刚在一台备用机器上安装了pfsense和squid。 我试图让Squid通过LDAPvalidationAD用户。
首先我试过这个: http : //vicryhc.wordpress.com/2013/07/08/how-to-setting-squid-on-pfsense-with-authentiaction-ldap-windows/
我的域名是ads.example.local我在AD的Users容器中创build了一个用户“squid”。
LDAP服务器用户DN:cn = squid,cn =用户,dc = ads,dc =示例,dc =本地LDAP密码:mypassword LDAP基本域:dc = ads,dc = example,dc =本地LDAP用户名DN属性:uid LDAPsearchfilter:(sAMAccountName =%s)
令我沮丧的是,这并不奏效。 所以我尝试了一下,并改变了基本域:
LDAP基本域:** cn = Users,** dc = ads,dc = example,dc = local
和宾果! 有效。 但是,这个设置是为了validation一个用户 – 在我的AD的用户容器中的“squid”。
所以我继续进一步说明如何validation一组用户。
我在AD的“Users”容器中创build了一个名为“InternetUsers”的组,并添加了一些用户。
然后,我更改了以下设置:LDAP服务器用户DN:cn = squid,cn = Users,dc = ads,dc = example,dc =本地LDAP密码:mypassword LDAP基本域:dc = ads,dc = example,dc = local LDAP用户名DN属性:uid
根据指南,我为LDAPsearchfilterinput以下值:(&(memberOf = CN = InternetUsers,CN = Users,DC = ads,DC = example,DC = local)(sAMAccountName =%s))
这无法authentication任何用户。 所以我尝试了一下它…还尝试了LDAP基本域:cn = Users,dc = ads,dc = example,dc = local
但是没有任何运气。 鱿鱼日志条目显示“操作错误” – 没有具体的。
因此,我的LDAPsearchfilter或基本域值有问题。
任何build议纠正我的错误? 或者我可以安装在AD服务器上的任何LDAP分析工具,可以帮助我debugging我的设置?
提前致谢。
更新:
“InternetUsers”组是AD中Users容器中的一个安全组。 我将所有的用户添加到这个组中。 这些用户遍布于各种各样的OU中。
其中三个用户 – “squid”,“test”和“administrator”在Users容器中,我可以使用这些值对它们进行validation:
LDAP base domain: cn=Users,dc=ads,dc=example,dc=local (Doesn't work if I set base domain to dc=ads,dc=example,dc=local) LDAP username DN attribute: samAccountName LDAP search filter:(&(memberOf=CN=InternetUsers,CN=Users,DC=ads,DC=example,DC=local)(sAMAccountName=%s)) 但是,驻留在其他OU中的用户即使是InternetUsers组的成员也不能进行身份validation。 search不是recursion的,不会超越一个层次。 所以要么我必须find一个方法来合并多个基本域值或手动编辑一些configuration文件,使其recursion。
在LDAP username DN attribute中将其更改为AD数据库中存在的内容。 通常, uid属性保留为空,除非系统pipe理员关心存储在AD基础中的UNIX属性。
只需将其更改为sAMAccountName并testing它是否可行。