linux - 处理 Squid Kerberos auth 和 Squidguard ldapusersearch

Question

我在使用 Squid Kerberos auth 和 Squidguard ldapusersearch 时遇到问题，我用它们来按 Active Directory 组成员资格应用 acl。

问题是:

• Squid 和 Squidguard 将我的用户视为:user@domain.local，因此squidguard 的“%s”变量为 'user@domain.local'
• 在我的 ldap 查询中，没有可以解释该字符串的默认属性。

示例:

src ldap {
        ldapusersearch ldap://dc1.domain.local:3268/dc=domain,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group,OU=Groups,DC=domain,DC=local))
}

sAMAccountName 只能是 'user' 而不是 'user@domain.local'!!!

所以我找到了一个解决方案，但它不是很舒服:

我编辑 AD 用户的未使用属性，并将我的 kerberos 登录写入其中，因此我的配置如下所示:

src ldap {
        ldapusersearch ldap://dc1.domain.local:3268/dc=domain,dc=local?displayNamePrintable?sub?(&(displayNamePrintable=%s)(memberOf=CN=group,OU=Groups,DC=domain,DC=local))
}

而且它有效!!!

有人想绕过在 AD who 内容中创建自定义属性的需要吗？

我准确地说 userPrincipalName 与电子邮件相同，无法解释 Kerberos 登录。

谢谢大家!!!

Answer 1

我正在使用带有squidguard 1.5-beta的Squid版本3.4.5-20140514-r13135和Mathieu Parent的strip-domain-realm补丁，它能够剥离域和剥离领域。因此，用户显示为“user”，而不是“user@KERBEROSDOMAIN”

这是一个适合我的示例配置

<小时/>

dbhome/var/lib/squidGuard/db
日志目录/var/log/squidGuard

ldapbinddn squidguard@domain.tld
ldapbindpasssquidguardpass
ldapprotover 3
ldapcachetime 2400

stripntdomain true
striprealm true

源用户{ ldapusersearch "ldap://ldapserver:3268/dc=ADDomain,dc=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=SQUID_USERS,OU=Squid_Groups,OU=组,DC=ADDomain,DC=com))" }