Всем привет! Ребята нужна помощь, настраивал связку Squid + AD по
статьеПроблема с тем что пользователи из стандартной группы (Internet-Standard) получают доступ в инет как пользователи из группы без ограничения (Internet-Full-Auth) за исключением - они не могут зайти на сайты, перечисленные в файле conf_param_sites_blocked.txt.
Хотя должны ходить только на сайты перечисленные в файле conf_param_sites_allowed.txt. Такое чувство что где то не правильно асл срабатывает, хотя несколько раз проверил свой конфиг и порядок описанный на сайте, все в точности как на сайте. В чем может быть проблема?
Вот что проскакивает в логе сквида (cache.log)
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server'В инете пока решение это ошибки не нашел
Вот конфиг сквида:
# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/tns-gate-01.intec.tns-intec.kz@INTEC.TNS-INTEC.KZ
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off
# Only NTLM authentication
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100 startup=20 idle=5
auth_param ntlm keep_alive off
# Basic authentication via ldap for clients not authenticated via kerberos/ntlm
auth_param basic program /usr/lib/squid3/basic_ldap_auth -v 3 -P -R -b "ou=SystemAccount,ou=CORP,dc=intec,dc=tns-intec,dc=kz" -D squid@intec.tns-intec.kz -W /etc/squid3/conf_param_ldappass.txt -f sAMAccountName=%s -h tns-dc-01.intec.tns-intec.kz tns-dc-02.intec.tns-intec.kz
auth_param basic children 20
auth_param basic realm "TNS-GATE-01 SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#
# LDAP authorization
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=intec,dc=tns-intec,dc=kz" -D squid@intec.tns-intec.kz -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%a,OU=Groups,OU=CORP,DC=intec,DC=tns-intec,DC=kz))" -h tns-dc-01.intec.tns-intec.kz tns-dc-02.intec.tns-intec.kz
#
acl auth proxy_auth REQUIRED
acl BlockedAccess external memberof "/etc/squid3/conf_param_groups_blocked.txt"
acl RestrictedAccess external memberof "/etc/squid3/conf_param_groups_restricted.txt"
acl StandardAccess external memberof "/etc/squid3/conf_param_groups_standard.txt"
acl FullAccess external memberof "/etc/squid3/conf_param_groups_full_auth.txt"
acl AnonymousAccess external memberof "/etc/squid3/conf_param_groups_full_anon.txt"
acl allowedsites dstdomain "/etc/squid3/conf_param_sites_allowed.txt"
acl blockedsites dstdomain "/etc/squid3/conf_param_sites_blocked.txt"
acl prioritysites dstdomain "/etc/squid3/conf_param_sites_priority.txt"
#
acl LocalWUServers src "/etc/squid3/conf_param_computers_wsus.txt"
acl GlobalWUSites dstdomain "/etc/squid3/conf_param_sites_wsus.txt"
#
#
# Squid default ACLs
# ACLs all, manager, localhost, and to_localhost are predefined.
# acl manager proto cache_object
# acl localhost src 127.0.0.1/32 ::1
# acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.1.0/24 # RFC1918 possible internal network
acl localnet1 src 192.168.2.0/24 # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#acl localnet src fc00::/7 # RFC 4193 local private network range
#acl localnet src fe80::/10 # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports
# Аllow cachemgr access from localhost and localnet
http_access allow localhost manager
http_access allow localnet manager
http_access deny manager
# Allow direct access to Windows Update
http_access allow GlobalWUSites LocalWUServers
# Allow unrestricted access to prioritysites
http_access allow prioritysites localnet
# Enforce authentication, order of rules is important for authorization levels
http_access deny !auth
# Prevent access to basic auth prompt for BlockedAccess users
http_access deny BlockedAccess all
http_access allow allowedsites localnet
http_access allow allowedsites localnet1
http_access deny RestrictedAccess all
http_access allow AnonymousAccess auth localnet
http_access allow AnonymousAccess auth localnet1
http_access allow FullAccess auth localnet
http_access allow FullAccess auth localnet1
http_access deny blockedsites
http_access allow StandardAccess auth localnet
http_access allow StandardAccess auth localnet1
# And finally deny all other access to this proxy
http_access deny all
#
# NETWORK OPTIONS
# -----------------------------------------------------------------------------
#
http_port 192.168.1.42:3128
http_port 127.0.0.1:3128
ТС не появлялся на Форуме более полугода по состоянию на 13/07/2019 (последняя явка: 06/08/2018). Модератором раздела принято решение закрыть тему.
--zg_nico
Тема: Squid + AD проблемы с аутентификацией (Прочитано 2347 раз)
