Problema al validar usuario con el AD usando LDAP
-
http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory#squid.conf
### /etc/squid3/squid.conf Configuration File #### ### provide basic authentication via ldap for clients not authenticated via kerberos/ntlm auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=example,dc=local" -D squid@example.local -W /etc/squid3/ldappass.txt -f sAMAccountName=%s -h dc1.example.local auth_param basic children 10 auth_param basic realm Internet Proxy auth_param basic credentialsttl 1 minute ### acl for proxy auth and ldap authorizations acl auth proxy_auth REQUIRED ### enforce authentication http_access deny !auth http_access allow auth http_access deny all -
Si no funciona correctamente diría que el problema tiene que estar en la línea
auth_param basic program /usr/pbi/squid-amd64/libexec/squid/squid_ldap_auth -v 3 -b dc=midominio,dc=com -R -D 'cn=pfsense_admin,dc=Users,dc=midominio,dc=com' -w Pfsense -f 'sAMAccountName' -u -P 11.120.11.4:389Verifica que los parámetros sean correctos para tu LDAP.
-
Gracias por la información, aprovecho para decirte que no tengo un directorio "/etc/squid3/", de hecho al leer tu mensaje, procedí a instalar el paquete "squid3", pero aun así no tengo el directorio especificado, no se si es que me falta otro paquete más y no lo conozco. Los paquetes que tengo son: "squid","squid3","squidGuard","squidGuard-devel", de nuevo gracias por la ayuda.
-
No puedes tener squid 2.x y squid 3.x
Uno u otro.
Los directorios que te dí están sacados de la wiki de squid y no tiene por qué ser los mismos en la distribución que se emplea. En este caso pfSense, que aunque sea FreeBSD tampoco tiene exactamente la misma distribución de directorios.
Siento haber provocado confusión…
-
Hola bellera, quería agradecerte el apoyo prestado, pude solventar el problema que tenia y efectivamente ya esta funcionando sin inconveniente el proceso, tuve que eliminar los grupos y usuarios creados en el AD y procedí a crearlos en una nueva unidad organizativa. Inicie todo el proceso de configuración del pfsense y todo esta OK.
De nuevo, mil gracias por el apoyo. Si de alguna manera puedo ayudar, estoy totalmente a la orden.
-
Hola
Entonces el problema fue del lado del AD y no del squid ? -
De nuevo, mil gracias por el apoyo. Si de alguna manera puedo ayudar, estoy totalmente a la orden.
De nada.
La mejor forma de colaborar es ser activo en el foro. Entre todos, mejoramos…
-
Hola
Entonces el problema fue del lado del AD y no del squid ?Efectivamente, el problema estaba en la manera como se creo inicialmente en el AD. Para resolver el problema cree una nueva Unidad Organizativa, dentro de ella el usuario de verificación y el grupo a validar el privilegio de navegación.
-
Buenas tardes, tengo exactamente el mismo problema. como lograste solucionarlo? saludos
-
Adicional, y notas para futuros casos de Squid+SquidGuard con AD.
-
Traten de que los grupos esten creados sin espacios, en ou sin espacios, cuestion de que sea mas facil la ubicacion ej: cn=GrupoVIP,ou=Internet,dc=dominio,dc=local
-
Traten de que el usuario no tenga ni apellidos ni nombre (me refiero al usuario que usa Squidguard para leer el LDAP) , ya que el Squid usa el ID puro ejemplo pperez, pero el squidGuard utiliza el CN completo: Pedro Perez, por lo que el estring quedara en el squidguard seria: cn=Pedro Perez,ou=Usuarios,dc=dominio,dc=local
Y en el Squid: cn=pperez,ou=Usuarios,dc=dominio,dc=local
- Eviten ACL o GPO en el AD donde el usuario se pueda conectar en una sola maquina, esto debido a que al AD llega la peticion del usuario como si intentara conectarse al squid. Por lo que el AD no lo dejara autenticar. Esto lo pueden arreglar haciendo desde el squid con ma_user_ip Acl pura del squid. Asi evitan que el usuario preste su contraseña.
-
