SQUID+AD не авторизует

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
therb1
ефрейтор
Сообщения: 53
Зарегистрирован: 2011-05-10 2:19:46

SQUID+AD не авторизует

Непрочитанное сообщение therb1 » 2015-02-27 1:57:29

Уважаемые товарищи, есть проблема все поднял на freebsd, все тесты проъодит но с винды не авторизует.

Код: Выделить всё

 /usr/local/bin/ntlm_auth --username=[b]username [/b]--password=[b]password[/b]
NT_STATUS_OK: Success (0x0)
username и password пользователя из АД

Код: Выделить всё

echo [b]username [/b][b]groupname [/b]| /usr/local/libexec/squid/ext_wbinfo_group_acl
OK
username и groupname также АДшные
Вот кусок конфига

Код: Выделить всё

#Авторизация
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp 

auth_param ntlm children 30 
auth_param ntlm keep_alive on 
authenticate_cache_garbage_interval 15 minute 
authenticate_ttl 5 minute 
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic 

auth_param basic children 5 
auth_param basic realm Squid proxy server 
auth_param basic credentialsttl 20 minute 
auth_param basic casesensitive off
# Перловый обработчик для разруливания по группам
external_acl_type nt_group ttl=5 negative_ttl=5 %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl
# Объявление групп, которые ссылаются на группы в домене
acl inet_users_full external nt_group test # Полный доступ в Инет
# Полный доступ в интернет
http_access allow inet_users_full all
 
В домен введен, в ДНС прописан.
По идее он должен из браузера пропускать без ввода логина и пароля, а он выкидывает рамку для ввода и не дает войти даже по паролю.

Подскажите куда копать?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Kobzar
рядовой
Сообщения: 31
Зарегистрирован: 2011-05-30 8:38:07

SQUID+AD не авторизует

Непрочитанное сообщение Kobzar » 2015-02-27 10:06:57

wbinfo -u показывает список пользователей домена?
id domain_user показывает в каких гурппах он состоит?
Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости

therb1
ефрейтор
Сообщения: 53
Зарегистрирован: 2011-05-10 2:19:46

SQUID+AD не авторизует

Непрочитанное сообщение therb1 » 2015-02-27 11:14:49

wbinfo -u
Показывает
id user показывает

Отправлено спустя 15 минут 47 секунд:
конфиг взял чужой и переделал его немного

Код: Выделить всё

cache_mgr       почта
#Авторизация
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp 

auth_param ntlm children 30 
auth_param ntlm keep_alive on 
authenticate_cache_garbage_interval 15 minute 
authenticate_ttl 5 minute 
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic 

auth_param basic children 5 
auth_param basic realm Squid proxy server 
auth_param basic credentialsttl 20 minute 
auth_param basic casesensitive off 
# Перловый обработчик для разруливания по группам
external_acl_type nt_group ttl=5 negative_ttl=5 %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl
# Объявление групп, которые ссылаются на группы в домене
acl inet_users_full external nt_group имягруппы# Полный доступ в Инет
# Доступ к кэш-менеджеру
acl manager_crystal proto cache_object
# Доступы к подсетям
acl crystal src 10.0.0.0/16
# Порты, на которые можно ходить
acl SSL_ports port 443 5190 5222 2042
acl Safe_ports port 5190        # icq
acl Safe_ports port 5222        # jabber, qip
acl Safe_ports port 5060        # sip
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
# Access list
acl domain.local proxy_auth REQUIRED
acl monitor src 10.0.0.0/16
visible_hostname proxy.domain.local
http_access allow manager_crystal localhost
http_access deny manager_crystal
# Полный доступ в интернет
http_access allow inet_users_full all
# Deny access to rest safe ports and ssl who are not in the list
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# Разрешаем SNMP
snmp_access allow monitor
snmp_access deny all
# And finally deny all other access to this proxy
http_access deny all
# Pull entire files from the start when a range is requested; for Windows Updates
range_offset_limit -1
# Google what this does.  I.m too lazy to type it all out, but has to do with Windows Updates
quick_abort_min -1
# Squid normally listens to port 3128
http_port 3128
# SNMP port; 3401 is the official port
snmp_port 3401
# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
# Store large objects
maximum_object_size 200 MB
# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/squid/caches 4096 16 256
# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache
#refresh_pattern -i download.windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i download.microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i update.microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i windowsupdate.microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i ntservicepack.microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i wustat.windows.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

Аватара пользователя
Kobzar
рядовой
Сообщения: 31
Зарегистрирован: 2011-05-30 8:38:07

SQUID+AD не авторизует

Непрочитанное сообщение Kobzar » 2015-02-27 11:22:55

А клиент часом не на ХР сидит?

И для затравки - пропишите проксю в свойствах браузера не айпишнеком а именем
proxy.domain.local
Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости

therb1
ефрейтор
Сообщения: 53
Зарегистрирован: 2011-05-10 2:19:46

SQUID+AD не авторизует

Непрочитанное сообщение therb1 » 2015-02-27 11:32:20

Нет виндовс 7 с последними обновами браузеры IE11 и хром
попробовал прописать проксю по имени все равно не пускает

Аватара пользователя
Kobzar
рядовой
Сообщения: 31
Зарегистрирован: 2011-05-30 8:38:07

SQUID+AD не авторизует

Непрочитанное сообщение Kobzar » 2015-02-27 11:47:55

Чиркани в аську 125551140
Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости

therb1
ефрейтор
Сообщения: 53
Зарегистрирован: 2011-05-10 2:19:46

SQUID+AD не авторизует

Непрочитанное сообщение therb1 » 2015-02-27 14:29:17

MM alien мой ник добавил тебя

Отправлено спустя 38 минут 10 секунд:
РЕШЕНИЕ
chgrp squid /var/db/samba4/winbindd_privileged/

Отправлено спустя 2 минуты 8 секунд:
Рабочий конфиг сквозной NTLM авторизации

Код: Выделить всё

cache_mgr       почта@домен
#Авторизация
### pure ntlm authentication
auth_param ntlm program /usr/local/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=домен
auth_param ntlm children 10
auth_param ntlm keep_alive off

# Перловый обработчик для разруливания по группам
external_acl_type nt_group ttl=5 negative_ttl=5 %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl
# Объявление групп, которые ссылаются на группы в домене
acl inet_users_full external nt_group имягруппы# Полный доступ в Инет
# Доступ к кэш-менеджеру
acl manager_crystal proto cache_object
# Доступы к подсетям
acl crystal src 10.0.0.0/16
# Порты, на которые можно ходить
acl SSL_ports port 443 5190 5222 2042
acl Safe_ports port 5190        # icq
acl Safe_ports port 5222        # jabber, qip
acl Safe_ports port 5060        # sip
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl CONNECT method CONNECT
# Access list
acl domain.local proxy_auth REQUIRED
acl monitor src 10.0.0.0/16
visible_hostname proxy.domain.local
http_access allow manager_crystal localhost
http_access deny manager_crystal
# Полный доступ в интернет
http_access allow inet_users_full all
# Deny access to rest safe ports and ssl who are not in the list
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# Разрешаем SNMP
snmp_access allow monitor
snmp_access deny all
# And finally deny all other access to this proxy
http_access deny all
# Pull entire files from the start when a range is requested; for Windows Updates
range_offset_limit -1
# Google what this does.  I.m too lazy to type it all out, but has to do with Windows Updates
quick_abort_min -1
# Squid normally listens to port 3128
http_port 3128
# SNMP port; 3401 is the official port
snmp_port 3401
# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?
# Store large objects
maximum_object_size 200 MB
# Uncomment and adjust the following to add a disk cache directory.
cache_dir ufs /var/squid/caches 4096 16 256
# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache
#refresh_pattern -i download.windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i download.microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i update.microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i windowsupdate.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i windowsupdate.microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i ntservicepack.microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i wustat.windows.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
#refresh_pattern -i microsoft.com/.*\.(cab|exe|ms[i|u|f]|asf|wm[v|a]|dat|zip) 4320 80% 43200 reload-into-ims
# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

#LOGS
access_log /var/log/squid/access.log squid 
Отправлено спустя 1 минуту 20 секунд:
Спасибо огромное Kobzar

Аватара пользователя
Kobzar
рядовой
Сообщения: 31
Зарегистрирован: 2011-05-30 8:38:07

SQUID+AD не авторизует

Непрочитанное сообщение Kobzar » 2015-02-27 16:28:52

ЭЭЭ Я тут не при чем :)
Тут скорее всего сработал ефект присутствия :)
Задавая правильный вопрос - выдим в нем начало ответа!
У меня для таких целей рядом с монитором банальная резиновая уточка поселилась - и я иногда с ней дискутирую по поводу написанного в терминале :)
Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости