Вообщем выкладываю статейку о том как я заставил сквид понять авторизацию по группам через ЛДАП и рекурсивно искать пользователей в АД, может кому пригодится: Для начала настраиваем параметры авторизации как на картинке:
В АД нужен пользователь с правами чтения групп и пользователей. 192.168.1.1 это ИР контроллера домена. Пояснение: LDAP server user DN:
Данный адрес e-mail защищен от спам-ботов, Вам необходимо включить Javascript для его просмотра.
пользователь на чтение АД, некоторые указывают что то в роде: cn=Squid User,ou=users,dc=domain,dc=com что тоже есть правильно, мне удобнее первый вариант. LDAP base domain: dc=domain,dc=com это корень домена domain.com к которому мы привязываемся. LDAP username DN attribute: cn я не знаю зачем этот параметр я просто указал cn. LDAP search filter: sAMAccountName=%s фильтр поиска в ЛДАП, в этом поле указан логин пользователя, по нему и ищем. %s получим позже от аутентификатора. Далее дополнительные параметры:
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=domain,dc=com))" -D
Данный адрес e-mail защищен от спам-ботов, Вам необходимо включить Javascript для его просмотра.
-w super_password 192.168.1.1; acl ad_inet external ldap_users InetUsers; http_access allow ad_inet; Пояснение: Первая строчка разруливает сопоставление пользователей и групп Вторая и треться назначает ACL группе из АД и разрешает этой группе доступ к интернету, InetUsers это наша группа в АД ad_inet это внутрений acl сквида. Такой АЦЛ может быть не единственным а например из группы в АД можно задать соответствие пользователя скорости в delay_pools: acl ad_inet1m external ldap_users InetUsers1m acl ad_inet2m external ldap_users InetUsers2m acl ad_inet3m external ldap_users InetUsers3m http_access allow ad_inet1m http_access allow ad_inet2m http_access allow ad_inet3m Так можно разрулить скорость в пулах через группу в АД. Но так все это работать не будет если АД упорядочена в виде дерева. Для этого я подправил в файле /usr/local/pkg/squid.inc строчку добавив параметр -R как накартинке:
Это заставило аутентификатор искать пользователей рекурсивно по дереву а не только в OU к которому мы привязывались в начале.
источник и обсуждение: http://forum.pfsense.org/index.php/topic,46843.0.html
ссылка на материал: http://thin.kiev.ua/index.php?option=com_content&view=article&id=537:pfsense-20squid-ldap-ad-&catid=50:pfsense&Itemid=81
{jcomments on}
|