SquidGuard+Active directory проблема связки

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
V0r0na
проходил мимо
Сообщения: 6
Зарегистрирован: 2010-03-05 17:46:11

SquidGuard+Active directory проблема связки

Непрочитанное сообщение V0r0na » 2010-03-05 17:50:21

Доброго времени суток, скажите, у кого эта связка работает? При возможности скинте рабочий конфиг.

У меня стоит домен AD 2003 на 2-х контроллерах и сервер FreeBSD 7.2 со сквидом 2.7 и сквидгардом 1.4_2 на борту
Загвоздка в следующем: в конфиге сквидгарда необходима указаь ldapbinddn и ldappass, причём binddn необходимо указать в виде cn=sg, cn=Users, dc=kait20, dc=lan
Если дн указан как требуется в сквидгарде, то возникает ошибка "Invalid credentials" - такое обращение не принимает АД, а если указать в виде <user>@<domain> (sg@kait20.lan), то парсинг конфига проходит неверно, и в это поле попадает ниформация из других строчек конфига... Кто чем мне может помочь? У меня фантазия уже закончилась...

два конфига и 2 лога к ним:

Код: Выделить всё

...........

dbhome /var/db/squidGuard
logdir /var/log

ldapbinddn kait20\sg
ldapbindpass *******
ldapprotover 2

ldapcachetime 300


src inet_full {
ldapusersearch ldap://kait20.lan/dc=kait20,dc=lan?sAMAccountName?sub?(&(memberOf=CN=inet_full,OU=Groups,DC=kait20,DC=lan)(sAMAccountName=%s))
}

.............

Код: Выделить всё

2010-03-03 16:21:03 [21580] New setting: dbhome: /var/db/squidGuard
2010-03-03 16:21:03 [21580] New setting: logdir: /var/log
2010-03-03 16:21:03 [21580] New setting: ldapbinddn: dc=kait20,dc=lan?sAMAccountName?sub?(&(memberOf=CN=inet_full,OU=Groups,DC=kait20,DC=lan)(sAMAccountName=%s))
2010-03-03 16:21:03 [21580] syntax error in configfile /usr/local/etc/squid/squidGuard.conf line 13
2010-03-03 16:21:03 [21580] Going into emergency mode
kait20\sgldapbindpass ******ldapprotover 2ldapcachetime 300src inet_full {ldapusersearch ldap://kait20.lan/

Код: Выделить всё

dbhome /var/db/squidGuard
logdir /var/log

ldapbinddn cn=sg, cn=Users, dc=kait20, dc=lan
ldapbindpass *******
ldapprotover 2

ldapcachetime 300


src inet_full {
ldapusersearch ldap://kait20.lan/dc=kait20,dc=lan?sAMAccountName?sub?(&(memberOf=CN=inet_full,OU=Groups,DC=kait20,DC=lan)(sAMAccountName=%s))
}

............

Код: Выделить всё

2010-03-03 16:35:29 [21621] New setting: dbhome: /var/db/squidGuard
2010-03-03 16:35:29 [21621] New setting: logdir: /var/log
2010-03-03 16:35:29 [21621] New setting: ldapbinddn: cn=sg, cn=Users, dc=kait20, dc=lan
2010-03-03 16:35:29 [21621] New setting: ldapbindpass: *******
2010-03-03 16:35:29 [21621] New setting: ldapprotover: 2
2010-03-03 16:35:29 [21621] New setting: ldapcachetime: 300
........................
2010-03-03 16:35:29 [21621] squidGuard 1.4 started (1267623329.009)
2010-03-03 16:35:29 [21621] squidGuard ready for requests (1267623329.071)

http://yandex.ru 192.168.100.100/- vorona GET
2010-03-03 16:36:57 [21621] squidGuard: ldap_simple_bind_s failed: Invalid credentials
2010-03-03 16:36:57 [21621] Added LDAP source: vorona
2010-03-03 16:36:57 [21621] no ACL matching source, using default
http://192.168.100.1/?clientaddr=192.168.100.100+clientname=... 192.168.100.100/- vorona GET
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
V0r0na
проходил мимо
Сообщения: 6
Зарегистрирован: 2010-03-05 17:46:11

Re: SquidGuard+Active directory проблема связки

Непрочитанное сообщение V0r0na » 2010-03-07 19:08:12

Маленькое дополнение: На другой работе держу сервер под гентой, у которой на борту сквид, сквидгард (версии те же) и контроллер АД под самбой4-альфа11, так вот на нём эта связка заработала, но только из-под учётной записи локального администратора (сn=administrator, cn=Users, dc=mipo, dc=lan) под другими логинами та же история
Вернуться к началу
Гость
проходил мимо

Re: SquidGuard+Active directory проблема связки

Непрочитанное сообщение Гость » 2011-07-07 15:20:24

V0r0na писал(а):Маленькое дополнение: На другой работе держу сервер под гентой, у которой на борту сквид, сквидгард (версии те же) и контроллер АД под самбой4-альфа11, так вот на нём эта связка заработала, но только из-под учётной записи локального администратора (сn=administrator, cn=Users, dc=mipo, dc=lan) под другими логинами та же история
Вам удалось решить проблему?
Вернуться к началу
Kotjara
рядовой
Сообщения: 26
Зарегистрирован: 2009-11-20 11:47:22

Re: SquidGuard+Active directory проблема связки

Непрочитанное сообщение Kotjara » 2014-11-14 11:13:38

Лучше поздно чем никогда, подниму данного трупа может кому ещё поможет
Итак ldapbinddn для AD 2003R2/2008R2 надо указать в .... (барабанная дробь) кавычках! И не как указано в доке squidGuard cn= и т.д. а так "username@domen.loc"
Таким образом мне удалось скрестить работу Squid 3.4.8 аутентификациz на основе kerberos и фильтрацией SquidGuard на основе групп из Active Directory на Windows 2008 R2
Вернуться к началу