https://www.opennet.ru/openforum/vsluhforumID12/5323.html Для аутентификации пользователей из AD на прокси-сервере squid решил использовать модуль squid_ldap_auth.<br>Возникла проблема:<br><br>авторизация пользователей из AD группы Users проходит отлично <br>./squid_ldap_auth -u cn -b "cn=Users,dc=test,dc=local" 172.16.3.1<br>squidtest squidtest<br>OK<br><br>а вот из группы Domain Users не проходит:<br>./squid_ldap_auth -u cn -b "cn=Domain Users,dc=bsuir,dc=by" 172.16.83.1<br>koluchy ttt<br>ERR Success<br><br>в чем может быть проблема? кто нибудь сталкивался?<br>может формат записи неправильный<br> https://www.opennet.ru/openforum/vsluhforumID12/5323.html#23 Fri, 20 Aug 2010 13:47:33 GMT /usr/local/libexec/squid/squid_ldap_auth -d -R -D admin@domen.local -W /usr/local/etc/passwordfile -b "cn=users,dc=domen,dc=local" -f "cn=%s" -h 192.168.5.1<br><br>./squid_ldap_auth.sh<br>test пароль<br>user filter 'cn=test', searchbase 'cn=users,dc=domen,dc=local'<br>attempting to authenticate user 'CN=test,CN=Users,DC=domen,DC=local'<br>OK<br><br>u.test тотжепароль<br>user filter 'cn=u.test', searchbase 'cn=users,dc=domen,dc=local'<br>Ldap search returned nothing<br>ERR Success<br><br>Я так понимаю пользователи с точкой не пашут.<br><br>Ладно. Это не так страшно. <br>Клиентская машина в домене. Шлюзом указана машина со сквидом. Захожу пользователем test.<br>Открываю браузер и он у меня спрашивает логин пароль. ПОЧЕМУ??? <br> https://www.opennet.ru/openforum/vsluhforumID12/5323.html#22 Tue, 17 Mar 2009 11:12:46 GMT &gt;[оверквотинг удален]<br>&gt;&gt;так: <br>&gt;&gt;<br>&gt;&gt;./squid_ldap_auth -u cn -b "ou=Sector SAK,ou=Users_Admins,dc=niips,dc=ru" -h 10.3.1.1 <br>&gt;&gt;имя пароль <br>&gt;&gt;OK <br>&gt;&gt;где имя - это Ваше common name (cn), а не логин на <br>&gt;&gt;вход в систему, если токо они одинаковые. ou - Ваши органиционные <br>&gt;&gt;единицы, прописывать надо их с конца. <br>&gt;<br>&gt;А если не одинаковые? <br><br>Уточнения :)<br>1. 10.0.3.5 - это мой сервак<br>2. Есть очень сильное подозрение, что порядок параметров тоже играет свою роль<br>3. Это гонялось на FeeBSD<br> https://www.opennet.ru/openforum/vsluhforumID12/5323.html#21 Tue, 17 Mar 2009 10:35:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;так: <br>&gt;&gt;<br>&gt;&gt;./squid_ldap_auth -u cn -b "ou=Sector SAK,ou=Users_Admins,dc=niips,dc=ru" -h 10.3.1.1 <br>&gt;&gt;имя пароль <br>&gt;&gt;OK <br>&gt;&gt;где имя - это Ваше common name (cn), а не логин на <br>&gt;&gt;вход в систему, если токо они одинаковые. ou - Ваши органиционные <br>&gt;&gt;единицы, прописывать надо их с конца. <br>&gt;<br>&gt;А если не одинаковые? <br><br>Путем извращизмов прошло следующее:<br>/usr/local/libexec/squid/squid_ldap_auth -b "dc=your_domain,dc=local" -f cn=%s -D "cn=ldapuser,cn=Users,dc=your_domain,dc=local" -w ldappasswd -R 10.0.3.5<br><br>Коменты такие: <br>ключ f ищет по имени юзера в АД, неявно используя ключ -s sub (поиск по всему дереву LDAP)<br>ключи D и w - тут ясно, авторизация для домена<br>А заработало все после ключа R! Почему - не знаю, описание ключа туманное. Хотя в одном примере squid_ldap_auth фигурирует R:<br><br>squid_ldap_auth -P -R -b "dc=your,dc=domain" -D "cn=squid,cn=users,dc=your,dc=domain" -w "secretsquidpassword" -f "(&(userPrincipalName=%s)(objectClass=Person))" activedirec-tor https://www.opennet.ru/openforum/vsluhforumID12/5323.html#20 Fri, 21 Mar 2008 15:07:32 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Я написал проще, ни каких там контейнеров создавать не нужно, просто делаете <br>&gt;так: <br>&gt;<br>&gt;./squid_ldap_auth -u cn -b "ou=Sector SAK,ou=Users_Admins,dc=niips,dc=ru" -h 10.3.1.1 <br>&gt;имя пароль <br>&gt;OK <br>&gt;где имя - это Ваше common name (cn), а не логин на <br>&gt;вход в систему, если токо они одинаковые. ou - Ваши органиционные <br>&gt;единицы, прописывать надо их с конца. <br><br>А если не одинаковые?<br> https://www.opennet.ru/openforum/vsluhforumID12/5323.html#19 Sat, 15 Mar 2008 22:18:08 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;squidtest Unibel <br>&gt;OK <br>&gt;<br>&gt;squid_ldap_auth -R -D Administrator@bsuir.by -w пароль -b "dc=bsuir,dc=by" -f "cn=%s" -h 172.16.83.1 <br>&gt;<br>&gt;koluchy пароль <br>&gt;OK <br>&gt;<br>&gt;Пока все работает. <br><br>Я написал проще, ни каких там контейнеров создавать не нужно, просто делаете так:<br><br>./squid_ldap_auth -u cn -b "ou=Sector SAK,ou=Users_Admins,dc=niips,dc=ru" -h 10.3.1.1<br>имя пароль<br>OK<br>где имя - это Ваше common name (cn), а не логин на вход в систему, если токо они одинаковые. ou - Ваши органиционные единицы, прописывать надо их с конца.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID12/5323.html#18 Thu, 07 Feb 2008 09:42:16 GMT Вообще исследую AD(winserver2003) при помощи ldapsearch, обнаружил, что различные единицы хранения объектов обозначаются не логично.<br>Например, CN - это и пользователь, и группа, и контейнер. Имхо.<br> https://www.opennet.ru/openforum/vsluhforumID12/5323.html#17 Thu, 07 Feb 2008 09:37:39 GMT Спасибо всем. Сделал следующим образом:<br><br>Создал в контейнере Users групп Unibel - все члены этой нруппы должны меть выход в инет.<br>Сделал пару пользователей из разных организационных единц членами этой группы.<br><br>squid_ldap_group -R -b "dc=bsuir,dc=by" -f "(&(cn=%v)(memberOf=cn=%a,cn=Users,dc=bsuir,dc=by))" -D Administrator@bsuir.by -w пароль -h 172.16.83.1<br>squidtest Unibel<br>OK<br><br>squid_ldap_auth -R -D Administrator@bsuir.by -w пароль -b "dc=bsuir,dc=by" -f "cn=%s" -h 172.16.83.1<br>koluchy пароль<br>OK <br><br>Пока все работает.<br> https://www.opennet.ru/openforum/vsluhforumID12/5323.html#16 Tue, 29 Jan 2008 13:40:44 GMT А я бы не стал делать проверку по группе Domain Users. На мой взгляд лучше создать в АД группу к примеру Internet и использовать ее, пользователя ведь всегда можно будет из неё исключить и тем самым отлучить от интернета... <br> https://www.opennet.ru/openforum/vsluhforumID12/5323.html#15 Fri, 25 Jan 2008 09:35:11 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Пробуй так <br>&gt;&gt;/squid_ldap_auth -b "cn=Users,dc=bsuir,dc=by" -f '(&(sAMAccountName=%s)(memberOf=CN=Domain Users,CN=Builtin,dc=bsuir,dc=by))' -h ldapserv <br>&gt;<br>&gt;5-313-kolnix:/usr/sbin # ./squid_ldap_auth -d -b "cn=Users,dc=bsuir,dc=by" -f '(&(sAMAccountName=%s)(memberOf=CN=Domain Users,CN=Builtin,dc=bsuir,dc=by))' -h 172.16.83.1 <br>&gt;squidtest squidtest <br>&gt;user filter '(&(sAMAccountName=squidtest)(memberOf=CN=Domain Users,CN=Builtin,dc=bsuir,dc=by))', searchbase 'cn=Users,dc=bsuir,dc=by' <br>&gt;squid_ldap_auth: WARNING, LDAP search error 'Operations error' <br>&gt;ERR Success <br>&gt;<br>&gt;что-то неверно в формате записи? <br><br>Для авторизации юзеров - squid_ldap_auth.<br>Для использования групп в acl-ях - squid_ldap_group.<br><br>Вот пример, уже работающий несколько лет:<br>auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -v3 -P \<br> -b "DC=DOMAIN,DC=RU" \<br> -f "(&(objectclass=user)(!(objectclass=computer))(sAMAccountName=%s))" \<br> -D "CN=ldapreaduser,OU=OOOO,DC=DOMAIN,DC=RU" -w "pass