Pull to refresh

Comments 10

Что у pfsense со вложенными группами в AD и русскими буквами в названии групп и OU?
Могу ошибаться, но вроде названия групп должны быть на латинице. Про вложенность не скажу.

При авторизации на самом ПФ проблем нет, группы на русском видит, но что касаемо сквида и его авторизации вопрос интересный, потому что при моем конфиге он знает только о 4 группах доступа в интернет и все.

И в эти группы входят только пользователи или другие группы тоже? Потому как несколько лет назад все эти сквид-хелперы не понимали вложенные группы (у меня для удобства администрирования была тройная вложенность — группы по группам обучения, которые входили в общую группу студентов, которая входила в группу которой разрешён выход в Интернет) и не пускали юзера в Интернет.
SquidGuard: 1.6.0 Berkeley DB 5.3.28: (September 9, 2013)

Такая конструкция в SG распознает вложенные группы. С русскими не разобрался, но вроде там как-то в хексе можно задавать:
ldapusersearch ldap://DOMAIN.COM:3268/dc=domain,dc=com?userPrincipalName?sub?(&(userPrincipalName=%s)(memberOf=CN=GROUP1,OU=someou,DC=domain,DC=com))


Вот такая штука тоже понимает вложенность нормально:
external_acl_type EXTACLNAME ttl=500 negative_ttl=5 %LOGIN /usr/lib/squid/ex t_kerberos_ldap_group_acl -a -g GROUPNAME -D DOMAIN.COM

Извините, а какое отношение pfSense имеет к хабу "Настройка Linux"?
Linux там и не пахнет.

недавно поднимали тему на хабракуне, про squidguard и грядущий LDAPS. в SG TLS к LDAPу нет. Когда списки небольшие, лочить можно и в самом сквиде с помощью ext kerberos ldap group, но вот как будет с производительностью при больших списках — хз…
На данный момент онлайн доходит до 200+одновременных пользовательских аутентификаций (это под 1000 единовременных подключений на разные ресурсы может быть), со всеми этими настройками +статистика+антивирус на виртуальной машине установлены мощности с запасом -2 сокета по 2 ядра и 8гб оперативки, без антивируса хватает и 4гб и 2 сокетов по 1 ядру, и то 4 ядра + 8гб ему хватает с очень большим запасом, дал столько с учетом что пользователей может и 500 быть.
игрался в свое время с pfSense. Производительность даже на списанных полудохлых одноядерных машинах очень высокая, при этом проц (одноядерный!) не грузится выше 20%.
Впрочем, это было 5 лет назад, но думаю на данный момент вряд ли что-то поменялось.
Only those users with full accounts are able to leave comments. Log in, please.