web-dev-qa-db-ja.com

Pfsense + squidLDAP検索フィルターエラー

予備のマシンにpfsenseとsquidをインストールしたところです。 LDAP経由でADユーザーを認証するようにSquidを取得しようとしています。

最初に私はこれを試しました: http://vicryhc.wordpress.com/2013/07/08/how-to-setting-squid-on-pfsense-with-authentiaction-ldap-windows/

私のドメイン名はads.example.localです。ADのUsersコンテナにユーザー「squid」を作成しました。

  • LDAPサーバーのユーザーDN:cn=squid,cn=Users,dc=ads,dc=example,dc=local
  • LDAPパスワード:mypassword
  • LDAPベースドメイン:dc=ads,dc=example,dc=local
  • LDAPユーザー名DN属性:uid
  • LDAP検索フィルター:(sAMAccountName=%s)

残念ながら、それは機能しませんでした。少し実験して、ベースドメインを変更しました。

LDAPベースドメイン:**cn=Users,**dc=ads,dc=example,dc=local

そしてビンゴ!機能した。ただし、この設定は、ADのUsersコンテナにある「squid」という1人のユーザーのみを認証することを目的としています。

そこで、ユーザーのグループを認証する方法も示す同じガイドを続けました。

ADの「Users」コンテナに「InternetUsers」という名前のグループを作成し、それにいくつかのユーザーを追加しました。

次に、設定を変更しました。

  • LDAPサーバーのユーザーDN:cn=squid,cn=Users,dc=ads,dc=example,dc=local
  • LDAPパスワード:mypassword
  • LDAPベースドメイン:dc=ads,dc=example,dc=local
  • LDAPユーザー名DN属性:uid

ガイドに従って、LDAP検索フィルターに次の値を入力しました。

(&(memberOf=CN=InternetUsers,CN=Users,DC=ads,DC=example,DC=local)(sAMAccountName=%s))

これはどのユーザーも認証できませんでした。だから私はそれで少し実験しました... LDAPベースドメインも試しました:cn=Users,dc=ads,dc=example,dc=local

しかし、運はまったくありません。 Squidのログエントリには「操作エラー」が表示されます-具体的なことは何もありません。

そのため、LDAP検索フィルターまたはベースドメイン値のいずれかに問題があります。

私の間違いを訂正するための提案はありますか?または、ADサーバーにインストールして設定のデバッグに役立つLDAPアナライザーツールはありますか?

前もって感謝します。

更新:

「InternetUsers」グループは、ADのUsersコンテナにあるセキュリティグループです。すべてのユーザーをこのグループに追加しました。これらのユーザーは、さまざまなOUのAD全体に分散しています。

これらのユーザーのうちの3つ(「squid」、「test」、および「administrator」)はUsersコンテナーにあり、次の値を使用してそれらを確認できます。

LDAP base domain: cn=Users,dc=ads,dc=example,dc=local
(Doesn't work if I set base domain to dc=ads,dc=example,dc=local)
LDAP username DN attribute: samAccountName
LDAP search filter:(&(memberOf=CN=InternetUsers,CN=Users,DC=ads,DC=example,DC=local)(sAMAccountName=%s))

ただし、他のOUに存在するユーザーは、InternetUsersグループのメンバーであっても認証できません。検索は再帰的ではなく、1つのレベルを超えることはありません。したがって、複数のベースドメイン値を組み込む方法を見つけるか、構成ファイルを手動で編集して再帰的にする必要があります。

2
Golmaal

の中に LDAP username DN attributeADデータベースに存在するものに変更します。一般に、システム管理者がADベースに格納されているUNIX属性を気にする場合を除いて、uid属性は空のままです。

sAMAccountNameに変更して、機能するかどうかをテストします。

2