Статья squid+AD

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
anhpen
проходил мимо
Сообщения: 2
Зарегистрирован: 2007-12-21 11:13:14

Re: Статья squid+AD

Непрочитанное сообщение anhpen » 2007-12-21 13:32:40

gmn писал(а): Используются: авторизация в АД, пулы, разные списки доступов.
Касательно авторизации в AD, то для NTLM - fakeauth (реально не авторизирует, но принимает от браузера логин юзера (потом проверяется наличие этого логина в определенных группах безопасности).
Для basic-авторизации - LDAP.
Для работы с группами в AD - LDAP.
Я для авторизации NTLM юзаю ntlm_auth и всё вроде пучком, но это если авторизоваться напрямую.
А вот если подключаться под тем же логином только через бездисковый терминал, то NTLM не работает :(
У нас выделенные системы уже редко кому ставят, в основном подключаемся к называемому "сервером приложений" через rclient или виндовый RDP-клиент

Т.е.:
- если я счастливый обладатель компа с винчестером и виндой на нём, то в настройках брозера пишу проксю - всё работает
- если я логинюсь через RDP-клиент на сервер приложений и там пуская брозера, у кот. тож прописан тот же прокси, то получаю от сквида отлуп
Не совсем я понимаю, как работает NTLM :roll:, а тут вижу статью где авторизация идёт с помощью fakeauth_auth (а не ntlm_auth). Может этот fake_auth меня спасёт, не подскажете?
Мож кто сталкивался с подобным?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-12-21 13:45:12

наврно, надо сервер в домен ввести...
Убей их всех! Бог потом рассортирует...

anhpen
проходил мимо
Сообщения: 2
Зарегистрирован: 2007-12-21 11:13:14

Re: Статья squid+AD

Непрочитанное сообщение anhpen » 2007-12-21 14:17:48

lissyara писал(а):наврно, надо сервер в домен ввести...
сервер в домене, если логиниться напрямую на сервере (не через терминал к нему подключаться), NTLM замечательно отрабатывает

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-12-21 14:34:22

Проверен был и доступ с терминального сервера - работает.

А отличие fake_auth от ntlm_auth только в том, что первый реально не проверяет авторизацию, а доверяет тем данным, что передает браузер.
На то он и "fake". Но механизм работы такой же, как и у ntlm.

Грубо говоря, при fake, если бразер в ответ на запрос авторизироваться отдает domain\user - то для fake_auth этого уже достаточно, что данные авторизации получены, даже если они не достоверны ...
Но у меня потом еще проверяется вхождение полученного логина в группы AD ...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-12-21 14:55:27

у меня на прошлой работе были две терминалки.
в домене.
на обоих пахала прокся с авторизацией.
так что проблема где-то ещё
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-24 13:14:19

Pangolin писал(а):
f0s писал(а):через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете :)
Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере :)
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.

а можно ли сделать в ipfw привязку по маку, как раз на этот случай, чтобы IP не подменяли...
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-12-24 13:49:26

MAC тоже подменить можно. Вместе с IP :)

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-24 17:00:01

gmn писал(а):MAC тоже подменить можно. Вместе с IP :)
ну это уже сложнее, и скажем так, увиличивает защиту :) уж лучше, чем ничего :)
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-12-25 8:36:59

f0s писал(а):
Pangolin писал(а):
f0s писал(а):
Pangolin писал(а):
f0s писал(а):через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете :)
Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере :)
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.
может тогда имеетм смысл дополнить с помощью uid root
хм.. простите не понял что имеется ввиду :?

ну что-то вроде

Код: Выделить всё

04800    2261     108528 allow ip from 192.168.10.100 to any in via nve0 setup uid root
только надо попроовать
Не смотря на лень и небольшое количество времени, смоделировал ситуацию. uid root не помогает, видимо потому что относится только к локальному руту, но даже если и не к локальному тогда в принципе остается возможность использования инсайдером своей машины на которой стоит FreeBSD и на которой у него имеются рутовые права.
Очевидно, что использование такой связки накладывает серьезные ограничения которые довольно сложно обойти без наращивания мощности и функционала шлюза. Например без cvsup сервера на его базе просто не обойтись в случае если в сети имеются другие сервера на FreeBSD, ну и + к этому увеличение объемов жестких дисков под исходники.

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-25 9:02:07

Pangolin писал(а):
f0s писал(а):
Pangolin писал(а):
f0s писал(а):
Pangolin писал(а):
f0s писал(а):через нат по всем портм выходят тока тачки-сервера с фрей. то есть по идее чтобы вылезти в инет, ему нужно взломать учетку, зайти под ней на сервер и с помощью lynx посидеть в инете :)
Или поступить проще принеся с собой ноут, и выставив у него ip одного из серваков, после чего насладится инетом в полной мере :)
Это не вариант, инсайдер тем и опасен, что умен и изначально враждебно настроен.
может тогда имеетм смысл дополнить с помощью uid root
хм.. простите не понял что имеется ввиду :?

ну что-то вроде

Код: Выделить всё

04800    2261     108528 allow ip from 192.168.10.100 to any in via nve0 setup uid root
только надо попроовать
Не смотря на лень и небольшое количество времени, смоделировал ситуацию. uid root не помогает, видимо потому что относится только к локальному руту, но даже если и не к локальному тогда в принципе остается возможность использования инсайдером своей машины на которой стоит FreeBSD и на которой у него имеются рутовые права.
Очевидно, что использование такой связки накладывает серьезные ограничения которые довольно сложно обойти без наращивания мощности и функционала шлюза. Например без cvsup сервера на его базе просто не обойтись в случае если в сети имеются другие сервера на FreeBSD, ну и + к этому увеличение объемов жестких дисков под исходники.
ну, cvsup-сервер у меня поднят как раз. просто сами distfiles все равно из инета тащаться.. а в конфиге нельзя прописать прокси и логин-пароль?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-12-27 10:36:32

f0s писал(а):а в конфиге нельзя прописать прокси и логин-пароль?
теоретически, наверное, можно... знать бы где...
Не все так плохо как Вы думаете... все значительно хуже!

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2007-12-27 15:34:36

setenv HTTP_PROXY ?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

CrashBoom
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-09-17 14:17:34
Откуда: /root
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение CrashBoom » 2007-12-27 17:50:24

Товарищи попал в ситуацию, имееться у меня сервант с samba-3.0.28 и squid-2.6.17 всё это дело под FreeBSD 8.0-CURRENT. По статье всё настроил и появилась у меня непонятная мне проблемка по ntlm_auth --helper-protocol=squid-2.5-basic авторизация проходит а вот по ntlm_auth --helper-protocol=squid-2.5-ntlmssp нет. Подскажите куда мне копнуть чё почитать.
Изображение

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-12-27 20:23:18

CrashBoom писал(а):Товарищи попал в ситуацию, имееться у меня сервант с samba-3.0.28 и squid-2.6.17 всё это дело под FreeBSD 8.0-CURRENT. По статье всё настроил и появилась у меня непонятная мне проблемка по ntlm_auth --helper-protocol=squid-2.5-basic авторизация проходит а вот по ntlm_auth --helper-protocol=squid-2.5-ntlmssp нет. Подскажите куда мне копнуть чё почитать.
1. А зачем именно аж FreeBSD 8.0-CURRENT? :) Stable чем-то не устраивают?
2. Как гоаорят в таких случаях - "телепаты в отпуске". :)
Т.е. конфиг сквида с описанием конфигурации; что говорит wbinfo ...?
Что в логах скида?

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2007-12-28 7:58:16

f0s писал(а):setenv HTTP_PROXY ?
Спасибо, помогло :)
Не все так плохо как Вы думаете... все значительно хуже!

CrashBoom
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-09-17 14:17:34
Откуда: /root
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение CrashBoom » 2007-12-28 10:03:58

Гы проблему сам нашёл =)) Даже былобы смешно, еслиб небыло так стыдно =)
Изображение

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-12-28 10:08:37

Попробуй в squid.conf поменять строки местами:

Код: Выделить всё

acl     inet    external        nt_group inet
acl     Legkpromtorg            proxy_auth      REQUIRED

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-12-28 10:10:00

CrashBoom писал(а):Гы проблему сам нашёл =)) Даже былобы смешно, еслиб небыло так стыдно =)
и в чем проблема была?

CrashBoom
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-09-17 14:17:34
Откуда: /root
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение CrashBoom » 2007-12-28 11:44:51

Ха решил да не очень. Вот такое дело, меняю группу у winbindd_privileged и самба говорит бягу про то что не видит груп у юзера. Как я понимаю это проблему уже гдето решили но вот как я пока не понимаю.
Изображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-12-28 12:15:35

права на сокет?
Убей их всех! Бог потом рассортирует...

CrashBoom
ефрейтор
Сообщения: 51
Зарегистрирован: 2007-09-17 14:17:34
Откуда: /root
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение CrashBoom » 2007-12-28 12:30:02

Нет, по сути незнаю что было но удалил winbindd_privileged перезапустился выставил группу и заработало =) Последний рас у меня такое было кода апач нехотел запускаться хотя я в конф новый виртуальник добавил. Я тогда чутьли не весь конф переписал. Тоже перезапустился и бах оно заработало =)))
Изображение

Аватара пользователя
Jan
мл. сержант
Сообщения: 118
Зарегистрирован: 2007-11-07 16:44:21
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Jan » 2008-02-01 19:46:34

Делал, согласно статьи (http://www.lissyara.su/?id=1375), сквида не работает :(
Самба в домене, /usr/local/libexec/squid/wbinfo_group.pl - отрабатывает нормально, группы и пользователей видит.

Код: Выделить всё

uname -a
FreeBSD 6.2-RELEASE FreeBSD 6.2-RELEASE 
Правда у меня не NAT, а ipnat

Код: Выделить всё

# Общий траффик
map em1 10.5.0.0/24  -> 1.2.3.4/32

Код: Выделить всё

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 10.5.0.1 netmask 0xffffff00 broadcast 10.5.0.255
        ether 00:30:48:8f:3b:d6
        media: Ethernet 1000baseTX <full-duplex>
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 1.2.3.4 netmask 0xfffffe00 broadcast 1.2.3.*
нивкакую Сквид не получает трафик, где грабли могут быть?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2008-02-01 20:03:34

в сквиде.
что значит траффик не получает?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Jan
мл. сержант
Сообщения: 118
Зарегистрирован: 2007-11-07 16:44:21
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Jan » 2008-02-01 20:29:00

lissyara писал(а):в сквиде.
что значит траффик не получает?

От пользователя вижу сообщение об ошибке
INET NO ALLOW

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2008-02-01 22:37:00

смотри конфиг.
лбо всем всё запретил, либо юзер не в группе
Убей их всех! Бог потом рассортирует...