Сообщения

1

Веб-сервисы / Re: Доступ к сети интернет, только пользователей из группы InetGroup, через Squid

« : 30 Апрель 2014, 15:24:19 »

Приветствую!
Спасибо за ответы !

К сожалению, у меня ничего не получается (пробовал перекомпилить сквид, версию 3.1.10 + конфиги от gsi0)...
Сегодня даже тикеты не удаётся проверить при помощт kinit ...

Я ведь правильно создаю тикет:

Код: [Выделить]

msktutil -c -b "CN=Computers" -s HTTP/squidproxy.домен.local -k /etc/squid/squidproxy.keytab --computer-name SQUIDPROXY --upn HTTP/squidproxy.домен.local --server dc.домен.local --enctypes 28 --verbose

(
ещё раньше пробовал так:

Код: [Выделить]

# kinit admin@ДОМЕН.LOCAL (ввод пароля администратора домена)
# ktutil
addent -password -p squidproxy@ДОМЕН.LOCAL -k 1 -e aes256-cts-hmac-sha1-96
addent -password -p squidproxy@ДОМЕН.LOCAL -k 1 -e rc4-hmac
addent -password -p squidproxy@ДОМЕН.LOCAL -k 1 -e des-cbc-crc
addent -password -p squidproxy@ДОМЕН.LOCAL -k 1 -e des-cbc-md5
wkt /etc/squid/squidproxy.keytab
quit
# kdestroy
)

а потом проверяю:

Код: [Выделить]

kinit HTTP/squidproxy@ДОМЕН.LOCAL -Vkt /etc/squid/squidproxy.keytab

Или не ?

PS: всё делаю в линуксе ...

2

Веб-сервисы / Re: Доступ к сети интернет, только пользователей из группы InetGroup, через Squid

« : 29 Апрель 2014, 17:57:20 »

Уважаемые Егор и gsi0 !

Спасибо вам большое за отклик !

gsi0, спасибо за конфиги и заметку об версии сквида (у меня была мысля завтра на работе поковырять исходники ext_kerb_group_acl, потому что из консоли оно выдаёт два ответа: один OK а второй ERR ! - явно не должно быть так ...)

Завтра на работе скачаю и установлю указанную вами версию и буду надеяться на успех !!!

Скажите пожалуйста:

вот в фильтре:

Код: [Выделить]

-f "(&(objectclass=user)(sAMAccountName=%v)(memberOf=cn=%a,ou=Access,ou=New,ou=Tema Groups,dc=tema,dc=local))" указано '%v', - это для логина ?

"cn=%a" - для группы ?

"ou=Access,ou=New,ou=Tema Groups" - это названия групп или названия OrganisationUnion ? и как быть если группы расположены не в "Groups", а в "MyDomain_Groups" ?


"-D adsquid@tema.local" - на этого юзера в домене сделан тикет ?

Ещё раз огромное спасибо ! 

3

Веб-сервисы / Re: Доступ к сети интернет, только пользователей из группы InetGroup, через Squid

« : 29 Апрель 2014, 10:19:50 »

Здравствуйте Егор.

Два дня пробую реализовать kerberos авторизацию на squid-сервере, чтобы пользователи не вводили пароли при серфинге инета через прокси, но пока без результатно: в логах пишет:

Код: [Выделить]

negotiate_kerberos_auth.cc(212): pid=548 :2014/04/29 12:09:57| negotiate_kerberos_auth: INFO: Starting version 3.0.4sq
negotiate_kerberos_auth.cc(258): pid=548 :2014/04/29 12:09:57| negotiate_kerberos_auth: DEBUG: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
negotiate_kerberos_auth.cc(311): pid=548 :2014/04/29 12:09:57| negotiate_kerberos_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' (decoded length: 40).
negotiate_kerberos_auth.cc(321): pid=548 :2014/04/29 12:09:57| negotiate_kerberos_auth: WARNING: received type 1 NTLM token
2014/04/29 12:09:57 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: "received type 1 NTLM token"; }}

squid.conf:

Код: [Выделить]

auth_param negotiate program /usr/libexec/squid/negotiate_kerberos_auth -d -s HTTP/squidreader.@DOMAIN.LOCAL

auth_param negotiate children 10
auth_param negotiate keep_alive on

external_acl_type proxy_users_group ttl=7200 children-max=20 children-startup=5 children-idle=1 negative_ttl=7200 %LOGIN /usr/libexec/squid/ext_kerberos_ldap_group_acl -g "proxy_users_group"

acl INTERNET_ACCESS external proxy_users_group


acl lan src 192.168.111.0/24
acl auth proxy_auth REQUERED


http_access deny !INTERNET_ACCESS
http_access allow INTERNET_ACCESS
http_access deny all

http_port 3128

Тикет создан правильно, через утилиту kinit авторизация проходит по kerberos 5...

Название группы для прокси: "proxy_users_group", находится она в "Groups".
Пользователи находятся в "Groups".
Пользователь (принцип) на которого создан билет: squidreader (аккаунт создан в домене)
IP DC: 192.168.111.50

версия squid: 3.4.3, собрано с поддержкой kerberos, ldap, cyrus-sasl ...

Буду благодарен за любую помощь или подсказки.

4

Веб-сервисы / Доступ к сети интернет, только пользователей из группы InetGroup, через Squid

« : 26 Апрель 2014, 19:16:12 »

Вечер добрый, уважаемые !

На работе поставили задачу: доступ в интернет дать только привилегированным персонам (состоящим в группе InetGroup - группа в Active Directory), и нужно ограничить загрузку файлов.
Парк из ~30 машин, данные для аутентификации хранятся в Active Directory который крутится на Windows Server 2008 R2.

Поискав информации в интернете, пришёл к мысли: установить в качестве шлюза linux, со squid+openldap на борту.

Господа, дайте правильное направление, куда копать. А то пока что, от прочитанного одна каша в голове: я так и не понял как будет производиться проверка на принадлежность юзера к группе:

1) squid проверяет юзера на принадлежность к группе в Active Directory
2) openldap настроен таким образом, что запрашивает принадлежность юзера к группе в Active Directory (а squid запрашивает информацию у openldap)

Надеюсь на Ваши терпение, помощь и понимание.