Страница 1 из 1

Squid Аутентификация в домене

Добавлено: 29 авг 2017 14:34
artergan
Добрый день!

Подскажите, в логах при доступе в интернет пишет :

ext_ldap_group_acl: WARNING: could not bind to binddn 'Strong(er) authentication required'

Соответственно никуда не пускает.
Поиск в интернете ни на какие мысли не навел.
Может кто подскажет?

Re: Squid Аутентификация в домене

Добавлено: 29 авг 2017 15:23
Алексей Максимов
Здравствуйте.
Покажите фрагмент squid.conf, где у Вас описан вызов хелпера ext_ldap_group_acl

Re: Squid Аутентификация в домене

Добавлено: 30 авг 2017 05:31
artergan
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:$

Re: Squid Аутентификация в домене

Добавлено: 30 авг 2017 05:48
Алексей Максимов
Вы показали не всю строку.
Что используется в качестве LDAP-каталога, к которому идёт подключение? Active Directory?
Похоже на то, что LDAP-сервер, к которому Вы пытаетесь подключиться требует повышенный уровень безопасности подключения.
Попробуйте использовать TLS для защиты подключения.
Для включения TLS при вызове хелпера нужно использовать дополнительнй ключ -Z

Re: Squid Аутентификация в домене

Добавлено: 30 авг 2017 07:36
artergan
Пардон, не скопировалась вся строка
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua

TLS пробовал
пишет
ERROR: Could not Activate TLS connection

Re: Squid Аутентификация в домене

Добавлено: 30 авг 2017 07:55
Алексей Максимов
Вы не ответили на мои вопросы. В качестве LDAP-серверов используются контроллеры домена Active Directory? Какая ОС на контроллерах домена? Получается, что без SSL/TLS у Вас соединение с LDAP-серверами не разрешено, а с использованием TLS у хелпера возникает какая-то проблема. Нужно отлаживать работу хелпера отдельно запуская его в командной строке с ключом дебага (-d)

Выполните команду:

Код: Выделить всё

/usr/lib/squid/ext_ldap_group_acl -d -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua
Следом за этим вводите последовательности связки имени пользователя и доменной группы безопасности (группы доступа в вашем случае должны находится в контейнере OU=Internet,DC=ivik-hg,DC=ua)

Код: Выделить всё

pirozhkov-a Internet-Squid-Standard
sidorov-p Internet-Squid-Slow
И анализируйте вывод, который будет сыпать хелпер.

Re: Squid Аутентификация в домене

Добавлено: 19 сен 2017 10:10
artergan
Добрый день! Спасибо вам за ответы!
Анализ показал, что такая ошибка возникает при включенной групповой политике
Domain controller: LDAP server signing requirements
Как только отключаешь ее, сразу все работает.
Теперь бы заставить работать squid при включенной политике.
Поиск не выдает решения.