccountName?sub?(&(memberof=CN=InternetGeneral%2cOU=Groups%2cOU=Altona%2cDC=ticgroup%2cDC=local)(sAMAccountName=%s))"И вот еще http://www.squidguard.org/Doc/authentication.html
ldapbinddn cn=root, dc=example, dc=com ldapbindpass myultrasecretpassword # ldap cache time in seconds ldapcachetime 300 src my_users { ldapusersearch ldap://ldap.example.com/cn=squidguardusers,ou=groups,dc=example,dc=com?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s)) } src allowed_ips { ldapipsearch ldap://ldap.example.com/ou=internetcomputers,dc=example,dc=com?iphostnumber?sub?(&(objectclass=iphost)(iphostnumber=%s)) }
-
Не помогло ни "tic_group_dc.ticgroup.local:3268", ни "ldapusersearch ldap://ldap.example.com/cn=squidguardusers,ou=groups,dc=example,dc=com?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))"
Как включаю в "General settings" опцию "LDAP Options", так будто бы вообще не отрабатываются никакие правила SG.
-
тема старая но проблема у меня та же, авторизация через squid доменных пользователей срабатывает и как только включаю в general settings "Enable options for setup ldap connection to create filters with ldap search" то все правила ACL перестают работать. кто нибудь победил?
-
@mefisto74
И что вы в этом пункте прописываете?
Предположу, что синтаксис неверный.