Страница 1 из 1
Squid Аутентификация в домене
Добавлено: 29 авг 2017 14:34
artergan
Добрый день!
Подскажите, в логах при доступе в интернет пишет :
ext_ldap_group_acl: WARNING: could not bind to binddn 'Strong(er) authentication required'
Соответственно никуда не пускает.
Поиск в интернете ни на какие мысли не навел.
Может кто подскажет?
Re: Squid Аутентификация в домене
Добавлено: 29 авг 2017 15:23
Алексей Максимов
Здравствуйте.
Покажите фрагмент squid.conf, где у Вас описан вызов хелпера ext_ldap_group_acl
Re: Squid Аутентификация в домене
Добавлено: 30 авг 2017 05:31
artergan
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D
IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:$
Re: Squid Аутентификация в домене
Добавлено: 30 авг 2017 05:48
Алексей Максимов
Вы показали не всю строку.
Что используется в качестве LDAP-каталога, к которому идёт подключение? Active Directory?
Похоже на то, что LDAP-сервер, к которому Вы пытаетесь подключиться требует повышенный уровень безопасности подключения.
Попробуйте использовать TLS для защиты подключения.
Для включения TLS при вызове хелпера нужно использовать дополнительнй ключ -Z
Re: Squid Аутентификация в домене
Добавлено: 30 авг 2017 07:36
artergan
Пардон, не скопировалась вся строка
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D
IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua
TLS пробовал
пишет
ERROR: Could not Activate TLS connection
Re: Squid Аутентификация в домене
Добавлено: 30 авг 2017 07:55
Алексей Максимов
Вы не ответили на мои вопросы. В качестве LDAP-серверов используются контроллеры домена Active Directory? Какая ОС на контроллерах домена? Получается, что без SSL/TLS у Вас соединение с LDAP-серверами не разрешено, а с использованием TLS у хелпера возникает какая-то проблема. Нужно отлаживать работу хелпера отдельно запуская его в командной строке с ключом дебага (
-d)
Выполните команду:
Код: Выделить всё
/usr/lib/squid/ext_ldap_group_acl -d -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua
Следом за этим вводите последовательности связки имени пользователя и доменной группы безопасности (группы доступа в вашем случае должны находится в контейнере OU=Internet,DC=ivik-hg,DC=ua)
Код: Выделить всё
pirozhkov-a Internet-Squid-Standard
sidorov-p Internet-Squid-Slow
И анализируйте вывод, который будет сыпать хелпер.
Re: Squid Аутентификация в домене
Добавлено: 19 сен 2017 10:10
artergan
Добрый день! Спасибо вам за ответы!
Анализ показал, что такая ошибка возникает при включенной групповой политике
Domain controller: LDAP server signing requirements
Как только отключаешь ее, сразу все работает.
Теперь бы заставить работать squid при включенной политике.
Поиск не выдает решения.