The OpenNET Project
 
Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ
  WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

Squid и LDAP-аутентификация из Active Directory (squid ldap auth proxy)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >> 
Ключевые слова: squid, ldap, auth, proxy,  (найти похожие документы)

From: Roman Shramko <http://dormestmass.blogspot.com>;
Date: Mon, 3 Jan 2008 14:31:37 +0000 (UTC)
Subject: Squid и LDAP-аутентификация из Active Directory

Оригинал: http://dormestmass.blogspot.com/2006/10/squid-ldap-active-directory.html

   Сегодня  возникла  необходимость  аутентифицировать  пользователей  на
   прокси.  Поскольку все они уже имеют учётные записи в ActiveDirectory,
   то было решено брать информацию оттуда.

   Сразу  оговорюсь, строил basic аутентификацию, т.к. посмотрев на танцы
   с  бубнами  вокруг  ntlm-authentication  &  kerberos  &  AD, решил что
   овчинка не стоит выделки.

   Подобную   схему   аутентификации  при  минимальных  переделках  можно
   применить  к любому дереву каталогов, например к Novell eDirectory или
   Netscape Directory Server...

   В системе должены быть установлены библиотеки openldap для последующей
   сборки squid.

   Сам  squid  должен  быть  собран  с  поддержкой basic аутентификации и
   внешних групп в LDAP. Ключи для конфигурации при ручной сборке:

        ... --enable-basic-auth-helpers=LDAP --enable-external-acl-helpers=ldap_group ...


   Наш домен в Active Directory называеться domain.com.

   Для  начала  заведём  в  дерево  несколько групп, пользователи которых
   могут  ходить  в  интернет. Почему несколько - вхождение в ту или иную
   группу  определяет  delay  pool  в squid. Скажем inet_64k, inet_128k и
   inet_1024k.  Для  отладки  делаем  тестового  пользователя test_inet c
   паролем 123456, и включаем его в группу inet_64k.

   Для   работы   с   каталогом   нам   необходим   пользователь,  в  нём
   зарегистрированный   и   умеющий   читать   оттуда  хэши  с  паролями.
   Применительнительно к Active Directory нам нужен обыкновенный юзер без
   особых привилегий :). В Novell eDirectory или Netscape Directory такая
   шутка  уже  не  прокатит  и  пользователю  нужно будет присвоить некие
   привилегии  для чтения паролей. Обозвём этого пользователя для примера
   squidreader.

   Теперь   проверяем   на   доступность   каталога   под   вышеуказанным
   пользователем.

        ldapsearch -D "squidreader@domain.com" -x -W -b "dc=domain,dc=com" -h 192.168.1.1


   В  результате выпольнения команды мы должны получить содержимое нашего
   АД.

   Маленькое  отступление.  Для  соединения с каталогом мы должны указать
   Distinguished  Name,  под  которым  мы  его  будем  читать. Так вот, в
   отличии  от нормальных LDAP каталогов, DN в Microsoft Active Directory
   мы можем извратиться, указав его как "squidreader@domain.com", либо же
   указать в нормальном виде как "cn=squidreader,dc=domain,dc=com".

   Дальше  проверяем  работу  работу  компонентов  squid.  Создаём файл с
   паролем  к  учётной  записи,  которой  мы  читаем,  к примеру он будет
   /usr/local/etc/squid/adpw.txt.

   Сначала проверяем группы.

        /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f \
        "(&(sAMAccountName=%v)(memberOf=cn=%a,dc=domain,dc=com))" -D squidreader@domain.com -W \
        /usr/local/etc/squid/adpw.txt 192.168.1.1


   В качестве запроса вводим строку в формате:
   имя_пользователя группа_пользователя

   Ответом  будет  либо  "ОК",  либо  "ERR".  В  нашем  случае  это будет
   "test_inet inet_64k".

   Естессно, что если у нас всё правильно работает, то ответ будет "ОК".
   Дальше проверяем аутентификацию.

        /usr/local/libexec/squid/squid_ldap_auth -R -D squidreader@domain.com -W \
        /usr/local/etc/squid/adpw.txt -b "dc=domain,dc=com" -f "sAMAccountName=%s" \
        192.168.1.1


   В качестве запроса вводим строку в формате:
   имя_пользователя пароль

   Ответы  такие  же  как и в прошлом случае. Вводим "test_inet 123456" и
   ждём ответа "ОК" :).

   Теперь конфигурим сам squid.

   Аутентификатор:

        auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D \
        squidreader@domain.com -W /usr/local/etc/squid/adpw.txt -b "dc=domain,dc=com" -f \
        "sAMAccountName=%s" 192.168.1.1


   Внешняя группа:

        external_acl_type ldap_users %LOGIN /usr/local/libexec/squid/squid_ldap_group -R -b \
        "dc=domain,dc=com" -f "(&(cn=%v)(memberOf=cn=%a,dc=domain,dc=com \
        ))" -D squidreader@domain.com -W /usr/local/etc/squid/adpw.txt 192.168.1.1


   Параметр  %LOGIN  в  описании  внешней  группы  указывает на то, перед
   проверкой   на   вхождение   в  эту  группу,  пользователя  необходимо
   аутентифицировать.

   Описание ACL:

        acl ad64 external ldap_users inet_64k
        acl ad128 external ldap_users inet_128k
        acl ad1024 external ldap_users inet_1024k


   Ну  и  последние  штрихи  -  разрешаем  данным ACL ходить в интернет и
   добавляем их в delay pool.

        ...
        http_access allow ad128
        ...
        delay_class 3 1
        delay_access 3 allow ad128
        delay_access 3 deny all
        ...

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ RSS ]
 
  • 1.1, Сергей, 10:38, 13/10/2008 [ответить] [смотреть все]
    		• +/
    Добрый день. За статью спасибо.
    По статье настраивал squid с диска debian 4.0 r4. Сразу столкнулся со следующими проблемами:
    1. Приведеный запрос squid_ldap_group корректно заработал только в следующем виде 1 - CN и DC - прописными буквами 2 - в строку (memberOf=cn=%a,dc=domain,dc=com) писал в виде (memberOf=CN=%a,CN=Users,DC=domain,DC=com), только тогда корректно определялась принадлежность пользователя к группе.
    2. После запуска прокси, если производить какие либо манипуляции с учетными записями пользователей (убрать пользователя из группы или добавить нового пользователя в группу), то прокси этих изменений не видит до тех пор, пока не сделаешь squid -k reconfigure.
    Вопрос по второму пункту - это только у меня он такой подслеповатый или это стандартное состояние при таком методе авторизации?
     
     
  • 2.2, andrei, 13:59, 12/12/2008 [^] [ответить] [смотреть все]
    		• +/
    Я думаю это особенность Дебиана, под Centos 4 и 5 все ок, a squid -k reconfigure это нормально. тож самое как /etc/init.d/squid reload
     
  • 1.3, ZmeY, 15:31, 24/12/2008 [ответить] [смотреть все]
    		• +/
    ttl=N в external_acl_type добавь и наступит счастье ;)
     
  • 1.4, Dima, 16:58, 03/04/2009 [ответить] [смотреть все]
    		• +/
    Люди, объясните плз. почему при запросе с консоли

    ./squid_ldap_auth -R -D ldapuser@domain.ru -w pass -b "dc=domain,dc=ru" -f "sAMAccountName=%s" -h 192.168.1.1 -d    =все ровно, при вводе юзернейма пассворда = ок

    Почему же блин, свид выдает вот такое в кэше:

    "Ldap search resultnothing"

    или LDAP search error 'referral' если использовать v 3

    ???
    Делал все по статье. Прошу помочь!

     
  • 1.5, Dima, 17:57, 03/04/2009 [ответить] [смотреть все]
    		• +/
    Все, вопрос снят!

    Надо чОтче смотреть орфографию при написании запроса )))

     
  • 1.6, Владимир, 14:21, 16/06/2009 [ответить] [смотреть все]  
    		• +/
    Люди, подскажите как сделать Ldap аутентификацию с AD через SSL плиз, т.е. все работает как написано в статье, но надо чтобы пароли в открытую не передавались по сетке
     
  • 1.7, Ilrandir, 14:03, 09/12/2009 [ответить] [смотреть все]  
    		• +/
    У меня нужно было еще не забыть добавить OU, например:
    /usr/local/libexec/squid/squid_ldap_group -R -b "dc=domain,dc=com" -f \
            "(&(sAMAccountName=%v)(memberOf=cn=%a,ou=InetGroups,dc=domain,dc=com))" -D squidreader@domain.com -W \
            /usr/local/etc/squid/adpw.txt 192.168.1.1
     
  • 1.8, Ilrandir, 13:59, 17/12/2009 [ответить] [смотреть все]  
    		• +/
    Хорошо и коротко разобрано введение Linux машины (прокси-сервера) в домен и настройка ntlm авторизации на Squid (т.е. без запроса логина/пароля броузером) тут:
    http://wiki.squid-cache.org/ConfigExamples/Authenticate/NtlmCentOS5

    У меня возникла проблема при вводе в домен
    Failed to set servicePrincipalNames.
    Которая решилась исправлением /etc/hosts.
    Было:
    127.0.0.1               my-proxy localhost
    Нужно прописать:
    127.0.0.1               my-proxy my-proxy.mydomain.local localhost

    Чтобы Firefox мог проходить ntlm авторизацию, вроде достаточно открыть в адресной строке about:config и изменить параметры на такие:
    network.negotiate-auth.delegation-uris = http://,https://
    network.negotiate-auth.trusted-uris = http://,https://

     
  • 1.9, Casper, 10:54, 10/08/2011 [ответить] [смотреть все]  
    		• +/
    аутентификация из командной строки проходит на ура usr lib squid squid_ldap_gr... весь текст скрыт [показать]
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:



    АКЦИЯ! ПОДПИШИСЬ на журнал Linux Format до 31 января 2012 года и выиграй СУПЕРПРИЗ!

    Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи.

    Каждый, кто оформит подписку, получает бонус- объёмные наклейки на системный блок и подарки: с одним из первых выпусков журнала в 2012 году- диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате.

    Подробнее о проведении акции вы можете прочитать на странице сайта.


      Закладки на сайте
      Проследить за страницей     		Created 1996-2012 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList