BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
СообщениеДобавлено: Пт 22 мар, 2019 5:05 pm 
Не в сети

Зарегистрирован: Пт 22 мар, 2019 4:39 pm
Сообщения: 2
Пытаюсь подружить freebsd 12+squid 3+kerberos+AD, но авторизация не проходит, если меняю:
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -s HTTP/proxy.domen.local@DOMEN.LOCAL
на
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -s GSS_C_NO_NAME

смотрел многие мануалы, везде в принципе одно и тоже.
делал по этому мануалу
Создал в корне АД ou=Squid, куда закинул группы и пользователя squid
На КД созла билет keytab
C:\>ktpass -princ HTTP/squid.domen.local@DOMEN.LOCAL -mapuser squid -crypto All -pass "squid123" -ptype KRB5_NT_PRINCIPAL -out C:\proxy.keytab

Скопировал полученный файл в /usr/local/etc/squid

конфиги

krb5.conf
Код:
[libdefaults]
        default_realm = DOMEN.LOCAL
        dns_lookup_realm = no
        ticket_lifetime = 24h
        default_keytab_name = /usr/local/etc/squid/proxy.keytab

# for Windows 2008 with AES
    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5


[realms]
        DOMEN.LOCAL = {
                kdc = sdc.domen.local
                kdc = dcserver.domen.local
                admin_server = sdc.domen.local
                default_domain = domen.local
        }

[domain_realm]
        .domen.local = DOMEN.LOCAL
        domen.local = DOMEN.LOCAL

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log



host
Код:
127.0.0.1<----->localhost<----->localhost.domen.local
192.168.2.100<->proxy<-><------>proxy.domen.local
192.168.2.100<->proxy.domen.local.


resolv.conf
Код:
domain domen.local
search domen.local
nameserver 192.168.2.8
nameserver 192.168.2.9


squid.conf
Код:
   #Аутентификаторы

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -s HTTP/proxy.domen.local@DOMEN.LOCAL
#-d  для дебага
#GSS_C_NO_NAME
auth_param negotiate children 50 startup=5 idle=1
auth_param negotiate keep_alive on

auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -R -D squid@DOMEN.LOCAL \
                         -w squid123 -b "DC=domen,DC=local" \
                         -f "sAMAccountName=%s" -h 192.168.2.8
auth_param basic children 50 startup=5 idle=1
auth_param basic realm Welcome! Please, enter your password.
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off


#описываем локальную сеть
#acl all src 0.0.0.0/0.0.0.0
#acl localhost src 127.0.0.1/32
acl localnet src 192.168.2.0/24

acl SSL_ports port 443
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT



http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny to_localhost

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

#авторизация
acl domen proxy_auth REQUIRED

external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl \
      -R -b "DC=domen,DC=local" -f "(&(sAMAccountName=%v) (memberOf=cn=%a,OU=Squid,DC=domen,DC=local))" \
      -D squid@domen.local -w squid123 -h 192.168.2.8   
      
#описываем внешние группы из AD
acl inet_users    external ldap_users Internet_Users

# те кто ходят без авторизации
acl not_autorized src      "/usr/local/etc/squid/acl/not_autorized.txt"

# acl до сайтов которые разрешены всем
acl     allow_domains   dstdomain       "/usr/local/etc/squid/acl/allow_domains.txt"

# запрещённые доменные имена
acl     deny_domains       dstdomain        "/usr/local/etc/squid/acl/deny_domains.txt"



# доступы по группам
http_access      allow   not_autorized   
http_access      allow   inet_users
http_access      allow   domen

http_access deny all



#остальные настройки
http_port proxy.domen.local:3128

access_log stdio:/var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
logfile_rotate 14

dns_nameservers 192.168.2.145 192.168.2.8
#dns_children 10

pid_filename /var/run/squid/squid.pid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_mgr support@domen.ru
visible_hostname proxy.domen.local
icp_port 0
error_default_language ru
error_directory /usr/local/etc/squid/errors/ru
error_log_languages on
hosts_file /etc/hosts
#forwarded_for off
#отключаем ipv6
#dns_v4_first on
#debug_options ALL,3


логи
access.log
Код:
1553259819.562      0 192.168.2.4 TCP_DENIED/407 4196 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1553259819.573      5 192.168.2.4 TCP_DENIED/407 6706 CONNECT yandex.ru:443 - HIER_NONE/- text/html


cache.log
Код:
2019/03/22 16:03:37| Current Directory is /
2019/03/22 16:03:37| Current Directory is /
2019/03/22 16:03:37 kid1| Logfile: opening log stdio:/var/log/squid/access.log
2019/03/22 16:03:37 kid1| Squid plugin modules loaded: 0
2019/03/22 16:03:37 kid1| Adaptation support is off.
2019/03/22 16:03:37 kid1| Store logging disabled
2019/03/22 16:03:37 kid1| DNS Socket created at [::], FD 8
2019/03/22 16:03:37 kid1| DNS Socket created at 0.0.0.0, FD 9
2019/03/22 16:03:37 kid1| Adding nameserver 192.168.2.145 from squid.conf
2019/03/22 16:03:37 kid1| Adding nameserver 192.168.2.8 from squid.conf
2019/03/22 16:03:37 kid1| helperOpenServers: Starting 5/50 'negotiate_kerberos_auth' processes
2019/03/22 16:03:37 kid1| helperOpenServers: Starting 5/50 'basic_ldap_auth' processes
2019/03/22 16:03:37 kid1| helperOpenServers: Starting 0/5 'ext_ldap_group_acl' processes
2019/03/22 16:03:37 kid1| helperOpenServers: No 'ext_ldap_group_acl' processes needed.
2019/03/22 16:03:37 kid1| HTCP Disabled.
2019/03/22 16:03:37| pinger: Initialising ICMP pinger ...
2019/03/22 16:03:37| pinger: ICMP socket opened.
2019/03/22 16:03:37| pinger: ICMPv6 socket opened
2019/03/22 16:03:37 kid1| Pinger socket opened on FD 32
2019/03/22 16:03:37 kid1| Finished loading MIME types and icons.
2019/03/22 16:03:37 kid1| Accepting HTTP Socket connections at local=192.168.2.100:3128 remote=[::] FD 30 flags=9



помогите пожалуйста, 3 дня бьюсь


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 22 мар, 2019 5:22 pm 
Не в сети

Зарегистрирован: Пт 22 мар, 2019 4:39 pm
Сообщения: 2
Билет через keytab получает без ошибок. Но НИКАК не дает пройти аутентификацию, вот хоть убейся.
вывод
ktutil -k /usr/local/etc/squid/proxy.keytab list
/usr/local/etc/squid/proxy.keytab:

Код:
Vno  Type                     Principal                         Aliases
 25  des-cbc-crc              HTTP/proxy.domen.local@DOMEN.LOCAL
 25  des-cbc-md5              HTTP/proxy.domen.local@DOMEN.LOCAL
 25  arcfour-hmac-md5         HTTP/proxy.domen.local@DOMEN.LOCAL
 25  aes256-cts-hmac-sha1-96  HTTP/proxy.domen.local@DOMEN.LOCAL
 25  aes128-cts-hmac-sha1-96  HTTP/proxy.domen.local@DOMEN.LOCAL


*************
Код:
# kinit squid
squid@DOMEN.LOCAL's Password:
su@proxy:/usr/local/etc/squid# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: squid@DOMEN.LOCAL

  Issued                Expires               Principal
Mar 22 16:23:49 2019  Mar 23 02:23:49 2019  krbtgt/DOMEN.LOCAL@DOMEN.LOCAL


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика