SquidGuard+ADusers+NTLM. Подсобите с настройкой.



  • Доброго дня.
    По сабжу перечитал многое, но везде идут конкретные примеры под частные случаи, а хотелось бы понять что и как надо делать.

    Аутентификация в самом SQUIDe идет через AD. А вот когда хочу создать группы ACL в SquidGuard и использовать там не адреса клиентов, а AD-имена, то не получается.

    Как я понимаю, чтобы аутентификация в группах шла (и логировалась) по AD-именам, необходимо:
    1. В "Service / Proxy filter / General settings заполнить подраздел "LDAP Options"

    • включить "LDAP Options";
    • в "LDAP DN" прописать AD-имя пользователя, "читающего" LDAP (cn=LDAP_user,cn=Users,dc=domain,dc=local);
    • в "LDAP DN Password" задать пароль этого пользователя в AD.

    2. В "Service / Proxy filter / Groups Access:

    • создать группу;
    • в этой группе, в "Client (source)" прописать именно группу из AD, для которой отрабатывается ACL, т.е. прямо в том "окошке" пишем "ldapusersearch ldap://192.168.0.100/DC=domain,DC=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=InetUsers%2cCN=Users%2cDC=domain%2cDC=local))"

    …после чего AD-пользователи, занесенные в эту AD-группу, будут обрабатываться но правилам созданного ACL.

    Это я так понимаю ситуацию... Но, на самом деле это не работает. :-(

    Подскажите, плз, где собака порылась. :-)





  • Угу, читал это. Собственно аутентификацию самого Сквида так и настраивал. :-)
    А вот на SG что-то запнулся.  :(
    Но, спасибо. Побеседовали и у меня появилась некая "свежая" мысль. Буду ее думать и пробовать. :-)



  • Возник вопрос - А откуда SG берет адрес DC? Из настроек Сквида или… ?
    Ведь в его собственных настройках не увидел возможности прописать адрес.

    В логе SG появляются такие строки...
    (squidGuard): ldap_search_ext_s failed: Operations error (params: DC=domain,DC=local, 2, (&(sAMAccountName=UserName)(memberof=cn=ADGroupName,cn=users,dc=domain,dc=local)), sAMAccountName)
    А по поведению SG создается впечатление, что вообще никакой ACL не отрабатывается… даже Common (где стоит дефолт и соцсети в deny)



  • http://www.squidguard.org/Doc/ldap-ad-tips.html
    Example
    "ldapusersearch ldap://tic_group_dc.ticgroup.local:3268/dc=ticgroup,dc=local?sAMAccountName?sub?(&(memberof=CN=InternetGeneral%2cOU=Groups%2cOU=Altona%2cDC=ticgroup%2cDC=local)(sAMAccountName=%s))"

    И вот еще http://www.squidguard.org/Doc/authentication.html

    ldapbinddn     cn=root, dc=example, dc=com
     ldapbindpass   myultrasecretpassword
    
     # ldap cache time in seconds
     ldapcachetime  300
    
     src my_users { 
         ldapusersearch  ldap://ldap.example.com/cn=squidguardusers,ou=groups,dc=example,dc=com?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))
      }
    
     src allowed_ips {
         ldapipsearch ldap://ldap.example.com/ou=internetcomputers,dc=example,dc=com?iphostnumber?sub?(&(objectclass=iphost)(iphostnumber=%s))
     }
    
    


  • Не помогло ни "tic_group_dc.ticgroup.local:3268", ни "ldapusersearch  ldap://ldap.example.com/cn=squidguardusers,ou=groups,dc=example,dc=com?memberUid?sub?(&(objectclass=posixGroup)(memberUid=%s))"

    Как включаю в "General settings" опцию "LDAP Options", так будто бы вообще не отрабатываются никакие правила SG.


Log in to reply