Статья squid+AD

[anhpen]

Используются: авторизация в АД, пулы, разные списки доступов.
Касательно авторизации в AD, то для NTLM - fakeauth (реально не авторизирует, но принимает от браузера логин юзера (потом проверяется наличие этого логина в определенных группах безопасности).
Для basic-авторизации - LDAP.
Для работы с группами в AD - LDAP.

Я для авторизации NTLM юзаю ntlm_auth и всё вроде пучком, но это если авторизоваться напрямую.
А вот если подключаться под тем же логином только через бездисковый терминал, то NTLM не работает
У нас выделенные системы уже редко кому ставят, в основном подключаемся к называемому "сервером приложений" через rclient или виндовый RDP-клиент

Т.е.:
- если я счастливый обладатель компа с винчестером и виндой на нём, то в настройках брозера пишу проксю - всё работает
- если я логинюсь через RDP-клиент на сервер приложений и там пуская брозера, у кот. тож прописан тот же прокси, то получаю от сквида отлуп
Не совсем я понимаю, как работает NTLM , а тут вижу статью где авторизация идёт с помощью fakeauth_auth (а не ntlm_auth). Может этот fake_auth меня спасёт, не подскажете?
Мож кто сталкивался с подобным?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

наврно, надо сервер в домен ввести...

[anhpen]

наврно, надо сервер в домен ввести...

сервер в домене, если логиниться напрямую на сервере (не через терминал к нему подключаться), NTLM замечательно отрабатывает

[gmn]

Проверен был и доступ с терминального сервера - работает.

А отличие fake_auth от ntlm_auth только в том, что первый реально не проверяет авторизацию, а доверяет тем данным, что передает браузер.
На то он и "fake". Но механизм работы такой же, как и у ntlm.

Грубо говоря, при fake, если бразер в ответ на запрос авторизироваться отдает domain\user - то для fake_auth этого уже достаточно, что данные авторизации получены, даже если они не достоверны ...
Но у меня потом еще проверяется вхождение полученного логина в группы AD ...

[Alex Keda]

у меня на прошлой работе были две терминалки.
в домене.
на обоих пахала прокся с авторизацией.
так что проблема где-то ещё

[f0s]

через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете

Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.

а можно ли сделать в ipfw привязку по маку, как раз на этот случай, чтобы IP не подменяли...

[gmn]

MAC тоже подменить можно. Вместе с IP

[f0s]

MAC тоже подменить можно. Вместе с IP

ну это уже сложнее, и скажем так, увиличивает защиту уж лучше, чем ничего

[Pangolin]

через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете

Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.

может тогда имеетм смысл дополнить с помощью uid root

хм.. простите не понял что имеется ввиду

ну что-то вроде

Код: Выделить всё

04800    2261     108528 allow ip from 192.168.10.100 to any in via nve0 setup uid root

только надо попроовать

Не смотря на лень и небольшое количество времени, смоделировал ситуацию. uid root не помогает, видимо потому что относится только к локальному руту, но даже если и не к локальному тогда в принципе остается возможность использования инсайдером своей машины на которой стоит FreeBSD и на которой у него имеются рутовые права.
Очевидно, что использование такой связки накладывает серьезные ограничения которые довольно сложно обойти без наращивания мощности и функционала шлюза. Например без cvsup сервера на его базе просто не обойтись в случае если в сети имеются другие сервера на FreeBSD, ну и + к этому увеличение объемов жестких дисков под исходники.

[f0s]

через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете

Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.

может тогда имеетм смысл дополнить с помощью uid root

хм.. простите не понял что имеется ввиду

ну что-то вроде

Код: Выделить всё

04800    2261     108528 allow ip from 192.168.10.100 to any in via nve0 setup uid root

только надо попроовать

Не смотря на лень и небольшое количество времени, смоделировал ситуацию. uid root не помогает, видимо потому что относится только к локальному руту, но даже если и не к локальному тогда в принципе остается возможность использования инсайдером своей машины на которой стоит FreeBSD и на которой у него имеются рутовые права.
Очевидно, что использование такой связки накладывает серьезные ограничения которые довольно сложно обойти без наращивания мощности и функционала шлюза. Например без cvsup сервера на его базе просто не обойтись в случае если в сети имеются другие сервера на FreeBSD, ну и + к этому увеличение объемов жестких дисков под исходники.

ну, cvsup-сервер у меня поднят как раз. просто сами distfiles все равно из инета тащаться.. а в конфиге нельзя прописать прокси и логин-пароль?

[Pangolin]

а в конфиге нельзя прописать прокси и логин-пароль?

теоретически, наверное, можно... знать бы где...

[f0s]

setenv HTTP_PROXY ?

[CrashBoom]

Товарищи попал в ситуацию, имееться у меня сервант с samba-3.0.28 и squid-2.6.17 всё это дело под FreeBSD 8.0-CURRENT. По статье всё настроил и появилась у меня непонятная мне проблемка по ntlm_auth --helper-protocol=squid-2.5-basic авторизация проходит а вот по ntlm_auth --helper-protocol=squid-2.5-ntlmssp нет. Подскажите куда мне копнуть чё почитать.

[gmn]

Товарищи попал в ситуацию, имееться у меня сервант с samba-3.0.28 и squid-2.6.17 всё это дело под FreeBSD 8.0-CURRENT. По статье всё настроил и появилась у меня непонятная мне проблемка по ntlm_auth --helper-protocol=squid-2.5-basic авторизация проходит а вот по ntlm_auth --helper-protocol=squid-2.5-ntlmssp нет. Подскажите куда мне копнуть чё почитать.

1. А зачем именно аж FreeBSD 8.0-CURRENT? Stable чем-то не устраивают?
2. Как гоаорят в таких случаях - "телепаты в отпуске".
Т.е. конфиг сквида с описанием конфигурации; что говорит wbinfo ...?
Что в логах скида?

[Pangolin]

setenv HTTP_PROXY ?

Спасибо, помогло

[CrashBoom]

Гы проблему сам нашёл ) Даже былобы смешно, еслиб небыло так стыдно

[gmn]

Попробуй в squid.conf поменять строки местами:

Код: Выделить всё

acl     inet    external        nt_group inet
acl     Legkpromtorg            proxy_auth      REQUIRED

[gmn]

Гы проблему сам нашёл ) Даже былобы смешно, еслиб небыло так стыдно

и в чем проблема была?

[CrashBoom]

Ха решил да не очень. Вот такое дело, меняю группу у winbindd_privileged и самба говорит бягу про то что не видит груп у юзера. Как я понимаю это проблему уже гдето решили но вот как я пока не понимаю.

[Alex Keda]

права на сокет?

[CrashBoom]

Нет, по сути незнаю что было но удалил winbindd_privileged перезапустился выставил группу и заработало Последний рас у меня такое было кода апач нехотел запускаться хотя я в конф новый виртуальник добавил. Я тогда чутьли не весь конф переписал. Тоже перезапустился и бах оно заработало ))

[Jan]

Делал, согласно статьи (http://www.lissyara.su/?id=1375), сквида не работает
Самба в домене, /usr/local/libexec/squid/wbinfo_group.pl - отрабатывает нормально, группы и пользователей видит.

Код: Выделить всё

uname -a
FreeBSD 6.2-RELEASE FreeBSD 6.2-RELEASE 

Правда у меня не NAT, а ipnat

Код: Выделить всё

# Общий траффик
map em1 10.5.0.0/24  -> 1.2.3.4/32

Код: Выделить всё

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 10.5.0.1 netmask 0xffffff00 broadcast 10.5.0.255
        ether 00:30:48:8f:3b:d6
        media: Ethernet 1000baseTX <full-duplex>
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 1.2.3.4 netmask 0xfffffe00 broadcast 1.2.3.*

нивкакую Сквид не получает трафик, где грабли могут быть?

[Alex Keda]

в сквиде.
что значит траффик не получает?

[Jan]

в сквиде.
что значит траффик не получает?

От пользователя вижу сообщение об ошибке

INET NO ALLOW

[Alex Keda]

смотри конфиг.
лбо всем всё запретил, либо юзер не в группе