Вход в личный кабинет Configuring nps¶
To configure NPS, bring up the Server Manager and select the new role. The name
varies on different versions of Windows Server but may be NPAS (2022), NAP
(2022), Network Policy and Access Services, or a similar name.
First configure a RADIUS client for the firewall, then setup remote access
policies.
Www.vhod-v-lichnyj-kabinet.ru – pfsense 2.0 авторизация squid ldap ad
Вообщем выкладываю статейку о том как я заставил сквид понять авторизацию по группам через ЛДАП и рекурсивно искать пользователей в АД, может кому пригодится:
Для начала настраиваем параметры авторизации как на картинке:
В АД нужен пользователь с правами чтения групп и пользователей. 192.168.1.1 это ИР контроллера домена.
Пояснение:
LDAP server user DN: Данный адрес e-mail защищен от спам-ботов, Вам необходимо включить Javascript для его просмотра.
пользователь на чтение АД, некоторые указывают что то в роде: cn=Squid User,ou=users,dc=domain,dc=com что тоже есть правильно, мне удобнее первый вариант.
LDAP base domain: dc=domain,dc=com это корень домена domain.com к которому мы привязываемся.
LDAP username DN attribute: cn я не знаю зачем этот параметр я просто указал cn.
LDAP search filter: sAMAccountName=%s фильтр поиска в ЛДАП, в этом поле указан логин пользователя, по нему и ищем. %s получим позже от аутентификатора.
Далее дополнительные параметры:
external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b “dc=domain,dc=com” -f “(&(sAMAccountName=%v)(memberOf=cn=%a,ou=users,dc=domain,dc=com))” -D
Данный адрес e-mail защищен от спам-ботов, Вам необходимо включить Javascript для его просмотра.
-w super_password 192.168.1.1;
acl ad_inet external ldap_users InetUsers;
http_access allow ad_inet;
Пояснение:
Первая строчка разруливает сопоставление пользователей и групп
Вторая и треться назначает ACL группе из АД и разрешает этой группе доступ к интернету, InetUsers это наша группа в АД ad_inet это внутрений acl сквида. Такой АЦЛ может быть не единственным а например из группы в АД можно задать соответствие пользователя скорости в delay_pools:
acl ad_inet1m external ldap_users InetUsers1m
acl ad_inet2m external ldap_users InetUsers2m
acl ad_inet3m external ldap_users InetUsers3m
http_access allow ad_inet1m
http_access allow ad_inet2m
http_access allow ad_inet3m
Так можно разрулить скорость в пулах через группу в АД.
Но так все это работать не будет если АД упорядочена в виде дерева. Для этого я подправил в файле /usr/local/pkg/squid.inc строчку добавив параметр -R как накартинке:
Это заставило аутентификатор искать пользователей рекурсивно по дереву а не только в OU к которому мы привязывались в начале.
источник и обсуждение: http://forum.pfsense.org/index.php/topic,46843.0.html
ссылка на материал: http://vhod-v-lichnyj-kabinet.ru/index.php?option=com_content&view=article&id=537:pfsense-20squid-ldap-ad-&catid=50:pfsense&Itemid=81
{jcomments on}
(1 оценок, среднее: 4,00 из 5)
Загрузка...