Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

Squid Аутентификация в домене

artergan

Добрый день!

Подскажите, в логах при доступе в интернет пишет :

ext_ldap_group_acl: WARNING: could not bind to binddn 'Strong(er) authentication required'

Соответственно никуда не пускает.

Поиск в интернете ни на какие мысли не навел.

Может кто подскажет?

Алексей Максимов

Здравствуйте.

Покажите фрагмент squid.conf, где у Вас описан вызов хелпера ext_ldap_group_acl

artergan

external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid/ext_ldap_group_acl -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:$

Алексей Максимов

Вы показали не всю строку.

Что используется в качестве LDAP-каталога, к которому идёт подключение? Active Directory?

Похоже на то, что LDAP-сервер, к которому Вы пытаетесь подключиться требует повышенный уровень безопасности подключения.

Попробуйте использовать TLS для защиты подключения.

Для включения TLS при вызове хелпера нужно использовать дополнительнй ключ -Z

artergan

Пардон, не скопировалась вся строка

TLS пробовал

пишет

ERROR: Could not Activate TLS connection

Алексей Максимов

Вы не ответили на мои вопросы. В качестве LDAP-серверов используются контроллеры домена Active Directory? Какая ОС на контроллерах домена? Получается, что без SSL/TLS у Вас соединение с LDAP-серверами не разрешено, а с использованием TLS у хелпера возникает какая-то проблема. Нужно отлаживать работу хелпера отдельно запуская его в командной строке с ключом дебага (-d)

Выполните команду:

/usr/lib/squid/ext_ldap_group_acl -d -v 3 -P -R -b "dc=ivik-hg,dc=ua" -D IV-SquidKerb@ivik-hg.ua -W /etc/squid/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf.2.840.113556.1.4.1941:=cn=%g,OU=Internet,DC=ivik-hg,DC=ua))" -h prima.ivik-hg.ua pdc.ivik-hg.ua

Следом за этим вводите последовательности связки имени пользователя и доменной группы безопасности (группы доступа в вашем случае должны находится в контейнере OU=Internet,DC=ivik-hg,DC=ua)

pirozhkov-a Internet-Squid-Standard

sidorov-p Internet-Squid-Slow

И анализируйте вывод, который будет сыпать хелпер.

artergan

Добрый день! Спасибо вам за ответы!

Анализ показал, что такая ошибка возникает при включенной групповой политике

Domain controller: LDAP server signing requirements

Как только отключаешь ее, сразу все работает.

Теперь бы заставить работать squid при включенной политике.

Поиск не выдает решения.