Apenas instalei o pfsense e o squid em uma máquina de reposição. Estou tentando fazer com que o Squid autentique usuários do AD via LDAP.
Primeiro eu tentei isso: > linkMeu nome de domínio é ads.example.local Eu criei um usuário "squid" no container Usuários no AD.
DN do usuário do servidor LDAP: cn = squid, cn = Usuários, dc = ads, dc = exemplo, dc = local Senha LDAP: mypassword Domínio base do LDAP: dc = ads, dc = example, dc = local Atributo DN do nome de usuário LDAP: uid Filtro de pesquisa LDAP: (sAMAccountName =% s)
Para meu espanto, não funcionou; então experimentei um pouco e mudei o domínio base:
Domínio base LDAP: ** cn = Usuários, ** dc = ads, dc = exemplo, dc = local
E bingo! Funcionou. No entanto, essa configuração destina-se a autenticar apenas um usuário - "squid", que está no contêiner Usuários no meu AD.
Então continuei com o mesmo guia, que também mostra como autenticar um grupo de usuários.
Eu criei um grupo chamado "InternetUsers" no contêiner "Users" no AD e adicionei alguns usuários a ele.
Alterei as configurações: DN do usuário do servidor LDAP: cn = squid, cn = Usuários, dc = ads, dc = exemplo, dc = local Senha LDAP: mypassword Domínio base do LDAP: dc = ads, dc = example, dc = local Atributo DN do nome de usuário LDAP: uid
De acordo com o guia, digitei o seguinte valor para o filtro de pesquisa LDAP: (& (memberOf = CN = Usuários da Internet, CN = Usuários, DC = anúncios, DC = exemplo, DC = local) (sAMAccountName =% s))
Isso não pôde autenticar nenhum usuário. Então eu experimentei um pouco com isso ... Também tentei domínio base LDAP: cn = Usuários, dc = ads, dc = exemplo, dc = local
Mas sem sorte alguma. As entradas do log do squid mostram "Erro operacional" - nada específico.
Então, algo está errado com o filtro de pesquisa LDAP ou com o valor do domínio base.
Alguma sugestão para corrigir o meu erro? Ou qualquer ferramenta de análise de LDAP que eu possa instalar no servidor do AD que possa me ajudar a depurar minhas configurações?
Obrigado antecipadamente.
Atualização:
O grupo "InternetUsers" é um grupo de segurança que está no contêiner Usuários no AD. Eu adicionei todos os meus usuários a este grupo. Esses usuários estão espalhados pelo AD em várias UOs.
Três desses usuários - "squid", "test" e "administrator" estão no contêiner Users e eu posso verificá-los usando estes valores:
LDAP base domain: cn=Users,dc=ads,dc=example,dc=local
(Doesn't work if I set base domain to dc=ads,dc=example,dc=local)
LDAP username DN attribute: samAccountName
LDAP search filter:(&(memberOf=CN=InternetUsers,CN=Users,DC=ads,DC=example,DC=local)(sAMAccountName=%s))
Mas os usuários que residem em outras OUs não podem ser autenticados, mesmo se forem membros do grupo InternetUsers. A busca não é recursiva e não vai além de um nível. Então eu tenho que encontrar uma maneira de incorporar vários valores de domínio base ou editar algum arquivo de configuração manualmente para torná-lo recursivo.
No LDAP username DN attribute , altere-o para algo que exista no banco de dados do AD. Em geral, o atributo uid é deixado em branco, exceto nos casos em que os Sysadmins se importam com os atributos do UNIX armazenados na base do AD.
Basta alterá-lo para o sAMAccountName e testar se funcionará.