Squid 3.5 + Kerb авторизация 2008r2

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
BEEn
рядовой
Сообщения: 36
Зарегистрирован: 2014-08-18 17:26:20

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение BEEn » 2015-05-18 10:07:07

Слетела Kerb авторизация, восстановить не получается... kinit -k HTTP/bsd.org.local проходит на ура, а вот браузеры не авторизирует...

Код: Выделить всё

FreeBSD bsd 10.1-RELEASE-p9 FreeBSD 10.1-RELEASE-p9 #0: Tue Apr  7 01:09:46 UTC 2015     root@amd64-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  amd64

Код: Выделить всё

Squid Cache: Version 3.5.3
Service Name: squid
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache' '--without-gnutls' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-arch-native' '--disable-eui' '--disable-cache-digests' '--disable-delay-pools' '--disable-ecap' '--disable-esi' '--disable-follow-x-forwarded-for' '--enable-htcp' '--disable-icap-client' '--disable-icmp' '--enable-ident-lookups' '--enable-ipv6' '--enable-kqueue' '--without-large-files' '--disable-http-violations' '--without-nettle' '--enable-snmp' '--disable-ssl' '--disable-ssl-crtd' '--disable-stacktraces' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--disable-pf-transparent' '--without-nat-devpf' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--with-mit-krb5=/usr/local' 'CFLAGS=-I/usr/local/include -O2 -pipe  -I/usr/local/include -I/usr/local/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS=-L/usr/local/lib  -L/usr/local/lib -L/usr/local/lib -pthread -Wl,-rpath,/usr/local/lib:/usr/lib -fstack-protector' 'LIBS=-lkrb5 -lgssapi_krb5 ' '--enable-auth-basic=DB SMB_LM MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=ufs aufs diskd' '--enable-disk-io=AIO Blocking IpcIo Mmapped DiskThreads DiskDaemon' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd10.1' 'build_alias=amd64-portbld-freebsd10.1' 'CC=cc' 'CPPFLAGS=-I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing ' 'CPP=cpp' --enable-ltdl-convenience
cat squid.conf

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -i -s HTTP/bsd.org.local
auth_param negotiate children 20
auth_param negotiate keep_alive on
acl auth proxy_auth REQUIRED

http_access allow auth
http_access deny all
логи

Код: Выделить всё

negotiate_kerberos_auth.cc(612): pid=70734 :2015/05/18 08:52:24| negotiate_kerberos_auth: DEBUG: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
negotiate_kerberos_auth.cc(665): pid=70734 :2015/05/18 08:52:24| negotiate_kerberos_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' (decoded length: 40).
negotiate_kerberos_auth.cc(675): pid=70734 :2015/05/18 08:52:24| negotiate_kerberos_auth: WARNING: received type 1 NTLM token
2015/05/18 08:52:24 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
уже настраивал, работало... но повторить не могу :st:
много манов и конфигов на старых версиях фряхи и сквида... на новых версиях кто-то пробовал настроить?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2507
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение skeletor » 2015-05-19 10:40:34

Если решишь - напиши, тоже планирую переходить на kerberos
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

ksado.
проходил мимо

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение ksado. » 2015-05-22 12:07:40

Добрый день!

Недавно боролся с данной проблемой.
Смотрите в сторону настройки DNS сервера. Обратите внимание на правильность DNS суффикса на клиентской машине.

BEEn
рядовой
Сообщения: 36
Зарегистрирован: 2014-08-18 17:26:20

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение BEEn » 2015-05-22 15:48:12

интересно... а что с ним может быть не так? имена разрешаются и туда и обратно... пингую bsd дописывает bsd.org.local всё ок

Код: Выделить всё

C:\Users\b>ipconfig
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети 2:
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
Ethernet adapter Подключение по локальной сети:
   DNS-суффикс подключения . . . . . : ORG.LOCAL
   Локальный IPv6-адрес канала . . . : xxxxxxxxxxxxxxxxx
   IPv4-адрес. . . . . . . . . . . . : 192.168.0.101
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . : 192.168.0.1
Туннельный адаптер isatap.{478303DE-00E9-4B00-A5F8-594798D8AB1A}:
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . : ORG.LOCAL
Туннельный адаптер isatap.{1118F02F-1CA5-417D-B3AC-30590609B46D}:
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . :
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
   Состояние среды. . . . . . . . : Среда передачи недоступна.
   DNS-суффикс подключения . . . . . 

ksado.
проходил мимо

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение ksado. » 2015-05-25 16:51:36

У меня была следующая проблема:
Есть 2 леса, например "FOREST1.LOCAL" и "FOREST2.LOCAL". Изначально я настраивал керберос аутентификацию для "FOREST1.LOCAL", настроил, все ок. Потом появилась необходимость подключить к этому же прокси пользователей со второго леса "FOREST2.LOCAL". Я получил билетик для кербероса во втором лесу, объединил билетики от первого леса и второго в один keytab файл, немного подправил krb5.conf и конфиг сквида. И у меня получилась такая ситуация, когда пользователи с первого леса ходили в интернет нормально, а для пользователей со второго леса выскакивало окошко аутентификации и в логах сквида была точно такая же ошибка, как и у Вас. А именно попытка аутентификации по NTLM.
Проблема оказалась в неправильном присвоении DNS суффикса для пользователей во втором лесу. (Так вышло, что тестовая машинка, которую я использовал для теста с леса FOREST2.LOCAL, получала IP по DHCP с сервера, который находится в первом лесу, как следствие там же она и получала не правильный DNS суфикс).

ksado.
проходил мимо

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение ksado. » 2015-05-25 16:55:05

И еще.
Попробуйте в конфиге сквида использовать

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -r -i -s GSS_C_NO_NAME
вместо

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -i -s HTTP/bsd.org.local

BEEn
рядовой
Сообщения: 36
Зарегистрирован: 2014-08-18 17:26:20

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение BEEn » 2015-05-26 0:38:29

для теста попробовал на чубунте... так же не заработало, но ошибка правда другая :) а вот с GSS_C_NO_NAME стало нормально авторизовать... на терминальном сервере всё пробито ручками, а машинка со сквидом всё получает по DHCP (всё перепроверю отпишусь)
пока на bsd не проверял...

BEEn
рядовой
Сообщения: 36
Зарегистрирован: 2014-08-18 17:26:20

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение BEEn » 2015-06-03 14:14:35

после добавление правильного суффикса и ipconfig /flushdns заработало :)

Аватара пользователя
Sindikat88
мл. сержант
Сообщения: 138
Зарегистрирован: 2010-09-02 15:07:54
Контактная информация:

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение Sindikat88 » 2015-07-22 13:41:03

BEEn писал(а):после добавление правильного суффикса и ipconfig /flushdns заработало :)
Подскажите, какой правильный суффикс должен быть?

BEEn
рядовой
Сообщения: 36
Зарегистрирован: 2014-08-18 17:26:20

Squid 3.5 + Kerb авторизация 2008r2

Непрочитанное сообщение BEEn » 2015-07-22 17:22:40

если на хосте пробит ip ручками то в свойствах сетевого подключения ставим галку "Дописывать основной DNS-суффикс" и галку "добавлять родительские суффиксы" в поле "DNS-суффикс подключения" пишем "MY.DOMAIN.LOCAL"