处理Squid Kerberos auth和Squidguard ldapusersearch

Question

我遇到了Squid Kerberos auth和Squid卫士ldapusersearch的麻烦，我用他们通过Active Directory组成员应用acl。

问题是：

• 鱿鱼和鱿鱼卫士认为我的用户是：user@domain.local，所以的'%s‘变量是
• 在我的ldap查询中，没有可以解释此字符串的默认属性。

例子：

src ldap {
        ldapusersearch ldap://dc1.domain.local:3268/dc=domain,dc=local?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group,OU=Groups,DC=domain,DC=local))
}

'user'和sAMAccountName只应该是，而不是 'user@domain.local' ！！！

所以我找到了一个解决办法，但不太舒服：

我编辑AD用户的一个未使用的属性，并在其中写入kerberos登录名，因此我的conf如下所示：

src ldap {
        ldapusersearch ldap://dc1.domain.local:3268/dc=domain,dc=local?displayNamePrintable?sub?(&(displayNamePrintable=%s)(memberOf=CN=group,OU=Groups,DC=domain,DC=local))
}

而且有效！

有谁想绕过在AD中创建自定义属性的需要？

我确切地说，userPrincipalName和电子邮件是一样的，不能解释Kerberos登录。

谢谢大家！

Answer 1

我使用的鱿鱼版本3.4.5-20140514-r13135与鱿鱼1.5-beta和带状域-领域补丁的Mathieu父，这是能够剥离的领域和地带的领域。因此，用户看起来是“用户”，而不是"user@KERBEROSDOMAIN“。

这里有一个非常适合我的配置

dbhome /var/lib/squidGuard/db

logdir /var/log/squidGuard

ldapbinddn squidguard@domain.tld

[医]乌贼

批准人3

ldapcachetime 2400

条带域真

真纹

src用户{ ldapusersearch "ldap://ldapserver:3268/dc=ADDomain，dc=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=SQUID_USERS，OU=Squid_Groups，OU=Groups，DC=ADDomain，DC=com)“}