Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Squid + AD проблемы с аутентификацией  (Прочитано 2450 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ejik_off

  • Автор темы
  • Любитель
  • *
  • Сообщений: 55
    • Просмотр профиля
Squid + AD проблемы с аутентификацией
« : 24 Августа 2015, 07:45:23 »
Всем привет! Ребята нужна помощь, настраивал связку Squid + AD по статье
Проблема с тем что пользователи из стандартной группы (Internet-Standard) получают доступ в инет как пользователи из группы без ограничения (Internet-Full-Auth) за исключением - они не могут зайти на сайты, перечисленные в файле conf_param_sites_blocked.txt.
Хотя должны ходить только на сайты перечисленные в файле conf_param_sites_allowed.txt. Такое чувство что где то не правильно асл срабатывает, хотя несколько раз проверил свой конфиг и порядок описанный на сайте, все в точности как на сайте. В чем может быть проблема?

Вот что проскакивает в логе сквида (cache.log)
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server'В инете пока решение это ошибки не нашел

Вот конфиг сквида:
# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/tns-gate-01.intec.tns-intec.kz@INTEC.TNS-INTEC.KZ
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off

# Only NTLM authentication
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100 startup=20 idle=5
auth_param ntlm keep_alive off

# Basic authentication via ldap for clients not authenticated via kerberos/ntlm
auth_param basic program /usr/lib/squid3/basic_ldap_auth -v 3 -P -R -b "ou=SystemAccount,ou=CORP,dc=intec,dc=tns-intec,dc=kz" -D squid@intec.tns-intec.kz -W /etc/squid3/conf_param_ldappass.txt -f sAMAccountName=%s -h tns-dc-01.intec.tns-intec.kz tns-dc-02.intec.tns-intec.kz
auth_param basic children 20
auth_param basic realm "TNS-GATE-01 SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours

# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#
# LDAP authorization
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=intec,dc=tns-intec,dc=kz" -D squid@intec.tns-intec.kz -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%a,OU=Groups,OU=CORP,DC=intec,DC=tns-intec,DC=kz))" -h tns-dc-01.intec.tns-intec.kz tns-dc-02.intec.tns-intec.kz
#
acl auth proxy_auth REQUIRED
acl BlockedAccess       external memberof "/etc/squid3/conf_param_groups_blocked.txt"
acl RestrictedAccess    external memberof "/etc/squid3/conf_param_groups_restricted.txt"
acl StandardAccess      external memberof "/etc/squid3/conf_param_groups_standard.txt"
acl FullAccess          external memberof "/etc/squid3/conf_param_groups_full_auth.txt"
acl AnonymousAccess     external memberof "/etc/squid3/conf_param_groups_full_anon.txt"


acl allowedsites        dstdomain "/etc/squid3/conf_param_sites_allowed.txt"
acl blockedsites        dstdomain "/etc/squid3/conf_param_sites_blocked.txt"
acl prioritysites       dstdomain "/etc/squid3/conf_param_sites_priority.txt"
#
acl LocalWUServers    src       "/etc/squid3/conf_param_computers_wsus.txt"
acl GlobalWUSites     dstdomain "/etc/squid3/conf_param_sites_wsus.txt"
#
#
# Squid default ACLs
# ACLs all, manager, localhost, and to_localhost are predefined.
# acl manager proto cache_object
# acl localhost src 127.0.0.1/32 ::1
# acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.1.0/24    # RFC1918 possible internal network
acl localnet1 src 192.168.2.0/24    # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
#acl localnet src 192.168.0.0/16        # RFC1918 possible internal network
#acl localnet src fc00::/7       # RFC 4193 local private network range
#acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
#
#
# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Аllow cachemgr access from localhost and localnet
http_access allow localhost manager
http_access allow localnet manager
http_access deny manager

# Allow direct access to Windows Update
http_access allow GlobalWUSites LocalWUServers

# Allow unrestricted access to prioritysites
http_access allow prioritysites localnet

# Enforce authentication, order of rules is important for authorization levels
http_access deny !auth

# Prevent access to basic auth prompt for BlockedAccess users
http_access deny BlockedAccess all
http_access allow allowedsites localnet
http_access allow allowedsites localnet1
http_access deny RestrictedAccess all
http_access allow AnonymousAccess auth localnet
http_access allow AnonymousAccess auth localnet1
http_access allow FullAccess auth localnet
http_access allow FullAccess auth localnet1
http_access deny blockedsites
http_access allow StandardAccess auth localnet
http_access allow StandardAccess auth localnet1

# And finally deny all other access to this proxy
http_access deny all
#
# NETWORK OPTIONS
# -----------------------------------------------------------------------------
#
http_port 192.168.1.42:3128
http_port 127.0.0.1:3128

ТС не появлялся на Форуме более полугода по состоянию на 13/07/2019 (последняя явка: 06/08/2018). Модератором раздела принято решение закрыть тему.
--zg_nico
« Последнее редактирование: 13 Июля 2019, 21:38:26 от zg_nico »

Оффлайн sir_mcnellan

  • Любитель
  • *
  • Сообщений: 62
  • https://unixhow.com
    • Просмотр профиля
    • Линукс в вопросах и ответах
Re: Squid + AD проблемы с аутентификацией
« Ответ #1 : 24 Августа 2015, 21:03:35 »
Пишет что не может сконтачить LDAP сервер. Соединение проходит? Телнетом попробуйте  telnet IP_ADDRESS port.
Кстати ваше сообщение об ошибке - "WARNING". Это не "ERROR". Другие сообщения в логах есть? Выложите весь лог где нибудь.
Если совсем уж срочно нужно, можно у этих ребят помощь попросить.
« Последнее редактирование: 24 Августа 2015, 21:11:41 от sir_mcnellan »

Оффлайн ejik_off

  • Автор темы
  • Любитель
  • *
  • Сообщений: 55
    • Просмотр профиля
Re: Squid + AD проблемы с аутентификацией
« Ответ #2 : 25 Августа 2015, 06:19:57 »
То что это не критическая ошибка я понял, просто не пойму с чем это связано и на что может повлиять.
Соединение есть, и телнетом тоже цепляюсь. В логе ничего больше не нашел. И авторизация работает, если бы связи с LDAP не было то пользователи не смогли бы авторизоваться.
Это не срочно, прокси поднял пока в тестовом режиме.


 

Страница сгенерирована за 0.065 секунд. Запросов: 23.