Freebsd и лес Доменов. Squid Отказывает в авторизации

[Akela]

Возникла проблема с авторизацией в squid (тип авторизации NTLM) В под доменах. Есть лес доменов сdc1- sigma.local (NEtbios имя Sigma), pdc2-step.sigma.local (NETbios имя step_sigma) pdc3-ber.sigma.local (Netbios имя ber_sigma) они объединены все через IPsec . Нужно что бы все выходили в инте через главный шлюз. Суть проблемы Squid авторизирует пользователе тока с главного домена ( сdc1- sigma.local) остальных динмаит (1253100188.939 42 192.168.4.51 TCP_DENIED/407 1799 GET http://en-us.start2.mozilla.com/firefox? - NONE/- text/html) хоть и видит.
У меня причусвие что я гдето не указал сервер паролей для дополнительных доменов.
Подскажите гле это прописывается и синтаксис.

Конфиг : SQUID

Код: Выделить всё

http_port 3128
#https_port 443
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
error_directory /usr/local/share/errors/Russian-koi8-r
maximum_object_size 16384 KB
visible_hostname PROXY.SIGMA.LOCAL
memory_pools off
#memory_pools_limit 10000

cache_dns_program /usr/local/libexec/squid/dnsserver
cache_dir ufs /usr/local/squid/cache 5000 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
ftp_user enokentiy@sigma.ru

quick_abort_pct 60

negative_ttl 1 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
half_closed_clients on

cache_mgr admin@sigma.zp.ua
cache_effective_user squid
cache_effective_group squid

forwarded_for off 
client_db on
acl ip src "/usr/local/squid/db/ip.txt"
http_access allow ip

##NTLM
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -require-membership-of="SIGMA//internet" 
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -require-membership-of="SIGMA" 
auth_param ntlm children 5
auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -require-membership-of="SIGMA//internet"

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -require-membership-of="STEP_SIGMA//internet" 
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -require-membership-of="STEP_SIGMA" 
auth_param ntlm children 5
auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -require-membership-of="STEP_SIGMA//internet"

#LDAP

#BASIC
auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -require-membership-of="SIGMA"
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl


acl vse_ src 0.0.0.0/0.0.0.0
acl internet external nt_group internet
acl internet_limit external nt_group internet_limit
acl internet_corp external nt_group internet_corp

acl allow_resurs dstdomain "/usr/local/squid/db/allow"
acl deny_resurs dstdomain "/usr/local/squid/db/deny"
##acl deny_baners dstdomain "/usr/local/squid/db/pcre"
#acl deny_urls dstdomain  "/usr/local/squid/db/urls"
#acl deny_jurls dstdomain "/usr/local/squid/db/jurls"
#acl deny_mp3 dstdomain "/usr/local/squid/db/mp3"
#acl deny_porno dstdomain "/usr/local/squid/db/porno"
acl mail dstdomain "/usr/local/squid/db/mail"
#acl en url_regex -i "/usr/local/squid/db/fuck"
#http_access deny internet_corp en
#acl deny_uaru dstdomain "/usr/local/squid/db/uaru"
#http_access deny internet_corp deny_uaru
#http_access deny internet_corp deny_porno
#http_access deny internet_corp deny_mp3
#http_access deny internet_corp deny_jurls
#http_access deny internet_corp deny_urls
#http_access deny internet_corp deny_baners
http_access deny internet_corp deny_resurs 

http_access allow internet_corp 
http_access allow internet 
http_access allow internet_limit allow_resurs 
http_access allow vse_ mail


acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443 563	# https, snews
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl Safe_ports port 44016	
acl Safe_ports port 44017
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access allow all
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf

Krb5.conf

Код: Выделить всё

   [libdefaults]
        default_realm = SIGMA.LOCAL
	clockskew = 300
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	
[realms]
	SIGMA.LOCAL = {
		kdc =tcp/osndc.sigma.local
		admin_server = osndc.sigma.local
		defualt_domain = sigma.local
					}
	OTHER.REALM = {
		v4_instance_convert = {
			kerberos = kerberos
			computer = osndc.sigma.local
		}
	}
[domain_realm]
	.sigma.local = SIGMA.LOCAL
  

SMB.conf

Код: Выделить всё

workgroup = SIGMA
server string = Samba Server
security = ads
hosts allow = 192.168.1. 192.168.2. 192.168.3. 192.168.4. 127.
load printers = no
   show add printer wizard = no
   printing = none
   printcap name = /dev/null
   disable spoolss = yes
log file = /var/log/samba/log.%m
max log size = 200
password server = osndc.sigma.local step.sigma.local
realm = SIGMA.LOCAL
passdb backend = tdbsam
socket options = TCP_NODELAY
local master = no
os level = no
domain master = no
preferred master = no
wins server = 192.168.1.2
wins proxy = yes
dns proxy = yes 
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   /bin/false %u
encrypt passwords = yes
winbind separator = /
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
nt acl support = yes
    inherit acls = yes
    map acl inherit = yes 
[homes]
   comment = Home Directories
   browseable = no
   writable = yes

wbinfo -u видит всех пользователе вот часть из них

Код: Выделить всё

STEP_SIGMA/zalozniy
STEP_SIGMA/step1
STEP_SIGMA/demchenko
STEP_SIGMA/test1
администратор
гость
support_388945a0
krbtgt
inbev
info
it
obmen
obmen_pm

Те что с припиской Step_sigma относится к домену pdc2-step.sigma.local (NETbios имя step_sigma)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[arkan]

у меня както так

krb5.conf

[libdefaults]
default_realm = XXX.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
krb4_get_tickets = false
default_etypes = des-cbc-crc des-cbc-md5
default_etypes_des = des-cbc-crc des-cbc-md5

[appdefaults]
proxiable = true
ticket_lifetime = 24h
debug = false
forwardable = true
krb4_convert = false

[realms]
XXX.LOCAL = {
kdc = tcp/base.XXX.local:88
admin_server = base.XXX.local
default_domain = itrack.local
}
YYY.LOCAL = {
kdc = tcp/first.YYY.local:88
admin_server = first.YYY.local
default_domain = YYY.local
}

[domain_realm]
.XXX.local = XXX.LOCAL
XXX.local = XXX.LOCAL
.YYY.local = YYY.LOCAL
YYY.local = YYY.LOCAL

[logging]
default = FILE:/var/log/kerberos/krb5libs.log

не совсем правильно но работает
хотя про сквид с авторизацией в AD тут уже очень много рассказывалось и о том что очень неудачная связка

[Alex Keda]

почему неудачная?
у меня прекрасно работает, уже много лет.

[Akela]

Спасибо сегодня проверю .

[Akela]

Что то у меня нечего не отработало. Большая просьба всем кто знает хорошую развернутую информацию по kerberos скинте ссылку

[Akela]

Народ прошу помощи разобраться с этой ситуацией укажите хотябы куда копать.

[Alex Keda]

а при чём тут керберос вообще?

[Alex Keda]

вы лог самбы посмотрите, вначале...
проверьте работу аутентификатора.
а то - помочь - чё не так и что делал - не ясно.

[jrmm]

Squid авторизирует пользователе тока с главного домена ( сdc1- sigma.local) остальных динмаит
TCP_DENIED/407 1799 GET http://en-us.start2.mozilla.com/firefox? - NONE/- text/html) хоть и видит.

сам по себе код 407 это нормально для первого обращения. ибо протокол ntlm редкостно извращённый. читай тут: http://squid.sourceforge.net/ntlm/clien ... tocol.html

У меня причусвие что я гдето не указал сервер паролей для дополнительных доменов. Подскажите гле это прописывается и синтаксис.

Krb5.conf

Код: Выделить всё

[realms]
	SIGMA.LOCAL = {
		kdc =tcp/osndc.sigma.local
		admin_server = osndc.sigma.local
		defualt_domain = sigma.local
					}
	OTHER.REALM = {
		v4_instance_convert = {
			kerberos = kerberos
			computer = osndc.sigma.local
		}
	}

здесь как-то сильно усложнил. у меня сделано просто по статье:

Код: Выделить всё

[realms]
  ***.RU = {
    kdc = ***.RU
    admin_server = ***.RU
  }

при этом нужно проверить: днс на сквидовой машине должен нормально ресолвить домен (проверь через команду host domain, host sigma.local в данном случае - должен получаться айпи контроллера). в простейшем случае днс на сквидовой машине должен указывать на контроллер. так что проверь свой /etc/resolv.conf

насколько я понимаю, можно указать несколько контроллеров в строках kdc, admin_server - через двоеточие или как-то так.
но можно поступить проще. например в случае "основного" и "резервного" контроллера домена ad2003 в днс просто 2 записи A, и сквид проверяет авторизацию по очереди, распределяя нагрузку. если я ничего не путаю.

[Akela]

в resolv.conf все вроде нормально все машины видит по имени и на оборот, а также выводит их полное название.
вот попробовал подбавлять в krb5.conf ещё домены к успеху это не привело но и хуже не стало осталось все как было

Код: Выделить всё

[libdefaults]
        default_realm = SIGMA.LOCAL
	clockskew = 300
	v4_instance_resolve = false
	dns_lookup_realm = false
	dns_lookup_kdc = false
	dns_get_tickets = false
	default_etypes = des-cbc-crc des-cbc-md5
	default_etypes_des = des-cbc-crc des-cbc-md5
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}

[appdefaults]
proxiable = true
ticket_lifetime = 24h
debug = false
forwardable = true
krb4_convert = false

[realms]
	SIGMA.LOCAL = {
		kdc =tcp/osndc.sigma.local
		admin_server = osndc.sigma.local
		defualt_domain = sigma.local
					}
	STEP.SIGMA.LOCAL = {
		kdc =tcp/step.sigma.local
		admin_server = step.sigma.local
		defualt_domain = step.sigma.local

	BER.SIGMA.LOCAL = {
		kdc =tcp/ber.sigma.local
		admin_server = ber.sigma.local
		defualt_domain = ber.sigma.local

					}
[domain_realm]
	.sigma.local = SIGMA.LOCAL
         sigma.local = SIGMA.LOCAL
	.step.sigma.local = SIGMA.LOCAL
	 step.sigma.local = SIGMA.LOCAL
	 ber.sigma.local = SIGMA.LOCAL
	.ber.sigma.local = SIGMA.LOCAL	
[logging]
default = FELE:/var/log/kerberos/krb5libs.log	

В smb.conf добавил ещё

Код: Выделить всё

password server = OSNDC.SIGMA.LOCAL STEPDC.STEP.SIGMA.LOCAL

в логе winbind.log встречается такая запись

Код: Выделить всё

libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Referral

Подскажите что я ещё упустил

[Akela]

Тема закрыта . SAMBA не поддерживает доверительные отношения с AD.

[jrmm]

Тема закрыта . SAMBA не поддерживает доверительные отношения с AD.

что вы называете "доверительными отношениями" ? самба - член домена, как и любая машина windows.

[Akela]

Под доверительными отношениями я имею ввиду лес доменов в которых настроены доверительные отношения друг между другом. Суть в том что SAMBA не может иметь в доверительные отношения между SAMBA -> AD а в следствии не может их авторизовать , только SAMBA-> SAMBA.

[jrmm]

Под доверительными отношениями я имею ввиду лес доменов в которых настроены доверительные отношения друг между другом. Суть в том что SAMBA не может иметь в доверительные отношения между SAMBA -> AD а в следствии не может их авторизовать , только SAMBA-> SAMBA.

лес доменов?
билли такой билли

[arkan]

Тема закрыта . SAMBA не поддерживает доверительные отношения с AD.

У меня как раз и были AD/шки в доверительных отношениях и все работало - глючило иногда но работало
потом эти глюки надоели и всех юзверей пересадил на NCSA - за пол дня управился

но у топикстартера проблемма в другом
у него через тунели и IPsec все сделанно
а у меня было это все в пределах можно сказать одной сети - а добавочные контроллеры домена уже в филиалах

[Akela]

Тема закрыта . SAMBA не поддерживает доверительные отношения с AD.

У меня как раз и были AD/шки в доверительных отношениях и все работало - глючило иногда но работало
потом эти глюки надоели и всех юзверей пересадил на NCSA - за пол дня управился

но у топикстартера проблемма в другом
у него через тунели и IPsec все сделанно
а у меня было это все в пределах можно сказать одной сети - а добавочные контроллеры домена уже в филиалах

Ну так у меня такая же топология сети, домен находятся в разных городах, и подключено все через IPsec.

[shershun4ik]

Про доверительные отношения:

У нас была такая ситуация: из исходного домена (DOM1) мигрировали в новый домен (DOM2), между ними было настроено доверие.
на команду

Код: Выделить всё

wbinfo -u

получал имена пользователей в исходном домене без имени домена (user1, user2 и т.д.)
Была настроена авторизация через AD и установлен SAMS.
При миграции в новый домен в логах Squid пользователи из домена DOM2 авторизовались как DOM2+userX. в SAMSe добавил к именам пользователей имя нового домена (DOM2), т.е. поличил имена вида DOM2+userX и все заработало.

[f0s]

так скажите, все-таки если у меня в лесу много доменов, и щлюз с фрибсд должен использоваться для выхода в интернет со всех доменов с авторизацией. будет это работать или нет?

структура сети будет представлять из себя запущенный на серверах wmware esx, и будут созданы виртуалки. каждая сеть со своим доменом будет подключена к роутеру через свою виртуальную сетевуху с адресом внутренней подсети.

[shershun4ik]

Если между доменами есть транзитивное доверие, то должно работать. У меня с двумя доменами работало, если их будет 10 - не знаю, не пробовал. В родном для прокси с freebsd домене имена пользователей будут отображаться без имени домена (при соответствующих настройках samba), остальные будут с префиксом доменов. Есть еще косячек при авторизации в AD через LDAP - там количество записей, которые может получить сервер, ограничено (мы пробовали на домене с 10 000 одних только пользователей), до нужных нам так и не добрались (хотя кто знает, может мы просто недоглядели чего). При работе с NTLM таких проблем не было.

[shershun4ik]

Забыл добавить: контроллеры доменов были на win server 2003. Авторизация работала через NTLM (с LDAP не срослось по описанной выше причине).

[f0s]

настроил все без самбы на керберосе. в логи сквида попадает примерно так инфа:

Код: Выделить всё

1295365611.620      6 192.168.51.112 TCP_MISS/200 527 GET http://mc.yandex.ru/watch/723233/1 i.zherebtsova@RODNIKI.VICI.LOCAL DIRECT/213.180.204.90 image/gif
1295365612.701      0 192.168.51.112 TCP_HIT/200 1753 GET http://yandex.st/lego/_/pDu9OWAQKB0s2J9IojKpiS_Eho.ico i.zherebtsova@RODNIKI.VICI.LOCAL NONE/- image/x-icon

1295365553.326    316 192.168.51.112 TCP_MISS/200 6098 GET http://im7-tub.yandex.net/i? f0s@VICI.LOCAL DIRECT/93.158.134.60 image/jpeg
1295365553.364    179 192.168.51.112 TCP_MISS/200 810 GET http://mc.yandex.ru/watch/731962 f0s@VICI.LOCAL DIRECT/93.158.134.190 image/gif 

так что все ок работать будет

[Alex Keda]

раскажите про керберос?

[f0s]

могу набросать тезисно:

настраиваем на свой домен:

Код: Выделить всё

root@rurodnikiproxy:~# cat /etc/krb5.conf
[libdefaults]
        default_realm = RODNIKI.VICI.LOCAL
        ticket_lifetime = 24000
        dns_lookup_realm = false
        dns_lookup_kdc = false
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
[realms]
        RODNIKI.VICI.LOCAL = {
                kdc = rumskres01.rodniki.vici.local
                admin_server = rumskres01.rodniki.vici.local
                default_domain = rodniki.vici.local
        }

[domain_realm]
        .rodniki.vici.local = RODNIKI.VICI.LOCAL
        .vici.local = RODNIKI.VICI.LOCAL
        .local = RODNIKI.VICI.LOCAL
        local = RODNIKI.VICI.LOCAL
#       .whoi.edu = ATHENA.MIT.EDU
#       whoi.edu = ATHENA.MIT.EDU
#[kdc]
#       profile = /var/lib/krb5kdc/kdc.conf

[pam]
        debug = true
        ticket_lifetime = 36000
        renew_lifetime = 36000
        forwardable = true
        krb4_convert = false
[logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log

на данном этапе самба нужна только чтобы сделать keytab

Код: Выделить всё

root@rurodnikiproxy:~# grep -v "#" /etc/samba/smb.conf


[global]
workgroup = RODNIKI
realm = RODNIKI.VICI.LOCAL
netbios name = rurodnikiproxy
server string = Samba Server %v
security = ADS
auth methods = winbind
map to guest = Bad User
password server = 192.168.51.112
printer admin = root
client NTLMv2 auth = Yes
client signing = Yes
disable spoolss = Yes
preferred master = No
local master = No
domain master = No
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
inherit acls = Yes
hosts allow = 192.168.51., 192.168.50., 192.168.55., 127.
map acl inherit = Yes
case sensitive = No
nt acl support = yes
os level = 10
socket options = TCP_NODELAY
load printers = yes
guest account = nobody
guest ok = yes
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes


[printers]
   comment = All Printers
   browseable = no
   path = /var/spool/samba
   printable = yes
   guest ok = no
   read only = yes
   create mask = 0700

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = no

вводим самбу в домен net ads join -U admin

получаем тикет:

Код: Выделить всё

kinit administrator@RODNIKI.VICI.LOCAL

это для линукса:

Код: Выделить всё

export KRB5_KTNAME=FILE:/etc/squid3/HTTP.keytab
net ads keytab CREATE
net ads keytab ADD HTTP
unset KRB5_KTNAME

это для фри:

Код: Выделить всё

setenv KRB5_KTNAME FILE:/etc/squid3/HTTP.keytab
net ads keytab CREATE
net ads keytab ADD HTTP

строчки из конфига сквида:

Код: Выделить всё

/etc/squid3/squid.conf:

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on

acl auth proxy_auth REQUIRED

http_access deny !auth
http_access allow auth
http_access deny all

===

Код: Выделить всё

chgrp squid /etc/squid3/HTTP.keytab
chmod g+r /etc/squid3/HTTP.keytab

===

для линукса:

Код: Выделить всё

в /etc/init.d/squid3 добавляем:

KRB5_KTNAME=/etc/squid3/HTTP.keytab
export KRB5_KTNAME

для фри соответсвенно в /usr/local/etc/rc.d/squid3


запускаемся, и все круто )

Код: Выделить всё

1295365611.620      6 192.168.51.112 TCP_MISS/200 527 GET http://mc.yandex.ru/watch/723233/1 i.zherebtsova@RODNIKI.VICI.LOCAL DIRECT/213.180.204.90 image/gif
1295365612.701      0 192.168.51.112 TCP_HIT/200 1753 GET http://yandex.st/lego/_/pDu9OWAQKB0s2J9IojKpiS_Eho.ico i.zherebtsova@RODNIKI.VICI.LOCAL NONE/- image/x-icon

1295365553.326    316 192.168.51.112 TCP_MISS/200 6098 GET http://im7-tub.yandex.net/i? f0s@VICI.LOCAL DIRECT/93.158.134.60 image/jpeg
1295365553.364    179 192.168.51.112 TCP_MISS/200 810 GET http://mc.yandex.ru/watch/731962 f0s@VICI.LOCAL DIRECT/93.158.134.190 image/gif