помогите прикрутить squid к ldap

[fordiegolg]

OC Ubuntu Server 10.04.03 x86 squid 2.7
AD Win2k8r2

задача прикрутить Squid с аутентификацией через АД

попытаюсь расписать корни проблемы:
в АД есть контейнер Users (создается по умолчанию)и например (я сам сделал) так называемое подразделение (organization units)с именем Contacts

поиск по Users проходит вот так
auth_param basic program /usr/lib/squid/ldap_auth -v 3 -R -D ldap -w "Qwertyu1" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -b "cn=Users,dc=domain,dc=company" -h domain.company

поиск по подразделению проходит вот так
auth_param basic program /usr/lib/squid/ldap_auth -v 3 -R -D ldap -w "Qwertyu1" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -b "ou=Contacts,dc=domain,dc=company" -h domain.company

к сожалению в squid можно подставит только одну запись поиска
вопрос: как объеденить два вида поиска в один фильтр? чтоб и в контейнере Users искало и в подразделении Conatacts

[drako]

Самое очевидное что напрашивается это или запихать поиск по АД в скрипт, который использовать в конфиге кальмара, или использовать идентификацию по группе.

[fordiegolg]

сделал в АД группу internet, присвоил нескольким пользователям эту группу
в сквид добавил
auth_param basic program /usr/lib/squid/squid_ldap_group -d -v 3 -R -b "dc=domain,dc=company" -f "(&(cn=%v)(memberOf=CN=%a,CN=Users,DC=domain,DC=company))" -D ldap -w "Qwertyu1" -h domain.company

теперь когда браузер просит авторизоваться необходимо ввести логин учетной записи в домене АД а вместо пароля имя группы!!!
как запилить чтоб спрашивал пароль от учетной записи? Или аутентификация по группе предполагает вместо пароля от учетки набирать имя группы? То есть как бы все правильно работает?
Пользователь решил продолжить мысль 13 Января 2012, 23:16:32:и еще один вопрос к гуру.

проверка проходит на отлично
adminalpha@Alpha:~$ /usr/lib/squid/ldap_auth -v 3 -R -D ldap -w "Qwertyu1" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -b "dc=domain,dc=company" -h domain.company
test Qwertyu1
OK

а если добавить строку в сквид
auth_param basic program /usr/lib/squid/ldap_auth -v 3 -R -D ldap -w "Qwertyu1" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -b "dc=domain,dc=company" -h domain.company

то когда браузер запрашивает аутентификацию почему то не принимает пароль!!! если добавить cn=Users (как в примере в первом посте) то все прокатывает.... но тогда касяк: пользователь должен находится в АД в контейнере Users

[drako]

Вообще man великая сила
-s base|one|sub
search scope when performing user DN searches specified by the -f option. Defaults to 'sub'.
base object only, one level below the base object or subtree below the base object
Не пробовали?

[fordiegolg]

drako не могли бы вы показать как использовать параметр -s на моем примере что то я никак не разберусь куда его вставлять
Пользователь решил продолжить мысль 14 Января 2012, 09:30:49:пробовал все три параметра

adminalpha@Alpha:~$ /usr/lib/squid/ldap_auth -v 3 -R -D ldap -w "Qwertyu1" -s base -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -b "dc=domain,dc=company" -h domain.company
test Qwertyu1
ERR Success

adminalpha@Alpha:~$ /usr/lib/squid/ldap_auth -v 3 -R -D ldap -w "Qwertyu1" -s one -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -b "dc=domain,dc=company" -h domain.company
test Qwertyu1
ERR Success

adminalpha@Alpha:~$ /usr/lib/squid/ldap_auth -v 3 -R -D ldap -w "Qwertyu1" -s sub -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -b "dc=domain,dc=company" -h domain.company
test Qwertyu1
ERR Success

с такими параметрами вообще не ищет

[drako]

В отличие от Вас, мне ман в интернете надо искать, а у Вас он под рукой. Следуя логике, -s должно стоять после -f.

[fordiegolg]

вот с таким параметром удалось пройти проверку
adminalpha@Alpha:~$ /usr/lib/squid/ldap_auth -v 3 -R -D ldap -w "Qwertyu1" -s sub -f "(&(objectClass=person)(sAMAccountName=%s))" -s sub -u sAMAccountName -b "dc=domain,dc=company" -h domain.company
test Qwertyu1
OK

после добавления в сквид строки
auth_param basic program /usr/lib/squid/ldap_auth -v 3 -R -D ldap -w "Qwertyu1" -f "(&(objectClass=person)(sAMAccountName=%s))" -s sub -u sAMAccountName -b "dc=domain,dc=company" -h domain.company
все заработало!!!
теперь сквид принемает аутентификацию если пользователь находится в контейнере Users так и в подразделении Contacts

DRAKO ОГРОМНОЕ СПАСИБО!!!