top
logo


PfSense 2.0 авторизация SQUID + LDAP + AD PDF Печать E-mail
05.03.12 11:35

Вообщем выкладываю статейку о том как я заставил сквид понять авторизацию по группам через ЛДАП и рекурсивно искать пользователей в АД, может кому пригодится:
Для начала настраиваем параметры авторизации как на картинке:



В АД нужен пользователь с правами чтения групп и пользователей. 192.168.1.1 это ИР контроллера домена.
Пояснение:
LDAP server user DN: Данный адрес e-mail защищен от спам-ботов, Вам необходимо включить Javascript для его просмотра. пользователь на чтение АД, некоторые указывают что то в роде: cn=Squid User,ou=users,dc=domain,dc=com что тоже есть правильно, мне удобнее первый вариант.
LDAP base domain: dc=domain,dc=com это корень домена domain.com к которому мы привязываемся.
LDAP username DN attribute: cn я не знаю зачем этот параметр я просто указал cn.
LDAP search filter: sAMAccountName=%s фильтр поиска в ЛДАП, в этом поле указан логин пользователя, по нему и ищем. %s получим позже от аутентификатора.

Далее дополнительные параметры:


external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=domain,dc=com))" -D Данный адрес e-mail защищен от спам-ботов, Вам необходимо включить Javascript для его просмотра. -w super_password 192.168.1.1;
acl ad_inet external ldap_users InetUsers;
http_access allow ad_inet;

Пояснение:
Первая строчка разруливает сопоставление пользователей и групп
Вторая и треться назначает ACL группе из АД и разрешает этой группе доступ к интернету, InetUsers это наша группа в АД ad_inet это внутрений acl сквида. Такой АЦЛ может быть не единственным а например из группы в АД можно задать соответствие пользователя скорости в delay_pools:

acl ad_inet1m external ldap_users InetUsers1m
acl ad_inet2m external ldap_users InetUsers2m
acl ad_inet3m external ldap_users InetUsers3m

http_access allow ad_inet1m
http_access allow ad_inet2m
http_access allow ad_inet3m
Так можно разрулить скорость в пулах через группу в АД.

Но так все это работать не будет если АД упорядочена в виде дерева. Для этого я подправил в файле /usr/local/pkg/squid.inc строчку добавив параметр -R как накартинке:

 

Это заставило аутентификатор искать пользователей рекурсивно по дереву а не только в OU к которому мы привязывались в начале.

 

источник и обсуждение: http://forum.pfsense.org/index.php/topic,46843.0.html

ссылка на материал: http://thin.kiev.ua/index.php?option=com_content&view=article&id=537:pfsense-20squid-ldap-ad-&catid=50:pfsense&Itemid=81

{jcomments on}

Последнее обновление 05.03.12 12:05
 
Интересная статья? Поделись ей с другими:

bottom

 

Unreal Commander PfSense по русски Яндекс.Метрика