BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 3 ] 
Автор Сообщение
 Заголовок сообщения: Squid+Samba(Kerberos)
СообщениеДобавлено: Вт 08 дек, 2020 5:31 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 45
Решил сделать авторизацию в Сквиде по УЗ в Самбе, которая работает как контроллер домена. Поставил самбу, ДНС используется тот, который в самбе, прямая и обратная зоны прописаны правильно(на компе, введенном в домен, контроллер резолвится и по имени, и по адресу).
Есть 2 варианта. Первый- чтобы сквид пускал в инет всех юзеров, которые смогли авторизоваться в домене. Тут все просто- вот squid.conf :
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -r -s HTTP/dc.domain.local
auth_param negotiate children 100 startup=10 idle=5
auth_param negotiate keep_alive on
acl CONNECT method CONNECT
acl AD_users proxy_auth REQUIRED
http_access allow AD_users
http_port 3128
И этот вариант работает.
Второй посложнее- чтобы доступ давался на основе групп из АД. Тогда squid.conf будет таким:
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -r -s HTTP/dc.domain.locaL
auth_param negotiate children 100 startup=10 idle=5
auth_param negotiate keep_alive on
acl CONNECT method CONNECT
acl AD_users proxy_auth REQUIRED
http_port 3128
external_acl_type vse children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -d -i -a -g squid_full@DOMAIN.LOCAL -D DOMAIN.LOCAL -S dc.DOMAIN.LOCAL
acl AD_FullInet external vse
http_access allow AD_FullInet

И вот тут у меня ничего не получается :( При старте сквида или при попытке соединения выходит ошибка "Could not set LDAP_OPT_X_SASL_SECPROPS: maxssf=56: Can't contact LDAP server" и следом- "Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server" . Судя по логу, он видит КД, пытается к нему подключиться- и не может.
Поискал в инете- ничего не нашел. Может быть, есть какие-то мысли по этому поводу?
Лог
kerberos_ldap_group.cc(430): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: INFO: Got User: root set default domain: domain.local
kerberos_ldap_group.cc(435): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: INFO: Got User: root Domain: domain.local
support_member.cc(63): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: User domain loop: group@domain squid_full@domain.local
support_member.cc(65): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Found group@domain squid_full@domain.local
support_ldap.cc(1007): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Setup Kerberos credential cache
support_krb5.cc(131): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Set credential cache to MEMORY:squid_ldap_domain.local_95252
support_krb5.cc(78): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: No default principal found in ccache : No credentials cache found
support_krb5.cc(263): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Get default keytab file name
support_krb5.cc(269): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Got default keytab file name /usr/local/etc/squid/squid.keytab
support_krb5.cc(283): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Get principal name from keytab /usr/local/etc/squid/squid.keytab
support_krb5.cc(294): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Keytab entry has realm name: domain.local
support_krb5.cc(306): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Found principal name: HTTP/dc.domain.local@domain.local
support_krb5.cc(326): pid=95252 :2020/12/08 18:56:08| kerberos_ldap_group: DEBUG: Got principal name HTTP/dc.domain.local@domain.local
support_krb5.cc(390): pid=95252 :2020/12/08 18:56:30| kerberos_ldap_group: DEBUG: Stored credentials
support_ldap.cc(1048): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Initialise ldap connection
support_ldap.cc(1057): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Canonicalise ldap server name for domain domain.local
support_resolv.cc(244): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Ldap server loop: lserver@domain dc.domain.local@NULL
support_resolv.cc(254): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Found lserver@domain dc.domain.local@NULL
support_resolv.cc(443): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Sorted ldap server names for domain domain.local:
support_resolv.cc(445): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Host: dc.domain.local Port: -1 Priority: -2 Weight: -2
support_ldap.cc(1068): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Setting up connection to ldap server dc.domain.local:389
support_ldap.cc(1081): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Bind to ldap server with SASL/GSSAPI
support_sasl.cc(259): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: ERROR: Could not set LDAP_OPT_X_SASL_SECPROPS: maxssf=56: Can't contact LDAP server
support_ldap.cc(1087): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server
support_ldap.cc(1115): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Error during initialisation of ldap connection: No such file or directory
support_ldap.cc(1196): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Error during initialisation of ldap connection: No such file or directory
support_member.cc(76): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: INFO: User root is not member of group@domain squid_full@domain.local
support_member.cc(91): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Default domain loop: group@domain squid_full@domain.local
support_member.cc(119): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: Default group loop: group@domain squid_full@domain.local
kerberos_ldap_group.cc(474): pid=95252 :2020/12/08 18:56:33| kerberos_ldap_group: DEBUG: ERR


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid+Samba(Kerberos)
СообщениеДобавлено: Чт 31 дек, 2020 7:27 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 45
В общем-то, напрямую проблему победить не удалось, пришлось сделать костыль. Принцип такой: кроном раз в N времени выгружаем пользователей групп(ы), которой можно ходить в инет, в файл, а потом в конфиге разрешаем доступ тем, кто прошел авторизацию+есть в этом файле. Если нужно- могу кинуть сюда кусок конфига, который за это отвечает.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Squid+Samba(Kerberos)
СообщениеДобавлено: Ср 20 янв, 2021 2:35 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1172
Откуда: Kiev
Сам недавно столкнулся с этой ошибкой. Нагуглил целую страничку с разного рода ошибками, и мне она помогло. http://www.delayer.org/2015/06/squid-sa ... ation.html

Конкретно в моей случае:
1) DNS сервера были не настроены на домен (пришлось прописать все DNS из AD). Из-за этого не могло найти домен и подключиться к нему.
2) не хватало пакета cyrus-sasl-gssapi

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 3 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: AMDmi3, Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика