squid+ad2008\kerberos+ldap и win7\ie8

[f0s]

да.. то есть все равно что выводится через klist главное как в прогах прописан путь до кейтаб

И какой путь тогда указывать? До krb5.keytab или например http.keytab?

да. именно это я и хочу сказать

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[f0s]

к примеру данной командой можешь проверить какой у тебя кетаб:

Код: Выделить всё

f0s@database:/$ klist -e -k -t /opt/1C/v8.2/x86_64/usr1cv82.keytab
Keytab name: FILE:/opt/1C/v8.2/x86_64/usr1cv82.keytab
KVNO Principal
---- ---------------------------------------------------------------------
  13 usr1cv82/database.artpaint@ARTPAINT (DES cbc mode with RSA-MD5)

в конфиге соотсветсвенно указываешь путь к кейтабу

[Stason]

в конфиге соотсветсвенно указываешь путь к кейтабу

Пасиба, попробую, расскажу че и как ))

[vvv777]

ребята помогите кароче я уже в тупике, уже целую неделю пытають подружить AD со сквидом но не как не получается.

Windows Serverr2
Active Directory: TEST.LOCAL
Workgroup AD : WIN-H16PKQQ7EV7
IP AD: 10.0.1.3

FreeBSD 8.1
Squid v.3
IP: 10.0.1.2
________________________________________________________________

настройки:

/etc/hosts

Код: Выделить всё

::1                     localhost localhost
127.0.0.1               localhost   localhost
10.0.1.2                proxy.test.local   proxy 

/usr/local/etc/smb.conf

Код: Выделить всё

netbios name = proxy
realm = TEST.LOCAL
security = ADS
encrypt passwords = yes
password server = WIN-H16PKQQ7EV7.test.local
workgroup = TEST

/etc/krb5.conf

Код: Выделить всё

[libdefaults]
      default_realm = TEST.LOCAL
      dns_lookup_kdc = no
      dns_lookup_realm = no
      default_keytab_name = /etc/krb5.keytab

default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
      TEST.LOCAL = {
              kdc = WIN-H16PKQQ7EV7.test.local
              admin_server = WIN-H16PKQQ7EV7.test.local
      }

[domain_realm]
      .test.local = TEST.LOCAL
      test.local = TEST.LOCAL

[logging]
  kdc = FILE:/var/log/kdc.log
  admin_server = FILE:/var/log/kadmin.log
  default = FILE:/var/log/krb5lib.log

/etc/resolv.conf

Код: Выделить всё

domain test.local
nameserver  10.0.1.3

___________________________________________________

Удачно добавил в КД, все тесты проходят, например:

Код: Выделить всё

ldapsearch -D "webproxy@test.local" -x -W -b "dc=test,dc=local" -h \
WIN-H16PKQQ7EV7.test.local 

-выводит результат на ура

Код: Выделить всё

proxy# kinit -p webproxy
webproxy@TEST.LOCAL's Password:
proxy# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: webproxy@TEST.LOCAL

  Issued           Expires          Principal
Feb 25 14:42:03  Feb 26 00:41:55  krbtgt/TEST.LOCAL@TEST.LOCAL
proxy#

ПРОБЛЕМА
_____________________

все сделпнно по статье ,
но SQUID выдает окно аунтефикации которую я не могу пройти.


далее проверяю через фряху:

Код: Выделить всё

proxy# /usr/local/libexec/squid/squid_ldap_group \
? -R -b "dc=test,dc=local" \
? -f "(&(samaccountname=%v)(memberof=cn=%a,cn=users,dc=test,DC=local))" \
? -D webproxy@test.local -W /usr/local/etc/squid/authpw \
? -K -h WIN-H16PKQQ7EV7.test.local -d

Connected OK
group filter '(&(samaccountname=webproxy)(memberof=cn=inter,cn=users,dc=test,DC=local))', searchbase 'dc=test,dc=local'
OK

-d: Invalid request
ERR

Где я ошибся? помогите найти причину

[vvv777]

забыл дававить , файл /usr/local/etc/squid/authpw добавил ручками, и прописал там пароль от webproxy.

[vvv777]

забыл дававить , файл /usr/local/etc/squid/authpw добавил ручками, и прописал там пароль от webproxy.

Код: Выделить всё

#порт на котором будет висеть сквид
visible_hostname proxy.test.local
http_port 3128




cache_dir ufs /usr/squid/cache 8000 8 64
#лог доступа, полезен для отладки
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log squid

#сл. три строки - аутентификатор
auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth
#кол-во аутентификаторов 10 у меня хватает на сотню пользователей
#(хватает и 4 на 100)
auth_param negotiate children 10
auth_param negotiate keep_alive on

#хелпер, который берёт информацию о принадлежности пользователя к группе из AD
external_acl_type ldap_search %LOGIN \
/usr/local/libexec/squid/squid_ldap_group \
-R -b "dc=test,dc=local" \
-f "(&(samaccountname=%v)(memberof=cn=%a,cn=users,dc=test,DC=local))" \
-D webproxy@test.local -W /usr/local/etc/squid/authpw \
-K -h WIN-H16PKQQ7EV7.test.local
acl i_allowed external ldap_search inter

acl AUTHENTICATED proxy_auth REQUIRED

acl localnet dst 10.0.1.0/24
#выпускаем всех кто прошёл kerberos аутентификацию на локальные сайты
http_access allow AUTHENTICATED localnet
#выпускаем в инет всех кто в нужной группе
http_access allow i_allowed
#всем остальным оставить попытки и заниматься своими обязанностями.
http_access deny all

[Dmitry82]

Посмотрел по статье, но что то видимо не так сделал.
Squid вообще не хочет авторизовывать (просто аксесденай вываливает и все). Пробовал без группы. Просто аут. юзер. Тоже самое. По логам вот что:

Код: Выделить всё

1298973992.841     67 192.168.1.4 TCP_DENIED/407 4113 GET http://google.ru/ - NONE/- text/html
1298973992.962      0 192.168.1.4 TCP_DENIED/407 4252 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html

В чем проблема ?

[opt1k]

Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?

самба для генерации кейтаба. Кейтаб содержит логин и пароль для связи с сервером kerberos ну или что то в этом духе .

вы бы всё-таки разобрались, зачем

разобрались до написания статьи вообще керберос очень понравился, видел в интернете примеры протокола в сравнении с общением людей. Именно по ним и разобрался.

теперь далее по сообщениям:
kinit делать нужно только что бы удостоверится что тикет нормально работает, для нормальной работы сервиса нужен лишь доступ к файлу-тикету, как уже здесь и было замечено.

Dmitry82

кейтаб создавали средствами самбы?

Хочу заметить, не помню писал ли об этом в статье: все действия надо делать с чистым доменом, т.е. если вы пытались создать кейтаб средствами windows, то у вас скорее всего НИЧЕГО не получится, т.к. даже после удаления пользователя в каталоге остаётся какая-то информация которую надо чистить. Если мне не изменяет память я добивался очистки утилитами setspn и второй название забыл

На выходных попробую всё сделать по статье и внести необходимые правки, может даже багрепорт напишу разработчику heimdal, но не обещаю.
Если что пишите в личку, сюда заглянуть могу и забыть, напоминайте

[Dmitry82]

Dmitry82

кейтаб создавали средствами самбы?

Хочу заметить, не помню писал ли об этом в статье: все действия надо делать с чистым доменом, т.е. если вы пытались создать кейтаб средствами windows, то у вас скорее всего НИЧЕГО не получится, т.к. даже после удаления пользователя в каталоге остаётся какая-то информация которую надо чистить. Если мне не изменяет память я добивался очистки утилитами setspn и второй название забыл

На выходных попробую всё сделать по статье и внести необходимые правки, может даже багрепорт напишу разработчику heimdal, но не обещаю.
Если что пишите в личку, сюда заглянуть могу и забыть, напоминайте

кейтаб средствами самбы создавал. Самое интересное, то что по логам он даже не пытается денай сделать (пользователь раз не известен). Был бы признателен за багрепорт.

[Stason]

Хочу заметить, не помню писал ли об этом в статье: все действия надо делать с чистым доменом, т.е. если вы пытались создать кейтаб средствами windows, то у вас скорее всего НИЧЕГО не получится, т.к. даже после удаления пользователя в каталоге остаётся какая-то информация которую надо чистить. Если мне не изменяет память я добивался очистки утилитами setspn и второй название забыл

а какими командами делали? У меня проблем не было ни при создании ни при удалении, делал как уже говорил на sbs 2008.

Вот я тут список составил:

Код: Выделить всё

создание keytab на win 2008 (cmd от админа)
ktpass -princ HTTP/unix.<domen.local>@<DOMEN.LOCAL> -mapuser http_krb5@<DOMEN.LOCAL> -crypto des-cbc-md5 -pass "Ldap_query2010" -ptype KRB5_NT_SRV_HST -out C:\http.keytab
ktpass -princ host/unix.<domen.local>@<DOMEN.LOCAL> -mapuser host_krb5@<DOMEN.LOCAL> -crypto des-cbc-md5 -pass "Ldap_query2010" -ptype KRB5_NT_PRINCIPAL -out C:\host.keytab

#копируем на freebsd и проверяем
#check this values against keytab
ktutil -k /etc/krb/http.keytab list

#Копируем в системный файл keytab	
ktutil copy /etc/krb/host.keytab /etc/krb5.keytab
ktutil copy /etc/krb/http.keytab /etc/krb5.keytab #файл krb5.keytab должен располагаться в /etc/krb5.keytab

#проверяем
ktutil list 

Команды длинные не влезли, имеем ввиду что они в одну строку

[opt1k]

я видимо не верно выражался - нет проблем с созданием кейтаба, проблема в том что аутентификатор сквида собранный с heimdal не хочет работать с этим кейтабом, на линуксе всё с этим же кейтабом работает.

[opt1k]

вобщем всё проверил по статье - работает, даже с 8.2 и сквидом 3.1
правда нашёл кучу опечаток , поправлю.

Теперь по поводу создания кейтаба без самбы, думаю как писать этот самый багрепорт.
Приходит мысль что нужно сначала попытаться поговорить с разработчиком.
Суть проблемы, которую я вижу примерно такая: под линуксом работает, под фряхой нет. Отличия лишь в реализациях kerberos, ну и соответственно в программах собранных с его поддержкой.
Ваше мнение?

[Stason]

вобщем всё проверил по статье - работает, даже с 8.2 и сквидом 3.1
правда нашёл кучу опечаток , поправлю.

Теперь по поводу создания кейтаба без самбы, думаю как писать этот самый багрепорт.
Приходит мысль что нужно сначала попытаться поговорить с разработчиком.
Суть проблемы, которую я вижу примерно такая: под линуксом работает, под фряхой нет. Отличия лишь в реализациях kerberos, ну и соответственно в программах собранных с его поддержкой.
Ваше мнение?

Где то в каком-то номере системного администратора я читал статью, про сквид с керберос правда на соляре, так вот там чувак использовал кейтаб созданный для KRB5_NT_PRINCIPAL (для host), а не только для KRB5_NT_SRV_HST (для HTTP).

KRB5_NT_PRINCIPAL: Имя участника, или для пользователей
KRB5_NT_SRV_INST: Экземпляр службы пользователя
KRB5_NT_SRV_HST: Экземпляр службы узла

м.б имеет смысл посмотреть в сторону разных keytab?

[Dmitry82]

вобщем всё проверил по статье - работает, даже с 8.2 и сквидом 3.1
правда нашёл кучу опечаток , поправлю.

Значительны ли опечатки? А то у меня даже хелпер не пытался проверить юзера.

[opt1k]

Stason:
видимо я не правильно выразился.
Я делал так:
генерирую кейтаб под виндой, копирую полученный файлик на freebsd - не работает.
так же генерирую кейтаб вод виндой, но копирую уже на linux - работает.
Т.е. кейтаб один и тот же, и генерирую я его верно, ведь под линуксом всё работает.
Выходит ваши предположения про keytab теряют смысл.
Dmitry82:
если домен у вас называется не test-domain.ru и не tesdomain.ru, то проблем быть у вас не должно. Основная ошибка именно в этом, ну и то что писали про chown в комментариях.

[format_c]

Приветствую. Может я что-то недопонял, но если вывести юзверя из группы inter он все равно продолжает ползать по инету пока не рестартануть squid. Это нормально?

[format_c]

упс... звиняйте - протупил
все получилось

[Dmitry82]

Точно срисовал, как в статье.
Результата никакого.

Код: Выделить всё

1300214960.176     21 192.168.1.50 TCP_DENIED/407 2111 GET http://www.microsoft.com/isapi/redir.dll? - NONE/- text/html
1300215265.724      0 192.168.1.50 TCP_DENIED/407 2137 GET http://www.microsoft.com/isapi/redir.dll? - NONE/- text/html
1300215273.480      0 192.168.1.50 TCP_DENIED/407 2081 GET http://google.ru/ - NONE/- text/html

Видим, что хелпер почему то не отрабатывает. А может и не в нем дело.
Делал кстати на 2003R2 krb5 изменил, со статьей cache wiki под 2003.

[format_c]

ну хз, по статьте все работает

[opt1k]

Дмитрий, на сколько я помню строка запроса к лдап для 2003 АД выглядит чуть по-другому. Т.е. надо изменить это:

Код: Выделить всё

/usr/local/libexec/squid/squid_ldap_group \
-R -b "dc=testdomain,dc=ru" \
-f "(&(samaccountname=%v)(memberof=cn=%a,cn=users,dc=testdomain,DC=ru))" \
-D test@testdomain.ru -W /usr/local/etc/squid/authpw \
-K -h dc.testdomain.ru

Что бы убедиться что проблема действительно в ldap хелпере, проверьте его как это описано в статье. Если подтвердится, то попробую найти рабочий вариант.

[opt1k]

хотя вроде пробежался по интернету и нашёл что у людей именно так и работает с 2003 R2.
Но всё равно попробуйте.

[Dmitry82]

Я даже не использую ldap хелпер. Проверяю хотя бы аутентификейтед. Просто чистый krb хелпер использую. И ниже по ACL аутентификейтед аллоу. По логам, вроде он должен возвращять хоть юзера то, который пытается ломится? А он не возвращает. С групповым хелпером нет проблем, я его давно еще использовал, вместа с auth хелпером.

[Dmitry82]

Я кажется понял в чем проблема, если оно, то потом отпишу.

[opt1k]

Stason:
вчера интереса ради попробовал ещё раз сгенерировать кейтаб средствами винды и как вы описали и как работало у меня под линуксом. Всё равно на фряхе этот кейтаб упорно отказывается работать.

[Dmitry82]

В общем все равно не работает.
А забыл вот что сделать в 1ый раз chown squid:squid /etc/krb5.keytab
В чем еще проблемы могут быть ???