Интегрируйте Сквид автор Kerberos и Squidguard ldapusersearch в AD
Я испытываю затруднения из-за Сквида автор Kerberos и Squidguard ldapusersearch, который я использую для применения ACLs членством групп Active Directory.
Проблема:
- Squid и Squidguard видят моего пользователя как:
user@domain.localтаким образом, '%s' переменная squidguard'user@domain.local' - В моем запросе ldap нет никакого свойства по умолчанию, которое может интерпретировать эту строку.
Пример:
src ldap {
ldapusersearch ldap://dc1.domain.local:3268/dc=domain,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group,OU=Groups,DC=domain,DC=local))
}
И sAMAccountName должен быть только 'user' и нет 'user@domain.local' !!!
Таким образом, я нашел решение, но Это не очень удобно:
Я редактирую неиспользованный атрибут AD пользователя, и я пишу в него свой вход в систему kerberos, таким образом, мой conf похож на это:
src ldap {
ldapusersearch ldap://dc1.domain.local:3268/dc=domain,dc=local?displayNamePrintable?sub?(&(displayNamePrintable=%s)(memberOf=CN=group,OU=Groups,DC=domain,DC=local))
}
И это работает!!!
У кого-либо есть идея обойти потребность создать пользовательский атрибут в AD, кто удовлетворяет?
И между прочим userPrincipalName совпадает с электронной почтой и не может интерпретировать вход в систему Kerberos.
Я заставил это работать в моей среде, запросив LDAP для userPrincipalName вместо sAMAccountName, так как мой squid также возвращает (скрытно) из Kerberos / NTLM auth.
Также не забудьте использовать% 20 вместо пробелов, и когда я указывал DN привязки в моем файле conf, я использовал кавычки, так как у них был & в DN, и squidguard из-за этого не связывался.
Вы можете использовать "userlist = userlist" (/ var / squidGuard / userlist) вместо "user = foo bar"