squid+ad2008\kerberos+ldap и win7\ie8

[VITYA]

Настроил сервер по этой статье, всё работает.
Подскажите как решить проблему юзеров и паролей на русском языке?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[sidney]

да никак, нужно ковырять модуль авторизации самостоятельно
но в любом случае это будет геморрой на всех стадиях авторизации, лучше просто не использовать русские пароли

[VITYA]

У кого-нибудь заработало с windows 2003 ? У меня ie 7/8 спрашивает логин и пароль и не пускает(Error Cache Access Denied) с вот таким конфигом сквида:

Код: Выделить всё

http_port 3128
cache_dir ufs /usr/squid/cache 8000 8 64
access_log /var/log/squid/access.log squid

auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on

acl AUTHENTICATED proxy_auth REQUIRED

acl localnet src 192.168.0.0/24
http_access allow AUTHENTICATED localnet
http_access deny all

сквид пробовал 30 и 31

[Stason]

в последнем (или предпоследнем) номере системного администратора опубликована статья squid + kerberos

[kirkby]

uname -a

Код: Выделить всё

FreeBSD gateway 9.0-RELEASE FreeBSD 9.0-RELEASE

squid -v

Код: Выделить всё

gateway# squid -v
Squid Cache: Version 3.1.20
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth LDAP YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd9.0' 'build_alias=amd64-portbld-freebsd9.0' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/local/include  -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/local/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.20 --enable-ltdl-convenience

gateway# smbd -V

Код: Выделить всё

Version 3.6.5

cat /etc/hosts

Код: Выделить всё

172.22.0.1 gateway.dom.com gateway
172.22.0.1 localhost

hostname

Код: Выделить всё

gateway

nslookup -type=A gateway.dom.com

Код: Выделить всё

Server:         172.22.0.2
Address:        172.22.0.2#53

Name:   gateway.dom.com
Address: 172.22.0.1

gateway# nslookup 172.22.0.1

Код: Выделить всё

Server:         172.22.0.2
Address:        172.22.0.2#53

1.0.22.172.in-addr.arpa name = gateway.dom.com.

cat /usr/local/etc/smb.conf

Код: Выделить всё

netbios name = squid
realm = DOM.COM
security = ADS
encrypt passwords = yes
workgroup = dom

без пассворд сервера
gateway# cat /etc/krb5.conf

Код: Выделить всё

[libdefaults]
      default_realm = DOM.COM
      dns_lookup_kdc = no
      dns_lookup_realm = no
      default_keytab_name = /etc/krb5.keytab

default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
      DOM.COM = {
              kdc = pdc.dom.com
              admin_server = pdc.dom.com
      }

[domain_realm]
      .dom.com = DOM.COM
      dom.com = DOM.COM

gateway# cat /usr/local/etc/squid/squid.conf

Код: Выделить всё

http_port 3128
cache_dir ufs /usr/squid/cache 8000 8 64
access_log /var/log/squid/access.log squid
#auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth -s HTTP/gateway.dom.com@DOM.COM
#auth_param negotiate program /usr/local/libexec/squid/squid_ldap_auth
auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on
external_acl_type ldap_search %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b "dc=dom,dc=com" -f "(&(samaccountname=%v)(memberof=cn=%a,cn=Users,dc=dom,dc=com))" -D admin1@dom.com -W /usr/local/etc/squid/authpw -K -h pdc.dom.com
acl i_allowed external ldap_search inter
acl AUTHENTICATED proxy_auth REQUIRED
acl localnet src 172.22.0.0/16
http_access allow AUTHENTICATED localnet
http_access allow i_allowed
http_access deny all

gateway# klist

Код: Выделить всё

Credentials cache: FILE:/tmp/krb5cc_0
        Principal: admin1@DOM.COM

  Issued           Expires          Principal
Aug 20 11:27:57  Aug 20 21:27:57  krbtgt/DOM.COM@DOM.COM
Aug 20 11:28:09  Aug 20 21:27:57  ldap/pdc.dom.com@DOM.COM
Aug 20 11:40:57  Aug 20 21:27:57  HTTP/gateway.dom.com@DOM.COM

нтпдэйтнул.
wbinfo -p, wbinfo -u , wbinfo -g вывод есть
лдап хэлпер,лдапсерч работает
прокси с fqdn

теперь еррор
tail /var/log/squid/cache.log

Код: Выделить всё

gateway# 
2012/08/20 11:58:36| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_acquire_cred() failed:  No credentials were supplied, or the credentials were unavailable or inaccessible.. unknown mech-code 0 for mech unknown'

Помогите пожалуйста!

[Гость]

У кого-нибудь заработало с windows 2003 ? У меня ie 7/8 спрашивает логин и пароль и не пускает(Error Cache Access Denied) с вот таким конфигом сквида:

Код: Выделить всё

http_port 3128
cache_dir ufs /usr/squid/cache 8000 8 64
access_log /var/log/squid/access.log squid

auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on

acl AUTHENTICATED proxy_auth REQUIRED

acl localnet src 192.168.0.0/24
http_access allow AUTHENTICATED localnet
http_access deny all

сквид пробовал 30 и 31

Была аналогичная проблема, в cache.log падало сообщение

Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'

решилась просто: прокси должен быть прописан как FQDN или CNAME ссылающегося на FQDN, а не как IP.

[scandin]

Хотелось бы поделиться, может и не актуально, но "а вдруг...."))

Код: Выделить всё

negotiate_kerberos_auth.cc(199): | negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed:  Miscellaneous failure (see text). unknown mech-code 0 for mech unknown
kid1| ERROR: Negotiate Authentication validating user. Error returned 'BH gss_accept_sec_context() failed:  Miscellaneous failure (see text). unknown mech-code 0 for mech unknown'

Вязал вот это:
FreeBSD 9.1-RELEASE-p1/squid-3.2.9 (negotiate_kerberos_auth)/AD Win2K8R2
ldap не прикручивал, но это уже второй вопрос, а пока "unknown mech-code 0 for mech unknown"
Рекомедую для прочтения:
http://www.lissyara.su/?id=2101
http://www.k-max.name/linux/squid-auth- ... directory/
http://wiki.val.bmstu.ru/doku.php?id=%D ... 0%BA_squid
http://parafin.livejournal.com/301539.html
Вот последняя ссылка меня и надоумела про механизмы.
1. Сначала собрал cyrus-sasl-2.1.26_2, cyrus-sasl-saslauthd-2.1.26 (у меня такие версии).
2. Далее собрал Squid с тикими опциями

Код: Выделить всё

...
OPTIONS_FILE_SET+=AUTH_KERB
OPTIONS_FILE_SET+=AUTH_LDAP
OPTIONS_FILE_SET+=AUTH_NIS
OPTIONS_FILE_SET+=AUTH_SASL
...

вот такой кальмарный конфиг :

Код: Выделить всё

...
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -s HTTP/squid.domen.local
auth_param negotiate children 10
auth_param negotiate keep_alive on

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT
acl localnet src <mylan>/24
acl auth_users proxy_auth REQUIRED

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow auth_users localnet
http_access deny all
...

3. Добавить в скрипт запуска сквида

Код: Выделить всё

KRB5_KTNAME=/usr/local/etc/squid/squid.keytab
export KRB5_KTNAME

так рекомендуют вот здесь http://www.squid-cache.org/, но у меня остались вопросы...
4. Ну и сам ключик

Код: Выделить всё

ktpass.exe /princ HTTP/squid.domen.local@DOMEN.LOCAL /mapuser squid$@DOMEN.LOCAL /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass +rndpass /out C:\tmp\PRINCIP-rc4.keytab

Вот тогда аутентификация заработала...

Все детали не описываю, в ссылках очень подробно всё изложено...

Удачи.