The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0)"  –1 +/
Сообщение от ach2ach email(ok) on 23-Ноя-15, 18:01 
иногда (очень редко) случается что-то с учеткой в AD и ext_ldap_group_acl перестает видеть группы в которых состоит пользователь. помогает только пересоздание учетки в AD. сталкивался ли кто-нибудь с подобной проблемой? может есть возможность кк-то починить учетку. не удаляя ее?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0)"  +/
Сообщение от eRIC (ok) on 23-Ноя-15, 18:44 
ошибки в squid при этом регистрируется?
external_acl_type в squid как прописан? ipv6 используется?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0)"  –1 +/
Сообщение от ach2ach email(ok) on 24-Ноя-15, 09:34 
> ошибки в squid при этом регистрируется?
> external_acl_type в squid как прописан? ipv6 используется?

ошибок в squid нет, ipv6 не используется (dns_v4_first on)

external_acl_type ldap_group children-max=30 children-startup=10 children-idle=5 %LOGIN \
    /usr/local/libexec/squid/ext_ldap_group_acl -b "OU=myusr,DC=ad,DC=mydomain,DC=ru" \
    -D "CN=squid_ldap,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru" -W /usr/local/etc/squid/ldap.passwd \
    -f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=CN=%a,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru))" \
    -R -K -p 3268 -h ad.mydomain.ru

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0)"  +/
Сообщение от eRIC (ok) on 26-Ноя-15, 07:58 
могу посоветовать добавить ttl=120 (значение в секундах) после ldap_group, для того чтобы долго не хранил результат отработки внешнего ACL. попробуйте
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0)"  +/
Сообщение от ach2ach email(ok) on 26-Ноя-15, 11:44 
> могу посоветовать добавить ttl=120 (значение в секундах) после ldap_group, для того чтобы
> долго не хранил результат отработки внешнего ACL. попробуйте

проблема, по видимому, именно в самой учетной записи в AD. т.к. тестирую так:

root@proxy1:~ # /usr/local/libexec/squid/ext_ldap_group_acl -b "OU=myusr,DC=ad,DC=mydomain,DC=ru" -D "CN=squid_ldap,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru" -W /usr/local/etc/squid/ldap.passwd -f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=CN=%a,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru))" -R -K -p 3268 -h ad.mydomain.ru

ввожу соответственно пользователя и группу и получаю ОК
для проблемного пользователя результат ERR, причем создаю другую группу, добавляю в нее проблемного пользователя и результат тот же. ext_ldap_group_acl не видит групп вообще у этого поьзователя.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0)"  +/
Сообщение от eRIC (ok) on 26-Ноя-15, 12:41 
ldapsearch хоть находит ненормального пользователя этими фильтрами?

в чем разница между проблемным пользователем и не проблемным? может учетка expired(или требует сменить пароль и так далее) или какие-то другие свойства учетной записи отличаются от нормальных

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0)"  +/
Сообщение от ach2ach email(ok) on 30-Ноя-15, 15:35 
> ldapsearch хоть находит ненормального пользователя этими фильтрами?
> в чем разница между проблемным пользователем и не проблемным? может учетка expired(или
> требует сменить пароль и так далее) или какие-то другие свойства учетной
> записи отличаются от нормальных

вроде как ldapsearch не может искать пользователя с условием, что он в определенной группе?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0)"  +/
Сообщение от eRIC (ok) on 09-Дек-15, 18:54 
> вроде как ldapsearch не может искать пользователя с условием, что он в
> определенной группе?

чего?


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру