Squid Аутентификация в домене
Squid Аутентификация в домене
Добрый день!
Подскажите, в логах при доступе в интернет пишет :
ext_ldap_group_acl: WARNING: could not bind to binddn 'Strong(er) authentication required'
Соответственно никуда не пускает.
Поиск в интернете ни на какие мысли не навел.
Может кто подскажет?
Подскажите, в логах при доступе в интернет пишет :
ext_ldap_group_acl: WARNING: could not bind to binddn 'Strong(er) authentication required'
Соответственно никуда не пускает.
Поиск в интернете ни на какие мысли не навел.
Может кто подскажет?
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Squid Аутентификация в домене
Здравствуйте.
Покажите фрагмент squid.conf, где у Вас описан вызов хелпера ext_ldap_group_acl
Покажите фрагмент squid.conf, где у Вас описан вызов хелпера ext_ldap_group_acl
Re: Squid Аутентификация в домене
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:$
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Squid Аутентификация в домене
Вы показали не всю строку.
Что используется в качестве LDAP-каталога, к которому идёт подключение? Active Directory?
Похоже на то, что LDAP-сервер, к которому Вы пытаетесь подключиться требует повышенный уровень безопасности подключения.
Попробуйте использовать TLS для защиты подключения.
Для включения TLS при вызове хелпера нужно использовать дополнительнй ключ -Z
Что используется в качестве LDAP-каталога, к которому идёт подключение? Active Directory?
Похоже на то, что LDAP-сервер, к которому Вы пытаетесь подключиться требует повышенный уровень безопасности подключения.
Попробуйте использовать TLS для защиты подключения.
Для включения TLS при вызове хелпера нужно использовать дополнительнй ключ -Z
Re: Squid Аутентификация в домене
Пардон, не скопировалась вся строка
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua
TLS пробовал
пишет
ERROR: Could not Activate TLS connection
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua
TLS пробовал
пишет
ERROR: Could not Activate TLS connection
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Squid Аутентификация в домене
Вы не ответили на мои вопросы. В качестве LDAP-серверов используются контроллеры домена Active Directory? Какая ОС на контроллерах домена? Получается, что без SSL/TLS у Вас соединение с LDAP-серверами не разрешено, а с использованием TLS у хелпера возникает какая-то проблема. Нужно отлаживать работу хелпера отдельно запуская его в командной строке с ключом дебага (-d)
Выполните команду:
Следом за этим вводите последовательности связки имени пользователя и доменной группы безопасности (группы доступа в вашем случае должны находится в контейнере OU=Internet,DC=ivik-hg,DC=ua)
И анализируйте вывод, который будет сыпать хелпер.
Выполните команду:
Код: Выделить всё
/usr/lib/squid/ext_ldap_group_acl -d -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua
Код: Выделить всё
pirozhkov-a Internet-Squid-Standard
sidorov-p Internet-Squid-Slow
Re: Squid Аутентификация в домене
Добрый день! Спасибо вам за ответы!
Анализ показал, что такая ошибка возникает при включенной групповой политике
Domain controller: LDAP server signing requirements
Как только отключаешь ее, сразу все работает.
Теперь бы заставить работать squid при включенной политике.
Поиск не выдает решения.
Анализ показал, что такая ошибка возникает при включенной групповой политике
Domain controller: LDAP server signing requirements
Как только отключаешь ее, сразу все работает.
Теперь бы заставить работать squid при включенной политике.
Поиск не выдает решения.