Автоматический импорт ФИО пользователей из Active Directory в Lightsquid

в 5:36, , рубрики: lightsquid, squid, системное администрирование, метки: ,

У многих, кто управляет прокси-сервером Squid на предприятии, есть потребность периодически демонстрировать статистику пользования интернетом сотрудниками руководству. Для представления статистики дополнительно к Squid устанавливается анализатор журналов типа SARG, Lightsquid и т.д. При этом зачастую в организации развёрнута служба каталогов (предполагается, это Active Directory), в которой у всех сотрудников есть учётные записи и авторизация в прокси-сервере идёт на основе учётных записей. Естественно, для руководства, когда оно смотрит отчёт, удобней идентифицировать сотрудника по имени и фамилии. На удивление, во многих форумах и IT-порталах эту задачу предлагают решать вручную, забивая имена и фамилии в конфигурационные файлы анализатора журналов. У этого решения есть недостаток — при зачислении/увольнении какого либо сотрудника конфиги придётся редактировать.
Эта статья описывает метод автоматического извлечения данных о фамилии и имени сотрудников из ActiveDirectory и их вставку в отчёты Lightsquid.

Задача: обеспечить вывод отчётов через Lightsquid по каждому пользователю Active Directory, заходившего в интернет, с указанием его имени и фамилии (забегая вперёд, скажу, что в AD этой информации соответствует поле «выводимое имя», в LDAP-запросах на него ссылается переменная displayName)
Исходные данные:

  • -Настроенный и корректно работающий Squid 3.3.8 с авторизацией ntlm
  • -в конфиге Squid присутствуют следующие строки:
    	logfile_rotate N
    	debug_options rotate=M
    	

    где N и M -максимальное количество файлов журнала, которые Squid может создать
    logfile_rotate — для access.log, debug_options -для cache.log

  • -Настроенный и корректно работающий Apache 2.4.7
  • -Настроенный и корректно работающий Lightsquid 1.8 ()
  • -в конфиге Lightsquid есть переменная $lang = «ru»
Решение:

Сначала я опишу механизм передачи данных о ФИО в Lightsquid из ActiveDirectory, затем приведу его реализацию.

Сведения о ФИО представлены в AD в свойствах доменного пользователя, в поле «Выводимое имя». Для получения сведений от AD необходимо взаимодействовать с ним через LDAP-запросы. При этом взаимодействовать можно только от имени авторизованного пользователя домена. Поскольку Lightsquid написан на Perl, для выполнения этих запросов потребуется модуль Net::LDAP. А для автоматического вывода в отчёте сведений из AD необходимо заменить простое получение логина от squid на выполнение LDAP-запроса.

Вначале необходимо создать в AD учётку с максимально ограниченными правами, которая будет использоваться для выполнения LDAP-запросов. Для этого запустите оснастку «Active Directory- пользователи и компьютеры» и создайте нового пользователя. Дайте ему название, выражающее его предназначение. Например, LightSquidAgent. Затем создайте новый объект групповой политики и войдите в его свойства (или в свойства существующего объекта). Далее Конфигурация компьютера->Конфигурация Windows->Параметры безопасности->Локальные политики->Назначение прав пользователя. В параметре «Отказ в доступе к компьютеру из сети» введите LightSquidAgent. В параметре «Отклонить локальный вход» тоже введите LightSquidAgent.

Теперь установим в Perl модуль Net::LDAP. Запускаем bash или аналогичную командную оболочку и выполняем

perl -MCPAN -e shell

. После входа в интерпретатор cpan выполняем

install Net::LDAP

. Далее программа установки выведет вопрос, хотим ли мы позволить ей выполнить авто-конфигурирование. Просто жмём Enter. В конце вы должны увидеть

LDAP module was installed successfully

.

После этого можно править код, генерирующий отчёты. Заходим в папку с установленным LightSquid, переходим в папку ip2name и открываем файл ip2name.squidauth. Он должен выглядеть так:

#contributor: esl
#specialy for squid with turned on user authentication
#simple version

sub StartIp2Name() {
}

sub Ip2Name($$$) {
  # $Lhost,$user,$Ltimestamp
  my $Lhost=shift;
  my $user =shift;
  $user    =URLDecode($user); #decode user name
  return $user if ($user ne "-");
  return $Lhost;
}

sub StopIp2Name() {
}

#warning !!!
1;

В шапке файла нужно прописать пространства имён, в которых лежат нужные нам функции:

#contributor: esl
#specialy for squid with turned on user authentication
#simple version

use strict;
use warnings;
use Net::LDAP;
use Encode;
Финал: заменяем определение функции Ip2Name.

Вместо

sub Ip2Name($$$) {
  # $Lhost,$user,$Ltimestamp
  my $Lhost=shift;
  my $user =shift;
  $user    =URLDecode($user); #decode user name
  return $user if ($user ne "-");
  return $Lhost;
}

вставляем

sub Ip2Name($$$) {
  # $Lhost,$user,$Ltimestamp
  my $Lhost=shift;
  my $user =shift;
  $user    =URLDecode($user); #decode user name  
  return $Lhost if ($user eq "-");

my $server = "ldap://ourserver.domain.com";
my $ldap = Net::LDAP->new( $server ) or die $@;
my $message = $ldap->bind(q(domainLightSquidAgent), password => "password"); 

die $message->error() if $message->code();

my $result = $ldap->search(
	base	=> "dc=domain,dc=com",
	filter	=> "(&(objectCategory=person)(objectClass=user)(sAMAccountName=" . $user . "))",
);

my $first_entry_with_displayName = $result->entry(0);
my $pure_displayName = $first_entry_with_displayName->get_value("displayName");
$pure_displayName =~ s/ /_/g;
Encode::from_to($pure_displayName, 'utf-8', 'windows-1251');

$message = $ldap->unbind;

  return $pure_displayName;
}

Объективная критика приветствуется

Автор: mmmax

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js