PfSense + squid (2.7.9)+ SquidGuard (1.4_4 ) + LDAP, AD (Win Server 2008)



  • Добрый день.
    Подскажите как правильно настроить такую связку как squid+SquidGuard в PfSense для авторизации и самое главное фильтрации пользователей через LDAP?

    В данный момент как я понимаю squid авторизует пользователей из AD благодаря тому что в настройках Authentication method указан аккаунт с правами на чтение каталога AD и сам сервер. Авторизация работает, LightSquid кое как считает даже это все. Но я не очень понимаю как мне поделить пользователей на группы? Это делать в Custom Options во вкладке Squid? Строками типа:

    external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=tsvu,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=tsvu,dc=local)****КСТАТИ ЧТО ТУТ НАДО УКАЗЫВАТЬ?? В OU USERS как бы ничего нет все в других папках причем не в одной а в нескольких..)" -D squid@tsvu.local -w fO6PZezH 10.152.173.74;
    acl ad_inet_suv external ldap_users InetSuv;
    acl ad_inet_user external ldap_users InetUser;
    http_access allow ad_inet_suv;
    http_access allow ad_inet_user;
    redirect_program /usr/pbi/squidguard-amd64/bin/squidGuard -c /usr/pbi/squidguard-amd64/etc/squidGuard/squidGuard.conf;redirector_bypass off;url_rewrite_children 5

    или делать это в  Groups Access Control List (ACL) но у же в SquidGuard? там тоже можно указать Client (source) Ldap search.

    Подскажите кто знает каким образом работает эта авторизация и как настроить. Спасибо, буду рад любой помощи!



  • Для фильтрации изменил надпись в SquidGuard - Groups Access Control List (ACL) - Client (source) на

    ldapusersearch  ldap://tsvu.local:3268/dc=tsvu,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=InetSuv,OU=TSVU_USER,DC=tsvu,DC=local))

    и пока что все ок,  Custom Options в Squid не трогал..


Log in to reply