- AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0),
 eRIC, 18:44 , 23-Ноя-15 (1)ошибки в squid при этом регистрируется?
external_acl_type в squid как прописан? ipv6 используется?
- AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0), ach2ach, 09:34 , 24-Ноя-15 (2) –1
> ошибки в squid при этом регистрируется?
> external_acl_type в squid как прописан? ipv6 используется?ошибок в squid нет, ipv6 не используется (dns_v4_first on) external_acl_type ldap_group children-max=30 children-startup=10 children-idle=5 %LOGIN \
/usr/local/libexec/squid/ext_ldap_group_acl -b "OU=myusr,DC=ad,DC=mydomain,DC=ru" \
-D "CN=squid_ldap,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru" -W /usr/local/etc/squid/ldap.passwd \
-f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=CN=%a,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru))" \
-R -K -p 3268 -h ad.mydomain.ru
- AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0), eRIC, 07:58 , 26-Ноя-15 (3)
могу посоветовать добавить ttl=120 (значение в секундах) после ldap_group, для того чтобы долго не хранил результат отработки внешнего ACL. попробуйте
- AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0), ach2ach, 11:44 , 26-Ноя-15 (4)
> могу посоветовать добавить ttl=120 (значение в секундах) после ldap_group, для того чтобы
> долго не хранил результат отработки внешнего ACL. попробуйте проблема, по видимому, именно в самой учетной записи в AD. т.к. тестирую так: root@proxy1:~ # /usr/local/libexec/squid/ext_ldap_group_acl -b "OU=myusr,DC=ad,DC=mydomain,DC=ru" -D "CN=squid_ldap,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru" -W /usr/local/etc/squid/ldap.passwd -f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=CN=%a,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru))" -R -K -p 3268 -h ad.mydomain.ru ввожу соответственно пользователя и группу и получаю ОК
для проблемного пользователя результат ERR, причем создаю другую группу, добавляю в нее проблемного пользователя и результат тот же. ext_ldap_group_acl не видит групп вообще у этого поьзователя.
- AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0), eRIC, 12:41 , 26-Ноя-15 (5)
ldapsearch хоть находит ненормального пользователя этими фильтрами?в чем разница между проблемным пользователем и не проблемным? может учетка expired(или требует сменить пароль и так далее) или какие-то другие свойства учетной записи отличаются от нормальных
- AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0), ach2ach, 15:35 , 30-Ноя-15 (6)
> ldapsearch хоть находит ненормального пользователя этими фильтрами?
> в чем разница между проблемным пользователем и не проблемным? может учетка expired(или
> требует сменить пароль и так далее) или какие-то другие свойства учетной
> записи отличаются от нормальных вроде как ldapsearch не может искать пользователя с условием, что он в определенной группе?
|
Версия для распечатки
AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0), 
