予備のマシンにpfsenseとsquidをインストールしたところです。 LDAP経由でADユーザーを認証するようにSquidを取得しようとしています。
最初に私はこれを試しました: http://vicryhc.wordpress.com/2013/07/08/how-to-setting-squid-on-pfsense-with-authentiaction-ldap-windows/
私のドメイン名はads.example.localです。ADのUsersコンテナにユーザー「squid」を作成しました。
cn=squid,cn=Users,dc=ads,dc=example,dc=local
mypassword
dc=ads,dc=example,dc=local
uid
(sAMAccountName=%s)
残念ながら、それは機能しませんでした。少し実験して、ベースドメインを変更しました。
LDAPベースドメイン:**cn=Users,**dc=ads,dc=example,dc=local
そしてビンゴ!機能した。ただし、この設定は、ADのUsersコンテナにある「squid」という1人のユーザーのみを認証することを目的としています。
そこで、ユーザーのグループを認証する方法も示す同じガイドを続けました。
ADの「Users」コンテナに「InternetUsers」という名前のグループを作成し、それにいくつかのユーザーを追加しました。
次に、設定を変更しました。
cn=squid,cn=Users,dc=ads,dc=example,dc=local
mypassword
dc=ads,dc=example,dc=local
uid
ガイドに従って、LDAP検索フィルターに次の値を入力しました。
(&(memberOf=CN=InternetUsers,CN=Users,DC=ads,DC=example,DC=local)(sAMAccountName=%s))
これはどのユーザーも認証できませんでした。だから私はそれで少し実験しました... LDAPベースドメインも試しました:cn=Users,dc=ads,dc=example,dc=local
しかし、運はまったくありません。 Squidのログエントリには「操作エラー」が表示されます-具体的なことは何もありません。
そのため、LDAP検索フィルターまたはベースドメイン値のいずれかに問題があります。
私の間違いを訂正するための提案はありますか?または、ADサーバーにインストールして設定のデバッグに役立つLDAPアナライザーツールはありますか?
前もって感謝します。
更新:
「InternetUsers」グループは、ADのUsersコンテナにあるセキュリティグループです。すべてのユーザーをこのグループに追加しました。これらのユーザーは、さまざまなOUのAD全体に分散しています。
これらのユーザーのうちの3つ(「squid」、「test」、および「administrator」)はUsersコンテナーにあり、次の値を使用してそれらを確認できます。
LDAP base domain: cn=Users,dc=ads,dc=example,dc=local
(Doesn't work if I set base domain to dc=ads,dc=example,dc=local)
LDAP username DN attribute: samAccountName
LDAP search filter:(&(memberOf=CN=InternetUsers,CN=Users,DC=ads,DC=example,DC=local)(sAMAccountName=%s))
ただし、他のOUに存在するユーザーは、InternetUsersグループのメンバーであっても認証できません。検索は再帰的ではなく、1つのレベルを超えることはありません。したがって、複数のベースドメイン値を組み込む方法を見つけるか、構成ファイルを手動で編集して再帰的にする必要があります。
の中に LDAP username DN attribute
ADデータベースに存在するものに変更します。一般に、システム管理者がADベースに格納されているUNIX属性を気にする場合を除いて、uid
属性は空のままです。
sAMAccountName
に変更して、機能するかどうかをテストします。