Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: не удается авторизоваться в ad с помощью squid  (Прочитано 1424 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн gsomunk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Добрый день! Никак не могу пройти авторизацию в squid, когда он выдает диалоговое окно в браузере. Установлены:squid-3.1.20,samba-3.3.6,samba-client,samba-common.
контроллер домена - domain.local,
ip - 192.168.3.3 ,
прокси сервер proxy-server ,
ip 192.168.3.6,
ОС кд - Windows Server 2012,
ОС прокси сервера debian 7.3,
nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: files
smb.conf
[global]
workgroup = DOMAINSERVER (в сетях xp отображается не как domain.local, а именно domainserver)
netbios name = proxy-server
server string = Samba Server
hosts allow = 192.168.3.
log file = var/log/samba/%m.log
max log size = 50
security = ADS
password server = domain.domain.local
realm = DOMAIN.LOCAL
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = no
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/false
winbind use default domain = yes
krb5.conf
[loggining]
    Default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmin.log

[libdefaults]
    default_realm = DOMAIN.LOCAL
    dns_lookup_realm = false
    dns_lookup_kdc = true
    licket_lifetime = 24h
    forwardable = yes

[realms]
    DOMAIN.LOCAL = {
    kdc = domain.domain.local
    admin_server = domain.domain.local
    default_domain = domain.local
}

[domain_realm]
    .domain.local = DOMAIN.LOCAL
    domain.local = DOMAIN.LOCAL
версия и опции squid
squid3 -v
Squid Cache: Version 3.1.20
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/tmp/buildd/squid3-3.1.20
resolve.conf
domain domain.local
serach domain.local
nameserver 192.168.3.3 - адрес контроллера домена
nameserver 109.... - адрес провайдера
nameserver 109.....- адрес провайдера
squid.conf
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds
authenticate_ttl 0 seconds
#external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.3.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl lan src 192.168.3.0/24
acl auth proxy_auth REQUIRED
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow auth
http_access deny all
http_port 3128
Соответственно на dns сервере, там же находится и контроллер домена создал ptr запись
тестирую
ping domain.local
PING domain.local (192.168.3.3) 56(84) bytes of data.
64 bytes from domain.domain.local (192.168.3.3): icmp_req=1 ttl=128 time=0.380 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=2 ttl=128 time=0.504 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=3 ttl=128 time=0.622 ms

ping domain
PING domain.local (192.168.3.3) 56(84) bytes of data.
64 bytes from domain.domain.local (192.168.3.3): icmp_req=1 ttl=128 time=0.380 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=2 ttl=128 time=0.504 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=3 ttl=128 time=0.622 ms

ping proxy-server
Обмен пакетами с proxy-server [192.168.3.6] с 32 байтами данных:
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=4мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=2мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=1мс TTL=64

ping proxy-server.domain.local

Обмен пакетами с proxy-server.domain.local [192.168.3.6] с 32 байтами данных:
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64

nslookup domain
Server:         192.168.3.3
Address:        192.168.3.3#53

Name:   domain.domain.local
Address: 192.168.3.3

nslookup proxy-server.domain.local
╤хЁтхЁ:  ipv6-localhost
Address: ::1

╚ь :     proxy-server.domain.local
Address:  192.168.3.6
перезапускаю все сервисы
service samba restart
[ ok ] Stopping Samba daemons: nmbd smbd.
[ ok ] Starting Samba daemons: nmbd smbd.
root@proxy-server:/etc/squid3# service winbind restart
[ ok ] Stopping the Winbind daemon: winbind.
[ ok ] Starting the Winbind daemon: winbind.
root@proxy-server:/etc/squid3# service squid3 restart
[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....]  Waiting.....................done.
. ok
Далее проверяю самбу
net join -U proxy-server
Enter proxy-server's password:
Using short domain name -- domainserver
Joined 'PROXY-SERVER' to realm 'domain.local'

wbinfo -t
checking the trust secret for domain DOMAINSERVER via RPC calls succeeded

wbinfo -p
Ping to winbindd succeeded

wbinfo -u
администратор
гость
юзер1
юзер2
......

testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
WARNING: The "idmap uid" option is deprecated
WARNING: The "idmap gid" option is deprecated
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
Проверяю keberos
kinit
Password for proxy-server@DOMAIN.LOCAL:
root@proxy-server:/etc/squid3# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: proxy-server@DOMAIN.LOCAL

Valid starting       Expires              Service principal
27.12.2013 12:37:24  27.12.2013 22:37:36  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
        renew until 28.12.2013 12:37:24

Открываю браузер, например мозила, в настройках прокси сервера ввожу proxy-server.domain.local порт 3128, после чего открываю сайт, где выходит окно авторизации, ввожу доменного пользователя и его пароль, спустя 1 секунду снова это окно и до бесконечности, значит что-то меня не пускает, но что - не понятно, я уже с 12 сайтов конфиги перебробовал мб я делаю что-то не так?. Грешу на ntlm авторизацию, в руководстве по freebsd предлагает проверить хелпер
После установки при запущенном winbindd необходимо проверить работу
helper'а. Для этого запускаем
/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Проверяю - все ок!

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27665
    • Просмотр профиля
Re: не удается авторизоваться в ad с помощью squid
« Ответ #1 : 29 Декабрь 2013, 06:17:49 »
C каких пор мозилла под линухом поддерживает NTLM auth на прокси?
Если на то пошло, с каких пор ЛЮБОЙ браузер, кроме IE, её поддерживает?
И, да, вы в курсе, что доменный суффикс .local зарезервирован для саморганизующихся сетей без выделенного доменного контроллера?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн gsomunk

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: не удается авторизоваться в ad с помощью squid
« Ответ #2 : 29 Декабрь 2013, 13:03:08 »
да какая разница, пускай будет ie, все равно не пускает, я со стороны клиента захожу.

Пользователь решил продолжить мысль 29 Декабрь 2013, 13:06:14:

бо
C каких пор мозилла под линухом поддерживает NTLM auth на прокси?
Если на то пошло, с каких пор ЛЮБОЙ браузер, кроме IE, её поддерживает?
И, да, вы в курсе, что доменный суффикс .local зарезервирован для саморганизующихся сетей без выделенного доменного контроллера?
где написано, что она не поддерживает ntlm авторизацию?

Пользователь решил продолжить мысль 29 Декабрь 2013, 13:09:58:
http://yuzepchuk.ru/2009/05/20/firefox-and-ntlm/
тем не менее не пускает
« Последнее редактирование: 29 Декабрь 2013, 13:11:54 от gsomunk »

 

Страница сгенерирована за 0.09 секунд. Запросов: 25.