Squid Аутентификация в домене

Ответить
artergan
Сообщения: 4
Зарегистрирован: 17 авг 2017 16:00

Squid Аутентификация в домене

Сообщение artergan » 29 авг 2017 14:34

Добрый день!

Подскажите, в логах при доступе в интернет пишет :

ext_ldap_group_acl: WARNING: could not bind to binddn 'Strong(er) authentication required'

Соответственно никуда не пускает.
Поиск в интернете ни на какие мысли не навел.
Может кто подскажет?

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 417
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Аутентификация в домене

Сообщение Алексей Максимов » 29 авг 2017 15:23

Здравствуйте.
Покажите фрагмент squid.conf, где у Вас описан вызов хелпера ext_ldap_group_acl

artergan
Сообщения: 4
Зарегистрирован: 17 авг 2017 16:00

Re: Squid Аутентификация в домене

Сообщение artergan » 30 авг 2017 05:31

external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:$

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 417
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Аутентификация в домене

Сообщение Алексей Максимов » 30 авг 2017 05:48

Вы показали не всю строку.
Что используется в качестве LDAP-каталога, к которому идёт подключение? Active Directory?
Похоже на то, что LDAP-сервер, к которому Вы пытаетесь подключиться требует повышенный уровень безопасности подключения.
Попробуйте использовать TLS для защиты подключения.
Для включения TLS при вызове хелпера нужно использовать дополнительнй ключ -Z

artergan
Сообщения: 4
Зарегистрирован: 17 авг 2017 16:00

Re: Squid Аутентификация в домене

Сообщение artergan » 30 авг 2017 07:36

Пардон, не скопировалась вся строка
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua

TLS пробовал
пишет
ERROR: Could not Activate TLS connection

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 417
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Аутентификация в домене

Сообщение Алексей Максимов » 30 авг 2017 07:55

Вы не ответили на мои вопросы. В качестве LDAP-серверов используются контроллеры домена Active Directory? Какая ОС на контроллерах домена? Получается, что без SSL/TLS у Вас соединение с LDAP-серверами не разрешено, а с использованием TLS у хелпера возникает какая-то проблема. Нужно отлаживать работу хелпера отдельно запуская его в командной строке с ключом дебага (-d)

Выполните команду:

Код: Выделить всё

/usr/lib/squid/ext_ldap_group_acl -d -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua
Следом за этим вводите последовательности связки имени пользователя и доменной группы безопасности (группы доступа в вашем случае должны находится в контейнере OU=Internet,DC=ivik-hg,DC=ua)

Код: Выделить всё

pirozhkov-a Internet-Squid-Standard
sidorov-p Internet-Squid-Slow
И анализируйте вывод, который будет сыпать хелпер.

artergan
Сообщения: 4
Зарегистрирован: 17 авг 2017 16:00

Re: Squid Аутентификация в домене

Сообщение artergan » 19 сен 2017 10:10

Добрый день! Спасибо вам за ответы!
Анализ показал, что такая ошибка возникает при включенной групповой политике
Domain controller: LDAP server signing requirements
Как только отключаешь ее, сразу все работает.
Теперь бы заставить работать squid при включенной политике.
Поиск не выдает решения.

Ответить

Вернуться в «Прокси-сервер Squid»