Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Проблема с авторизацией basic в squid3  (Прочитано 2325 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Zaratustra

  • Автор темы
  • Гость
Проблема с авторизацией basic в squid3
« : 30 Октября 2015, 11:45:15 »
Ubuntu Server 14.04 LTS

Добрый день! Работает проверка по пользователю в AD, работает управление через группы, но не могу заставить работать в режиме basic через Kerberos. Хелпер basic_ldap_auth работает в консоли, а вот браузеры и другой софт не может пройти проверку, постоянно выскакивает окно запроса логина и пароля, в логах 407.
squid.conf: http://pastebin.com/5XVAatrg
Буду признателен за помощь.

Пользователь решил продолжить мысль 30 Октября 2015, 13:06:19:
меня тут уже поправляют что в basic никакой kerberos участия не принимает. пусть так, в любом случае вопрос остается открытым.
« Последнее редактирование: 30 Октября 2015, 13:06:19 от Zaratustra »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28462
    • Просмотр профиля
Re: Проблема с авторизацией basic в squid3
« Ответ #1 : 30 Октября 2015, 16:23:03 »
Зачем вам этот ужас, если вы уже сказали, что AD хелпер работает?… Используйте его.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Zaratustra

  • Автор темы
  • Гость
Re: Проблема с авторизацией basic в squid3
« Ответ #2 : 02 Ноября 2015, 08:12:21 »
Зачем вам этот ужас, если вы уже сказали, что AD хелпер работает?… Используйте его.
как пустить в интернет ПО через прокси, который не поддерживается negotiation авторизацию? Например bitcomet, downloadmaster, какой-либо мессенжер и т.д.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28462
    • Просмотр профиля
Re: Проблема с авторизацией basic в squid3
« Ответ #3 : 02 Ноября 2015, 09:10:17 »
downloadmaster использует системный прокси, а остальной помойке прокси вообще не нужен.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Zaratustra

  • Автор темы
  • Гость
Re: Проблема с авторизацией basic в squid3
« Ответ #4 : 02 Ноября 2015, 09:22:09 »
downloadmaster использует системный прокси, а остальной помойке прокси вообще не нужен.
несомненно настройки он читает из реестра для IE, как и Chrome, но работать с negotiation не умеет, иначе тема бы не появилась.
и я не знаю что за помойка у вас, а у меня набор разнообразного ПО, который нужно пустить через прокси.
если вы зашли порассуждать на тему того, что ВАМ нужно или нет в этой жизни, то создайте отдельную тему, а в этой теме я хочу обсудить настройки basic авторизации.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28462
    • Просмотр профиля
Re: Проблема с авторизацией basic в squid3
« Ответ #5 : 02 Ноября 2015, 10:03:16 »
Обсуждайте…
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Zaratustra

  • Автор темы
  • Гость
Re: Проблема с авторизацией basic в squid3
« Ответ #6 : 02 Ноября 2015, 10:22:52 »
Обсуждайте…
а зачем быть грубым всезнайкой? В других темах вы довольно активно помогаете не высказываясь метафизически, а именно моя тема вас так задела, что вместо вопросов по сути проблемы вы пытаетесь что-то бзикнуть.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28462
    • Просмотр профиля
Re: Проблема с авторизацией basic в squid3
« Ответ #7 : 02 Ноября 2015, 10:48:08 »
Zaratustra, я не психиатр, людям с уязвлённым самолюбием помочь не умею. Извините.

Давайте без перехода на личности обойдемся...
Предупредил без штрафа.
Sly_tom_cat


Если вам нужно объяснение того, почему я считаю "разнообразное ПО" помойкой… да просто потому что это помойка. И прокси там нафиг не нужен.
HTTP прокси ставят либо для контроля доступа на уровне адресов, либо для ускорения работы сайтов (за счёт кеширования).
Ни адресов, ни сайтов в помойке нет, только голый канальный уровень - прокси нафиг не упёрся.
« Последнее редактирование: 02 Ноября 2015, 11:13:16 от Sly_tom_cat »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Zaratustra

  • Автор темы
  • Гость
Re: Проблема с авторизацией basic в squid3
« Ответ #8 : 02 Ноября 2015, 11:02:24 »
Цитировать
я не психиатр, людям с уязвлённым самолюбием помочь не умею. Извините.
ну как минимум нужно быть вежливым. о каком самолюбии идет речь? вы беспредметно полаяли в моей ветке и ускакали вдаль.

На личные наезды отвечать - не стоит - для этого есть "сообщить модератору".
Sly_tom_cat



Цитировать
Если вам нужно объяснение того, почему я считаю "разнообразное ПО" помойкой… да просто потому что это помойка. И прокси там нафиг не нужен.
это ваше мнение, я его услышал, но, во-первых, это не помойка, во-вторых, вам какая разница как именно используется ПО? Если можете - дайте совет, не можете - зачем беспредметно бросаться словами?

Цитировать
HTTP прокси ставят либо для контроля доступа на уровне адресов, либо для ускорения работы сайтов (за счёт кеширования).
Интересует авторизация в AD, категоризация, разграничение доступа к интернет ресурсам, блокирование доступа к нежелательному контенту.
Всё это уже работает, но эксклюзивно настраивать различное ПО, которое не может пройти авторизацию в текущем режиме мне по понятным причинам будет неудобно. Возможно решение с basic не вариант, но другого пока нет, а те кто мог бы подсказать увлечены философскими рассуждениями о местаз для выброса отходов.

Цитировать
Ни адресов, ни сайтов в помойке нет, только голый канальный уровень - прокси нафиг не упёрся.
Если в ПО есть раздел, где я могу настроить доступ в интернет через прокси с авторизацией, то наверное разработчикам ПО было понятно зачем там это сделано. Да банальный Касперский. Squid в том числе может быть полезен для задания ширины канала, всё под тот же Касперский. Еще есть ПО, для просмотра камер видеонаблюдения через https, почему бы в AD не сделать группу squid-vidcams и разрешить только ей доступ к этому ресурсу?

А еще в Squid логах будет информация для будущих отчетов по использованию интернет, что поможет, например, часть трафика завернуть на другой канал, пока нет статистики - нет возможности принять верное решение.

Пользователь решил продолжить мысль 02 Ноября 2015, 13:42:28:
попробовал helper basic_ncsa_auth и юзера через файл /etc/squid3/users.txt, где с помощью apache-utils htpasswd сделал юзера test. все работает в консоли, а когда в squid3.conf вставляю, то не проходит авторизацию, постоянно переспрашивает пароль и в логах 407.
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/users.txt
auth_param basic children 5
auth_param basic realm Squid Proxy-Caching Web Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
root@helpdesk:/etc/squid3# /usr/lib/squid3/basic_ncsa_auth /etc/squid3/users.txt
test test
OK
« Последнее редактирование: 02 Ноября 2015, 13:42:28 от Zaratustra »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28462
    • Просмотр профиля
Re: Проблема с авторизацией basic в squid3
« Ответ #9 : 02 Ноября 2015, 20:25:53 »
Цитировать
Если вам нужно объяснение того, почему я считаю "разнообразное ПО" помойкой… да просто потому что это помойка. И прокси там нафиг не нужен.
это ваше мнение, я его услышал, но, во-первых, это не помойка, во-вторых, вам какая разница как именно используется ПО? Если можете - дайте совет, не можете - зачем беспредметно бросаться словами?
А вы не допускаете мысли, что другие люди об этой проблеме могут знать несколько больше вас?

Цитировать
Цитировать
HTTP прокси ставят либо для контроля доступа на уровне адресов, либо для ускорения работы сайтов (за счёт кеширования).
Интересует авторизация в AD, категоризация, разграничение доступа к интернет ресурсам, блокирование доступа к нежелательному контенту.
Как предполагается "категоризировать", "разграничивать" и "блокировать" доступ "к нежелательному контенту" для программы, которая постоянно подключена к одному-единственному серверу и шифрует трафик?

Цитировать
Всё это уже работает, но эксклюзивно настраивать различное ПО, которое не может пройти авторизацию в текущем режиме мне по понятным причинам будет неудобно. Возможно решение с basic не вариант, но другого пока нет, а те кто мог бы подсказать увлечены философскими рассуждениями о местаз для выброса отходов.

Цитировать
Ни адресов, ни сайтов в помойке нет, только голый канальный уровень - прокси нафиг не упёрся.
Если в ПО есть раздел, где я могу настроить доступ в интернет через прокси с авторизацией, то наверное разработчикам ПО было понятно зачем там это сделано.
Это было сделано для тех несчастных пользователей сети, админ которых не в состоянии осилить маршрутизацию.

Цитировать
Да банальный Касперский.
При чём тут антивирус в кавычках? (Вы ведь его имеете в виду, да?)
Цитировать
Squid в том числе может быть полезен для задания ширины канала, всё под тот же Касперский.
HTB и прочие шейперы.

Цитировать
Еще есть ПО, для просмотра камер видеонаблюдения через https, почему бы в AD не сделать группу squid-vidcams и разрешить только ей доступ к этому ресурсу?
Потому что существуют такие вещи, как VLAN и VPN? Изолируете ваши камеры в отдельный сегмент и подключаетесь к нему, когда надо. А не надеетесь на кальмара и свою забывчивость.

Цитировать
А еще в Squid логах будет информация для будущих отчетов по использованию интернет
fprobe-ulog… Любая информация по трафику L4. Для L7 http - кальмар.

Цитировать
попробовал helper basic_ncsa_auth и юзера через файл /etc/squid3/users.txt, где с помощью apache-utils htpasswd сделал юзера test. все работает в консоли, а когда в squid3.conf вставляю, то не проходит авторизацию, постоянно переспрашивает пароль и в логах 407.
auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/users.txt
auth_param basic children 5
auth_param basic realm Squid Proxy-Caching Web Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
root@helpdesk:/etc/squid3# /usr/lib/squid3/basic_ncsa_auth /etc/squid3/users.txt
test test
OK
Если сама программа не умеет нужный вам метод авторизации, то вариант - настроить промежуточный прокси. Например на машине клиента.
basic_ncsa_auth не смотрит в AD и не удовлетворяет вашим условиям. А переспрашивает постоянно потому, что раньше у вас указано использовать АД, вот кальмар и ждёт АД юзеров.
http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory тут советуют юзать LDAP напрямую.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12130
  • Xubuntu 22.04
    • Просмотр профиля
    • Github
Re: Проблема с авторизацией basic в squid3
« Ответ #10 : 05 Ноября 2015, 11:11:19 »
Коллеги (оба), я вторично вас призываю - давайте поспокойнее.

Если не прекратите - будут приняты меры.
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: https://help.ubuntu.ru/wiki/uefiboot

Zaratustra

  • Автор темы
  • Гость
Re: Проблема с авторизацией basic в squid3
« Ответ #11 : 05 Ноября 2015, 11:22:30 »
Цитировать
А вы не допускаете мысли, что другие люди об этой проблеме могут знать несколько больше вас?
именно это я и допускаю, меня лишь возмущает ваш тон.

Цитировать
Как предполагается "категоризировать", "разграничивать" и "блокировать" доступ "к нежелательному контенту" для программы, которая постоянно подключена к одному-единственному серверу и шифрует трафик?
это не требуется, разграничение работает по пользователям, по принципу вкл/выкл.

Цитировать
При чём тут антивирус в кавычках? (Вы ведь его имеете в виду, да?)
Касперский, как пример программы, которая умеет работать через прокси.

Цитировать
HTB и прочие шейперы.
не нужны.

Цитировать
Потому что существуют такие вещи, как VLAN и VPN? Изолируете ваши камеры в отдельный сегмент и подключаетесь к нему, когда надо.
не интересует.

Цитировать
fprobe-ulog… Любая информация по трафику L4. Для L7 http - кальмар.
не интересует.

Цитировать
Если сама программа не умеет нужный вам метод авторизации, то вариант - настроить промежуточный прокси. Например на машине клиента.
городушка, не интересует.

Цитировать
basic_ncsa_auth не смотрит в AD и не удовлетворяет вашим условиям.
а я нигде не говорил что оно смотрит в АД. Это был пример использования basic по паролю из файла. Он тоже не работает в сквиде, хотя работает при запуске из консоли. То есть дело таки в сквиде.

Цитировать
А переспрашивает постоянно потому, что раньше у вас указано использовать АД, вот кальмар и ждёт АД юзеров.
Странное поведение сквида, об этом нигде не упоминается. В любом случае это не мой вариант, так как я полностью убирал настройку хелпера negotiate_kerberos_auth оставляя только basic по пользователю из файла и все равно у меня не пускает юзера test и постоянно переспрашивает логин и пароль.

Цитировать
http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory тут советуют юзать LDAP напрямую.
попробую.

Zaratustra

  • Автор темы
  • Гость
Re: Проблема с авторизацией basic в squid3
« Ответ #12 : 12 Ноября 2015, 05:04:30 »
ни у кого сквид не стоит что ли?

Zaratustra

  • Автор темы
  • Гость
Re: Проблема с авторизацией basic в squid3
« Ответ #13 : 13 Ноября 2015, 06:04:04 »
auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -s HTTP/helpdesk.set.rm.ru@SET.RM.RU
auth_param negotiate children 10
auth_param negotiate keep_alive on

auth_param basic program /usr/lib/squid3/basic_ncsa_auth /etc/squid3/users.txt
auth_param basic children 5
auth_param basic realm Squid Proxy-Caching Web Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl auth proxy_auth REQUIRED
acl basic_users proxy_auth "/etc/squid3/users.txt"


http_port 172.16.0.5:3128

acl black_list url_regex -i "/etc/squid3/black_list"

external_acl_type nt_group %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g Internet_Medium -D SET.RM.RU

acl Medium external nt_group

http_access deny black_list
http_access allow Medium
http_access allow auth
http_access allow basic_users
http_access deny all

access_log /var/log/squid3/access.log squid
logfile_rotate 100
конфиг на данный момент. negotiate работает, basic нет.
nt_group позволяет разграничивать доступ по группам в AD.
black_list закрывает доступ к определенным сайтам всем.
конфиг скорее для экспериментов, так как пока интернет раздается без участия прокси, как будет работать basic - можно будет ставить прокси в боевую.

Оффлайн shyatan007

  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: Проблема с авторизацией basic в squid3
« Ответ #14 : 13 Ноября 2015, 17:29:30 »
У вас на доменных машинах все должно работать через керберос.
При использовании на не доменных машинах используете авторизациию в браузере. Вводить нужно "Ваш Домен.Полностью\пользователь АД".
У меня на не доменных машинах так и работает. Basic-авторизацию не использую...

 

Страница сгенерирована за 0.103 секунд. Запросов: 25.