BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 2 ] 
Автор Сообщение
СообщениеДобавлено: Пт 22 мар, 2019 5:05 pm 
Не в сети

Зарегистрирован: Пт 22 мар, 2019 4:39 pm
Сообщения: 2
Пытаюсь подружить freebsd 12+squid 3+kerberos+AD, но авторизация не проходит, если меняю:
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -s HTTP/proxy.domen.local@DOMEN.LOCAL
на
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -s GSS_C_NO_NAME

смотрел многие мануалы, везде в принципе одно и тоже.
делал по этому мануалу
Создал в корне АД ou=Squid, куда закинул группы и пользователя squid
На КД созла билет keytab
C:\>ktpass -princ HTTP/squid.domen.local@DOMEN.LOCAL -mapuser squid -crypto All -pass "squid123" -ptype KRB5_NT_PRINCIPAL -out C:\proxy.keytab

Скопировал полученный файл в /usr/local/etc/squid

конфиги

krb5.conf
Код:
[libdefaults]
        default_realm = DOMEN.LOCAL
        dns_lookup_realm = no
        ticket_lifetime = 24h
        default_keytab_name = /usr/local/etc/squid/proxy.keytab

# for Windows 2008 with AES
    default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
    permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5


[realms]
        DOMEN.LOCAL = {
                kdc = sdc.domen.local
                kdc = dcserver.domen.local
                admin_server = sdc.domen.local
                default_domain = domen.local
        }

[domain_realm]
        .domen.local = DOMEN.LOCAL
        domen.local = DOMEN.LOCAL

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log



host
Код:
127.0.0.1<----->localhost<----->localhost.domen.local
192.168.2.100<->proxy<-><------>proxy.domen.local
192.168.2.100<->proxy.domen.local.


resolv.conf
Код:
domain domen.local
search domen.local
nameserver 192.168.2.8
nameserver 192.168.2.9


squid.conf
Код:
   #Аутентификаторы

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -s HTTP/proxy.domen.local@DOMEN.LOCAL
#-d  для дебага
#GSS_C_NO_NAME
auth_param negotiate children 50 startup=5 idle=1
auth_param negotiate keep_alive on

auth_param basic program /usr/local/libexec/squid/basic_ldap_auth -v 3 -R -D squid@DOMEN.LOCAL \
                         -w squid123 -b "DC=domen,DC=local" \
                         -f "sAMAccountName=%s" -h 192.168.2.8
auth_param basic children 50 startup=5 idle=1
auth_param basic realm Welcome! Please, enter your password.
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off


#описываем локальную сеть
#acl all src 0.0.0.0/0.0.0.0
#acl localhost src 127.0.0.1/32
acl localnet src 192.168.2.0/24

acl SSL_ports port 443
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT



http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny to_localhost

acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

#авторизация
acl domen proxy_auth REQUIRED

external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/ext_ldap_group_acl \
      -R -b "DC=domen,DC=local" -f "(&(sAMAccountName=%v) (memberOf=cn=%a,OU=Squid,DC=domen,DC=local))" \
      -D squid@domen.local -w squid123 -h 192.168.2.8   
      
#описываем внешние группы из AD
acl inet_users    external ldap_users Internet_Users

# те кто ходят без авторизации
acl not_autorized src      "/usr/local/etc/squid/acl/not_autorized.txt"

# acl до сайтов которые разрешены всем
acl     allow_domains   dstdomain       "/usr/local/etc/squid/acl/allow_domains.txt"

# запрещённые доменные имена
acl     deny_domains       dstdomain        "/usr/local/etc/squid/acl/deny_domains.txt"



# доступы по группам
http_access      allow   not_autorized   
http_access      allow   inet_users
http_access      allow   domen

http_access deny all



#остальные настройки
http_port proxy.domen.local:3128

access_log stdio:/var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
logfile_rotate 14

dns_nameservers 192.168.2.145 192.168.2.8
#dns_children 10

pid_filename /var/run/squid/squid.pid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_mgr support@domen.ru
visible_hostname proxy.domen.local
icp_port 0
error_default_language ru
error_directory /usr/local/etc/squid/errors/ru
error_log_languages on
hosts_file /etc/hosts
#forwarded_for off
#отключаем ipv6
#dns_v4_first on
#debug_options ALL,3


логи
access.log
Код:
1553259819.562      0 192.168.2.4 TCP_DENIED/407 4196 CONNECT yandex.ru:443 - HIER_NONE/- text/html
1553259819.573      5 192.168.2.4 TCP_DENIED/407 6706 CONNECT yandex.ru:443 - HIER_NONE/- text/html


cache.log
Код:
2019/03/22 16:03:37| Current Directory is /
2019/03/22 16:03:37| Current Directory is /
2019/03/22 16:03:37 kid1| Logfile: opening log stdio:/var/log/squid/access.log
2019/03/22 16:03:37 kid1| Squid plugin modules loaded: 0
2019/03/22 16:03:37 kid1| Adaptation support is off.
2019/03/22 16:03:37 kid1| Store logging disabled
2019/03/22 16:03:37 kid1| DNS Socket created at [::], FD 8
2019/03/22 16:03:37 kid1| DNS Socket created at 0.0.0.0, FD 9
2019/03/22 16:03:37 kid1| Adding nameserver 192.168.2.145 from squid.conf
2019/03/22 16:03:37 kid1| Adding nameserver 192.168.2.8 from squid.conf
2019/03/22 16:03:37 kid1| helperOpenServers: Starting 5/50 'negotiate_kerberos_auth' processes
2019/03/22 16:03:37 kid1| helperOpenServers: Starting 5/50 'basic_ldap_auth' processes
2019/03/22 16:03:37 kid1| helperOpenServers: Starting 0/5 'ext_ldap_group_acl' processes
2019/03/22 16:03:37 kid1| helperOpenServers: No 'ext_ldap_group_acl' processes needed.
2019/03/22 16:03:37 kid1| HTCP Disabled.
2019/03/22 16:03:37| pinger: Initialising ICMP pinger ...
2019/03/22 16:03:37| pinger: ICMP socket opened.
2019/03/22 16:03:37| pinger: ICMPv6 socket opened
2019/03/22 16:03:37 kid1| Pinger socket opened on FD 32
2019/03/22 16:03:37 kid1| Finished loading MIME types and icons.
2019/03/22 16:03:37 kid1| Accepting HTTP Socket connections at local=192.168.2.100:3128 remote=[::] FD 30 flags=9



помогите пожалуйста, 3 дня бьюсь


Вернуться к началу
 Профиль  
 
СообщениеДобавлено: Пт 22 мар, 2019 5:22 pm 
Не в сети

Зарегистрирован: Пт 22 мар, 2019 4:39 pm
Сообщения: 2
Билет через keytab получает без ошибок. Но НИКАК не дает пройти аутентификацию, вот хоть убейся.
вывод
ktutil -k /usr/local/etc/squid/proxy.keytab list
/usr/local/etc/squid/proxy.keytab:

Код:
Vno  Type                     Principal                         Aliases
 25  des-cbc-crc              HTTP/proxy.domen.local@DOMEN.LOCAL
 25  des-cbc-md5              HTTP/proxy.domen.local@DOMEN.LOCAL
 25  arcfour-hmac-md5         HTTP/proxy.domen.local@DOMEN.LOCAL
 25  aes256-cts-hmac-sha1-96  HTTP/proxy.domen.local@DOMEN.LOCAL
 25  aes128-cts-hmac-sha1-96  HTTP/proxy.domen.local@DOMEN.LOCAL


*************
Код:
# kinit squid
squid@DOMEN.LOCAL's Password:
su@proxy:/usr/local/etc/squid# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: squid@DOMEN.LOCAL

  Issued                Expires               Principal
Mar 22 16:23:49 2019  Mar 23 02:23:49 2019  krbtgt/DOMEN.LOCAL@DOMEN.LOCAL


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 2 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика