Страница 1 из 1

Не определяются группы ext_ldap_group_acl

Добавлено: 30 мар 2018 08:13
Татьяна
Здравствуйте!

Настраивала squid на Ubuntu 16.04. с аутентификацией в Active Directory по серии инструкций http://blog.it-kb.ru/2014/06/26/forward ... ess-rules/ возникла проблема.
Пользователям доступны только разрешенные страницы вне зависимости от группы, в которую они входят на AD. А нужно, чтобы тем, у кого например инет заблокирован, чтоб он оставался заблокирован, а если у юзера FullAccess, то чтоб был полный доступ. Мой конфиг построен полностью по Вашим статьям, но видно чего-то я упустила, раз не заводится. :(

Что я делала(группы и юзер squid_user у меня расположены в контейнере Users, а все остальные пользователи - в Organization unit под названием Office):Проверяю в терминале:

Код: Выделить всё

sudo /usr/lib/squid/ext_ldap_group_acl -d -v 3 -P -R -K -b "CN=Users,DC=MC,DC=RU" -D squid_user@MC.RU -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Office,DC=MC,DC=RU))" -h dc.mc.ru dc01.mc.ru
Далее ввожу(все как в AD, у меня в OU=Office есть юзер t.belozub, который состоит в группе KOM-Internet-Blocked):

Код: Выделить всё

t.belozub KOM-Internet-Blocked
И потом вываливается сообщение:

Код: Выделить всё

ext_ldap_group_acl: WARNING: could not bind to binddn 'Invalid credentials'
ERR
P.S. OU c CN не путаю, юзер t.belozub существует, и состоит в указанной группе, авторизоваться пользователем t.belozub на прокси можно c помощью команды sudo wbinfo -a MC.RU\\t.belozub (чего нельзя сказать, кстати говоря, о пользователе squid_user, тут вот не знаю, он должен авторизовываться так уметь или нет…)

Re: Не определяются группы ext_ldap_group_acl

Добавлено: 30 мар 2018 08:29
Татьяна
А еще я смотрела от чьего имени запущен squid, ps axu | grep squid:

root 829 0.0 0.0 109276 6128 ? Ss мар13 0:00 /usr/sbin/squid -YC -f /etc/squid/squid.conf
proxy 831 0.1 5.2 536416 415300 ? S мар13 44:38 (squid-1) -YC -f /etc/squid/squid.conf
proxy 31210 0.0 0.0 13280 1536 ? S мар29 0:00 (logfile-daemon) /var/log/squid/access.log
sysadmin 32625 0.0 0.0 15468 928 pts/0 S+ 11:19 0:00 grep --color=auto squid

Это вообще нормально? Меня и раньше напрягало, что запущен от всех, но как я поняла, proxy - это стандартный юзер, ну собсна его мы использовали в предыдущем же уроке, почему от остальных - непонятно, как думаете, дропнуть их нужно или пусть себе живут, ничего криминального? Вы простите меня, не кидайте камнями, пожалуйста, я не так давно с линукс дружу, еще на вы, как и со squid, и не в курсе, как чтоб правильно было.

Re: Не определяются группы ext_ldap_group_acl

Добавлено: 30 мар 2018 15:02
Татьяна
Создала пользователя squid_user1(аналогичный squid_user ), выполнила с ним команду:
sudo /usr/lib/squid/ext_ldap_group_acl -d -v 3 -P -R -K -b "CN=Users,DC=MC,DC=RU" -D squid_user1@MC.RU -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Office,DC=MC,DC=RU))" -h dc.mc.ru dc01.mc.ru

t.belozub KOM-Internet-Blocked

Получила:

ext_ldap_group_acl.cc(579): pid=485 :Connected OK
ext_ldap_group_acl.cc(718): pid=485 :group filter '(&(objectclass=person)(sAMAccountName=t.belozub)(memberOf:1.2.840.113556.1.4.1941:=cn=KOM-Internet-Blocked,OU=Office,DC=MC,DC=RU))', searchbase 'CN=Users,DC=MC,DC=RU'
ERR

Почему сейчас-то ошибка? Увидел же группу...

Re: Не определяются группы ext_ldap_group_acl

Добавлено: 03 апр 2018 11:56
Алексей Максимов
Здравствуйте, Татьяна

Ответ на первое сообщение:

Как я понимаю, ошибка "could not bind to binddn 'Invalid credentials'" связана с проблемой при подключении к домену (верхний уровень binddn указан в ключе -b "CN=Users,DC=MC,DC=RU") от имени учётной записи squid_user@MC.RU.

1) Убедитесь в том, что учётная запись в ключе -D (squid_user@MC.RU) действительно существует в домене с таким UPN (userPrincipalName)
2) Попробуйте в качестве binddn (-b) указать корень домена "DC=MC,DC=RU"
3) Посмотрите тему viewtopic.php?f=52&t=70
Там описан пример тестирования хелпера ext_ldap_group_acl.

Ответ на второе сообщение:

Корневой процесс squid запускается от root.
Основной рабочий процесс запускается корневым от имени учётной записи proxy
Есть ещё масса дочерних процессов для работы хелеров аутентификации и авторизации.
Типичная картина в Debian/Ubuntu
дерево процессов с их ID можно посмотреть так:

Код: Выделить всё

# systemctl status squid.service
Ответ на 3 сообщение в п.3 ответа на первое сообщение.