Group and Users - валит squid

[nan]

После установки плагина Group and Users - squid работает.
Но как только добавляем группу ACL (любую из AD) - OpnSense группу видит, плагин запускается, но валит squid.

по логам squid есть ошибка:
FATAL: The   ext_group_ldap_0 helpers are crashing too rapidly, need help!

Содержимое ProxyUserACL.conf:
external_acl_type ext_group_ldap_0 ttl=300 negative_ttl=60 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -t 44656e795573657241436c -D DOMAIN.LOCAL
acl group_ldap_0 external ext_group_ldap_0
acl domains_0 url_regex DOMAIN\.LOCAL

http_access deny group_ldap_0 domains_0


Я так понимаю, что отсутствует файл по пути /usr/local/libexec/squid/ext_kerberos_ldap_group_acl

Всю голову сломал, маны перечитал, но через терминал не дает ничего сделать.
Как сконфигурировать этот ACL??? в ручную???
Что делать? ACL по доменным группам очень нужны...
Может кто пробовал, скиньте содержимое этого файла

Или обновления ждать до 29-01 (и то не факт что ошибка исправится)

[DarkBeard]

Посмотри сюда
https://forum.pfsense.org/index.php?topic=20666.0
Может поможет ;-)

[helvl]

Ситуация 1 в 1.
Пользователи авторизуются, все работает, но как только добавляем в плагин os-web-proxy-useracl любое правило, которое распространяется на группу, то получаем ошибку, и падение прокси
Указанная ссылка не помогла.


При добавлении любого правила фильтрации на группу падает squid и в cache.log выходит ошибка:

Code Select Expand


2018/12/13 14:48:01 kid1| WARNING: ext_group_ldap_0 #Hlpr1 exited
2018/12/13 14:48:01 kid1| Too few ext_group_ldap_0 processes are running (need 1/5)
2018/12/13 14:48:01 kid1| Starting new helpers
2018/12/13 14:48:01 kid1| helperOpenServers: Starting 1/5 'ext_kerberos_ldap_group_acl' processes
2018/12/13 14:49:01| negotiate_kerberos_auth: INFO: User test@[DOMAIN] authenticated
support_sasl.cc(276): pid=50035 :2018/12/13 14:49:03| kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can't contact LDAP server
support_ldap.cc(957): pid=50035 :2018/12/13 14:49:03| kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server
2018/12/13 14:49:06| negotiate_kerberos_auth: INFO: User test@[DOMAIN] authenticated
2018/12/13 14:49:31 kid1| WARNING: ext_group_ldap_0 #Hlpr2 exited


Может быть есть варианты решения проблемы? Или хотя бы направление, в котором копать..
Спасибо

[urfin73]

Привет!
Не нашлось решение?
Сегодня понаблюдал, что происходит. Позапускал отдельно ext_kerberos_ldap_group_acl
Происходит следующее: как только начинается рекурсивный поиск в LDAP, процесс ext_kerberos_ldap_g начинает бешено жрать память, и продолжает даже после того, как поиск завершен. После того, как память успешно выжирается, система глушит его (Segmentation fault) и привет семье.
Такое ощущение, что он по рекурсии зацикливается. Завтра еще попробую покопать...

[helvl]

Добрый вечер.
Решение не нашлось, проблема сохраняется.
На github'е проблема создана, но тоже на текущий момент нет решения.