Squid + Kerberos + AD 2008 R2

damir_madaga

Коллеги, дорого времени суток. Пытаюсь настроить данную связку, основные статью на которые опираюсь http://timp87.blogspot.ru/2014/02/squid-ad.html
http://www.lissyara.su/?id=2101

Имею

Код: Выделить всё

uname -a
FreeBSD proxy.xxxx.local 10.1-RELEASE-p5 FreeBSD 10.1-RELEASE-p5 #0: Tue Jan 27 08:55:07 UTC 2015     root@amd64-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  amd64

Клетка в ней соответственно

Код: Выделить всё

# squid -v
Squid Cache: Version 3.4.11

Что уже получилось
Создал учетку в АД получил squid.keytab настроил Kerberos в клетке благополучно получаю билетики и прохожу все проверки

Код: Выделить всё

 # kinit -k HTTP/proxy.xxxx.local
root@proxy:/usr/local/etc/squid # klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: HTTP/proxy.xxxx.local@XXXX.LOCAL

  Issued                Expires               Principal
Feb 12 23:00:12 2015  Feb 13 09:00:12 2015  krbtgt/XXXX.LOCAL@XXXX.LOCAL
root@proxy:#

Дальше пишу конфиг Squid

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -i -s HTTP/proxy.хххх.local@ХХХХ.LOCAL
auth_param negotiate children 10 startup=5 idle=1
auth_param negotiate keep_alive off
acl localnet src 10.93.1.0/24
acl SSL_ports port 443acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 443
acl Safe_ports port 1025-65535
http_access deny !Safe_ports
acl CONNECT method CONNECT
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localhost
http_access deny to_localhost
external_acl_type ldap_users ttl=3600 negative_ttl=3600 children-max=50 children-startup=10 \
children-idle=5 grace=15 %LOGIN /usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -i -g squid.fullaccess -m 64 -D ХХХХ.LOCAL -u squid -p хххххх
acl squid.denyall       external ldap_users squid.denyall
acl squid.fullaccess    external ldap_users squid.fullaccess
http_access deny        all             squid.denyall
http_access allow       all             squid.fullaccess
http_access deny all
http_port 192.168.120.3:3128
cache_dir ufs /var/squid/cache 20480 16 256
maximum_object_size_in_memory 1024 KB
cache_mem 256 MB
coredump_dir /var/squid/cache
access_log stdio:/var/squid/logs/access.log squid
cache_log /var/squid/logs/cache.log
cache_store_log none
logfile_rotate 14
pid_filename /var/run/squid/squid.pid
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
cache_mgr damir@хххх.local
visible_hostname proxy.хххх.local
icp_port 0
error_default_language ru
error_directory /usr/local/etc/squid/errors/ru
error_log_languages on
hosts_file /etc/hosts
forwarded_for off

Запускаю все это хозяйство прописываю в браузере именем прокси и порт как итог ни чего не открывается в логах следующее

Код: Выделить всё

tail -f /var/squid/logs/access.log
1423754603.344      0 10.93.1.96 TCP_DENIED/407 3737 GET http://ru-ru.appex-rf.msn.com/cgtile/v1/ru-RU/News/Today.xml - HIER_NONE/- text/html
1423755503.887      0 10.93.1.96 TCP_DENIED/407 3794 GET http://finance.services.appex.bing.com/Market.svc/AppTileV2? - HIER_NONE/- text/html
1423755503.888      0 10.93.1.96 TCP_DENIED/407 3727 GET http://travel.tile.appex.bing.com/api/livetile.xml? - HIER_NONE/- text/html
1423755504.377      0 10.93.1.96 TCP_DENIED/407 3801 GET http://ru-ru.appex-rf.msn.com/cgtile/v1/ru-RU/HealthAndFitness/Home.xml? - HIER_NONE/- text/html
1423755504.399      0 10.93.1.96 TCP_DENIED/407 3765 GET http://ru-ru.appex-rf.msn.com/cgtile/v1/ru-RU/Sports/Today.xml? - HIER_NONE/- text/html
1423755504.399      0 10.93.1.96 TCP_DENIED/407 3765 GET http://ru-ru.appex-rf.msn.com/cgtile/v1/ru-RU/Sports/Today.xml? - HIER_NONE/- text/html
1423755504.400      0 10.93.1.96 TCP_DENIED/407 3794 GET http://finance.services.appex.bing.com/Market.svc/AppTileV2? - HIER_NONE/- text/html
1423755504.400      0 10.93.1.96 TCP_DENIED/407 3727 GET http://travel.tile.appex.bing.com/api/livetile.xml? - HIER_NONE/- text/html
1423755504.478      0 10.93.1.96 TCP_DENIED/407 3801 GET http://ru-ru.appex-rf.msn.com/cgtile/v1/ru-RU/HealthAndFitness/Home.xml? - HIER_NONE/- text/html
1423755508.428   5047 10.93.1.96 TCP_DENIED/407 3777 GET http://foodanddrink.tile.appex.bing.com/api/feed/? - HIER_NONE/- text/html
1423756355.931      0 10.93.1.250 TCP_DENIED/407 3707 CONNECT iecvlist.microsoft.com:443 - HIER_NONE/- text/html
1423756355.960      0 10.93.1.250 TCP_DENIED/407 3793 CONNECT iecvlist.microsoft.com:443 - HIER_NONE/- text/html
1423756390.887      0 10.93.1.250 TCP_DENIED/407 3793 CONNECT ieonline.microsoft.com:443 - HIER_NONE/- text/html
1423756403.358      0 10.93.1.96 TCP_DENIED/407 3737 GET http://ru-ru.appex-rf.msn.com/cgtile/v1/ru-RU/News/Today.xml - HIER_NONE/- text/html
1423756661.640      0 10.93.1.96 TCP_DENIED/407 3755 CONNECT safebrowsing.google.com:443 - HIER_NONE/- text/html
1423756661.669      0 10.93.1.96 TCP_DENIED/407 3755 CONNECT safebrowsing.google.com:443 - HIER_NONE/- text/html
1423756661.673      0 10.93.1.96 TCP_DENIED/407 3775 CONNECT alt1-safebrowsing.google.com:443 - HIER_NONE/- text/html
1423756661.699      0 10.93.1.96 TCP_DENIED/407 3775 CONNECT alt1-safebrowsing.google.com:443 - HIER_NONE/- text/html
1423756968.124      0 10.93.1.96 TCP_DENIED/407 3706 CONNECT iecvlist.microsoft.com:443 - HIER_NONE/- text/html
1423756968.155      0 10.93.1.96 TCP_DENIED/407 3792 CONNECT iecvlist.microsoft.com:443 - HIER_NONE/- text/html

Код: Выделить всё

tail -f /var/log/squid/cache.log
2015/02/12 22:08:24 kid1| Starting new dnsserver helpers...
2015/02/12 22:08:24 kid1| helperOpenServers: Starting 1/32 'dnsserver' processes
2015/02/12 22:08:24 kid1| Starting new dnsserver helpers...
2015/02/12 22:08:24 kid1| helperOpenServers: Starting 1/32 'dnsserver' processes
2015/02/12 23:10:04 kid1| Set Current Directory to /var/squid/cache
2015/02/12 23:10:04 kid1| Starting Squid Cache version 3.4.11 for amd64-portbld-freebsd10.1...
2015/02/12 23:10:04 kid1| Process ID 2881
2015/02/12 23:10:04 kid1| Process Roles: worker
2015/02/12 23:10:04 kid1| With 58284 file descriptors available
2015/02/12 23:10:04 kid1| Initializing IP Cache...
2015/02/12 23:10:04 kid1| helperOpenServers: Starting 1/32 'dnsserver' processes
2015/02/12 23:10:04 kid1| helperOpenServers: Starting 5/10 'negotiate_kerberos_auth' processes
negotiate_kerberos_auth.cc(212): pid=2883 :2015/02/12 23:10:04| negotiate_kerberos_auth: INFO: Starting version 3.0.4sq
negotiate_kerberos_auth.cc(212): pid=2884 :2015/02/12 23:10:04| negotiate_kerberos_auth: INFO: Starting version 3.0.4sq
negotiate_kerberos_auth.cc(212): pid=2885 :2015/02/12 23:10:04| negotiate_kerberos_auth: INFO: Starting version 3.0.4sq
negotiate_kerberos_auth.cc(212): pid=2886 :2015/02/12 23:10:04| negotiate_kerberos_auth: INFO: Starting version 3.0.4sq
2015/02/12 23:10:04 kid1| helperOpenServers: Starting 10/50 'ext_kerberos_ldap_group_acl' processes
negotiate_kerberos_auth.cc(212): pid=2887 :2015/02/12 23:10:04| negotiate_kerberos_auth: INFO: Starting version 3.0.4sq
2015/02/12 23:10:05 kid1| Logfile: opening log stdio:/var/squid/logs/access.log

если перевожу на связку через LDAP то все начинает работать!
Подскажите куда еще глянуть?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Electronik

http://vk.cc/3sU2rt

damir_madaga

Пользовался и многократно, не помогает! многие пишут что у них либо на определенные сервисы не работает либо просто проскакивает ошибка через раз! А у меня тупо не пускает!

skeletor

Какой браузер? Где-то натыкался на то, что IE не работает с аутентификацией через kerberos.

damir_madaga

Пробовал на IE11, Chrome результат один!

skeletor

Тогда дебажить скрипт ext_kerberos_ldap_group_acl

damir_madaga

Вот он к стати изначально больше информации давал, сейчас как то подозрительно молчит, вроде опции дебаг включены!

Отправлено спустя 5 минут 6 секунд:
Вот, не много заставил его разговаривать

Код: Выделить всё

2015/02/13 21:36:24 kid1| Accepting HTTP Socket connections at local=192.168.120.3:3128 remote=[::] FD 41 flags=9
2015/02/13 21:36:24| kerberos_ldap_group: INFO: Starting version 1.3.1sq
support_group.cc(374): pid=16403 :2015/02/13 21:36:24| kerberos_ldap_group: INFO: Group list squid.fullaccess
support_group.cc(439): pid=16403 :2015/02/13 21:36:24| kerberos_ldap_group: INFO: Group squid.fullaccess  Domain NULL
support_netbios.cc(75): pid=16403 :2015/02/13 21:36:24| kerberos_ldap_group: DEBUG: Netbios list NULL
support_netbios.cc(79): pid=16403 :2015/02/13 21:36:24| kerberos_ldap_group: DEBUG: No netbios names defined.
support_lserver.cc(74): pid=16403 :2015/02/13 21:36:24| kerberos_ldap_group: DEBUG: ldap server list NULL
support_lserver.cc(78): pid=16403 :2015/02/13 21:36:24| kerberos_ldap_group: DEBUG: No ldap servers defined.
2015/02/13 21:36:24| kerberos_ldap_group: INFO: Starting version 1.3.1sq
support_group.cc(374): pid=16401 :2015/02/13 21:36:24| kerberos_ldap_group: INFO: Group list squid.fullaccess
support_group.cc(439): pid=16401 :2015/02/13 21:36:24| kerberos_ldap_group: INFO: Group squid.fullaccess  Domain NULL
support_netbios.cc(75): pid=16401 :2015/02/13 21:36:24| kerberos_ldap_group: DEBUG: Netbios list NULL
support_netbios.cc(79): pid=16401 :2015/02/13 21:36:24| kerberos_ldap_group: DEBUG: No netbios names defined.
support_lserver.cc(74): pid=16401 :2015/02/13 21:36:24| kerberos_ldap_group: DEBUG: ldap server list NULL
support_lserver.cc(78): pid=16401 :2015/02/13 21:36:24| kerberos_ldap_group: DEBUG: No ldap servers defined.
2015/02/13 21:37:38 kid1| Starting new dnsserver helpers...
2015/02/13 21:37:38 kid1| helperOpenServers: Starting 1/32 'dnsserver' processes

skeletor

Тогда пройтись по ошибкам

Код: Выделить всё

No ldap servers defined.

damir_madaga

skeletor писал(а): No ldap servers defined

На сколько я понимаю это не критичные ошибки, ас попробую пофиксить их!

damir_madaga

Форумчани! А может я не на правильном пути? У меня домен 2008, клиенты win7-8 с основным браузером IE - задача прокси сервер с лимитами и ограничениями без необходимости ввода паролей. Смотрел в сторону Sams2 но как то там все грустно на сколько я понял!

skeletor

У меня такая же связка, только я использую winbind, а не kerberos.

damir_madaga

skeletor писал(а):У меня такая же связка, только я использую winbind, а не kerberos.

А можешь дать ссылочки на статьи или примеры?

skeletor

http://skeletor.org.ua/?p=522
Правда под FreeBSD 10.X возникла проблема добавление шлюза в домен. А так, ничего не изменилось с 8.Х

damir_madaga

skeletor писал(а):http://skeletor.org.ua/?p=522
Правда под FreeBSD 10.X возникла проблема добавление шлюза в домен. А так, ничего не изменилось с 8.Х

В Squid видео многое поменялось! Точно не могу найти /usr/local/bin/ntlm_auth видимо поменяли так же как и wbinfo_group.pl поменяли на ext_wbinfo_group_acl! Хелп!

damir_madaga

В роде почти разхобрался, но стопориться тут!

Код: Выделить всё

2015/02/20 14:14:12 kid1| ERROR: NTLM Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
2015/02/20 14:14:15 kid1| ERROR: NTLM Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}

Гугл дает несколько советов с правами и так далее но что то не помогает!

damir_madaga

Форумчане, прошу помощи! Вроде связка с NTML более или менее заработала на не шифрованных каналах, но вот с https беда! Причем chrome выходит нормально

Код: Выделить всё

10.93.1.96 TCP_MISS/200 5644 CONNECT social.yandex.ru:443 test9b HIER_DIRECT/213.180.193.201 -
1425026021.854    776 10.93.1.96 TCP_MISS/200 3392 CONNECT www.tns-counter.ru:443 test9b HIER_DIRECT/194.226.131.227 -
1425026030.136  10477 10.93.1.96 TCP_MISS/200 4354 CONNECT yastatic.net:443 test9b HIER_DIRECT/178.154.131.216 -
1425026030.137  10383 10.93.1.96 TCP_MISS/200 4354 CONNECT yastatic.net:443 test9b HIER_DIRECT/178.154.131.216 -
1425026040.139  18962 10.93.1.96 TCP_MISS/200 4354 CONNECT yastatic.net:443 test9b HIER_DIRECT/178.154.131.216 -
1425026040.140  18961 10.93.1.96 TCP_MISS/200 4358 CONNECT yastatic.net:443 test9b HIER_DIRECT/178.154.131.215 -
1425026040.140  18956 10.93.1.96 TCP_MISS/200 4358 CONNECT yastatic.net:443 test9b HIER_DIRECT/178.154.131.215 -
1425026040.141  20366 10.93.1.96 TCP_MISS/200 4354 CONNECT yastatic.net:443 test9b HIER_DIRECT/178.154.131.215 -

А IE11 на Win8.1 просит Basic авторизацию в логах вот что!

Код: Выделить всё

1425026235.788      0 10.93.1.96 TCP_DENIED/407 3799 CONNECT mail.yandex.ru:443 - HIER_NONE/- text/html
1425026235.800      0 10.93.1.96 TCP_DENIED/407 3871 CONNECT mail.yandex.ru:443 - HIER_NONE/- text/html

Тут же захожу на простую страничку все отрабатывает!

Код: Выделить всё

1425026311.728    496 10.93.1.96 TCP_MISS/200 72938 GET http://www.yandex.ru/ test9b HIER_DIRECT/213.180.204.3 text/html
1425026311.776      2 10.93.1.96 TCP_DENIED/407 4937 GET http://yabs.yandex.ru/count/SxMlAJePgLC40000ZhVG0ay5KP6yq4ba1fC-hl0mrpqLomqG1RloCRngBWMkGGB1__________yFVGK0=YGSIEPK2cmPfMegnoSpo0QMlsMm4YBd98GS7feG9aA3y0Twn0R_Km247Tm1WnOyFV0K0? - HIER_NONE/- text/html
1425026311.897    125 10.93.1.96 TCP_MISS/302 490 GET http://yabs.yandex.ru/count/SxMlAS1eEm440002gP0088wtq09F1L6L0fi6QLg8kSaX1mUcX0cAiSdCyW6g0gMlsMm4aA3y0TwHlD19P0QJFa6ky33NFHNB3H05iG6xyZ6yQYu5ha42lzJ08GTt0631__________yFnOyFU0m0 test9b HIER_DIRECT/87.250.250.91 -
1425026312.104    201 10.93.1.96 TCP_MISS/200 18460 GET http://yabs.yandex.ru/resource/Q2RQNDguXzm5R^JmzDpX_g.png test9b HIER_DIRECT/213.180.204.91 image/png
1425026312.147   2803 10.93.1.96 TCP_MISS/200 272 GET http://clck.yandex.ru/click/dtype=stred/pid=1/cid=72202/reqid=20959.10657.1425026287.71823/path=690.1033/vars=143=28.15.899,287=62,1036=1,1037=0,1038=0,1039=1,1040=746,1041=56,1042=Mozilla%2F5.0%20(Windows%20NT%206.3%3B%20WOW64%3B%20Trident%2F7.0%3B%20.NET4.0E%3B%20.NET4.0C%3B%20rv%3A11.0)%20like%20Gecko,1051=19097,1040.318=1062,1041.659=372,1041.906=371,1041.318=372/slots=/* test9b HIER_DIRECT/213.180.193.14 image/gif
1425026312.998      0 10.93.1.96 TCP_DENIED/407 3744 CONNECT iecvlist.microsoft.com:443 - HIER_NONE/- text/html
1425026313.005      0 10.93.1.96 TCP_DENIED/407 3816 CONNECT iecvlist.microsoft.com:443 - HIER_NONE/- text/html
1425026313.019      0 10.93.1.96 TCP_DENIED/407 3846 CONNECT iecvlist.microsoft.com:443 - HIER_NONE/- text/html
1425026318.209   7519 10.93.1.96 TCP_MISS/304 266 GET http://fpdownload2.macromedia.com/get/flashplayer/update/current/xml/version_ru_win_ax.xml test9b HIER_DIRECT/80.239.237.67 text/xml

Гугл говорит разное, кто то говорит что все работает, кто то говорит что плюнули и оставили только basic! Help!

Electronik

попробуйте добавить адрес прокси в Надежные сайты

Отправлено спустя 1 минуту 53 секунды:
в настройках зоны интернет "Проверка подлинности пользователя" поставьте "Автоматический вход в сеть с текущим именем пользователя и паролем"

damir_madaga

Electronik писал(а):попробуйте добавить адрес прокси в Надежные сайты

Отправлено спустя 1 минуту 53 секунды:
в настройках зоны интернет "Проверка подлинности пользователя" поставьте "Автоматический вход в сеть с текущим именем пользователя и паролем"

Нет, шайтана Браузера работать отказывается!

Electronik

что ie говорит?

Отправлено спустя 55 секунд:
откройте консоль по f12? и смотрите что говорит

damir_madaga

HTML1300: Произошел переход.
Файл: dnserror.htm
DOM7011: Код на этой странице запрещает кэширование вперед и назад. Дополнительные сведения см. по адресу http://go.microsoft.com/fwlink/?LinkID=291337
Файл: dnserror.htm

skeletor

Разрешить метод connect. Его IE использует для https соединений.

Код: Выделить всё

acl     CONNECT                 method          CONNECT
acl     SSL_ports               port            443 8443
...
http_access     allow   CONNECT SSL_ports

Причём разрешающее правило нужно поднять повыше.

forum.lissyara.su