The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Squid kerberos ntlm ldap"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Авторизация и аутентификация, LDAP / Linux)
Изначальное сообщение [ Отслеживать ]

"Squid kerberos ntlm ldap"  +/
Сообщение от McLeod095 (ok) on 23-Янв-14, 12:09 
Всем доброго времени суток!

Есть настроенный squid 3.1.10 на centos 6.5
Настроена kerberos авториазция и все вроде нормально

auth_param     negotiate       program /usr/lib64/squid/negotiate_wrapper_auth --ntlm /usr/lib64/squid/ntlm_smb_lm_auth -d -b  DOMAIN/DC02 DOMAIN/DC01 --kerberos /usr/lib64/squid/negotiate_kerberos_auth -r
auth_param     negotiate       children        20
auth_param     negotiate       keep_alive      off

auth_param     ntlm            program /usr/lib64/squid/ntlm_smb_lm_auth -b DOMAIN/DC01 DOMAIN/DC02
auth_param     ntlm            children        20
auth_param     ntlm            keep_alive      off

auth_param      basic           program /usr/lib64/squid/squid_ldap_auth -R -b "dc=domain,dc=com" -D "proxy_user@domain.com" -W /etc/squid/proxy_user.pass.txt -f sAMAccountName=%s 192.168.0.1 192.168.0.2
auth_param      basic           children        20

external_acl_type       ldap_group      ipv4 children=10 ttl=60 %LOGIN  /usr/lib64/squid/squid_ldap_group -d -b dc=domain,dc=com -f "(&(objectCategory=person)(objectClass=user)(sAMAccountName=%v)(memberOf=CN=%a,OU=Techno,DC=domain,DC=com))" -D proxy_user@domain.com -W /etc/squid/proxy_user.pass.txt -R -K -p 3268 192.168.0.1 192.168.0.2

Если заходить с раб станции которая в домене то все норм, пользователь авторизуется зачастую через kerberos и этого достаточно. Но вот если попытаться зайти с раб станции которая не в домене, то не получается авторизоваться, просто говорит что нет доступа и все, хотя вроде должно выводиться приглашение ввести логин и пароль при basic авторизации

Может у кого есть аналогичная конфигурация и он может помочь.

И самое странное что не работает только вроде с виндовых клиентов. С никсов и с мака вроде все норм.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Squid kerberos ntlm ldap"  +/
Сообщение от mcshel email(ok) on 23-Янв-14, 12:41 
>[оверквотинг удален]
> -D proxy_user@domain.com -W /etc/squid/proxy_user.pass.txt -R -K -p 3268 192.168.0.1
> 192.168.0.2
> Если заходить с раб станции которая в домене то все норм, пользователь
> авторизуется зачастую через kerberos и этого достаточно. Но вот если попытаться
> зайти с раб станции которая не в домене, то не получается
> авторизоваться, просто говорит что нет доступа и все, хотя вроде должно
> выводиться приглашение ввести логин и пароль при basic авторизации
> Может у кого есть аналогичная конфигурация и он может помочь.
> И самое странное что не работает только вроде с виндовых клиентов. С
> никсов и с мака вроде все норм.

Скорее всего в IE надо убрать галочку: Свойства обозревателя-> Дополнительно -> Секция безопасность Разрешить встроенную проверку подлинности Windows. Потом обязательно перезапуcтить IE

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Squid kerberos ntlm ldap"  +/
Сообщение от opri on 23-Янв-14, 16:31 
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Squid kerberos ntlm ldap"  +/
Сообщение от McLeod095 (ok) on 24-Янв-14, 15:19 
> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba, что не очень хочется в связи с тем что сервер находится в дмз, и ему samba вообще не нужна.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Squid kerberos ntlm ldap"  +/
Сообщение от Mvairs (ok) on 28-Янв-14, 17:56 
>> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
> Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba,
> что не очень хочется в связи с тем что сервер находится
> в дмз, и ему samba вообще не нужна.

Проблема скорее всего в том что он пытается авторизоваться через NTLM - посмотрите cache.log, у меня пишет BH received type 1 NTLM token, кстати если оставить браузер включеным на 5 минут и попробовать еще раз то все нормально, так же хотел бы узнать решили ли Вы проблему ?:)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Squid kerberos ntlm ldap"  +/
Сообщение от McLeod095 (ok) on 28-Янв-14, 18:20 
>>> auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
>> Для того что бы использовать данный хелпер, необходимо ставить и настраивать samba,
>> что не очень хочется в связи с тем что сервер находится
>> в дмз, и ему samba вообще не нужна.
> Проблема скорее всего в том что он пытается авторизоваться через NTLM -
> посмотрите cache.log, у меня пишет BH received type 1 NTLM token,
> кстати если оставить браузер включеным на 5 минут и попробовать еще
> раз то все нормально, так же хотел бы узнать решили ли
> Вы проблему ?:)

Пока не решил.
Но даже по логике должно работать по другому.

Первая попытка авторизации происходит при получении браузером запроса на авториазцию где будет выставлен метод negotiate. После чего отправляется ответ, и на стороне сквида идет анализ ответа и авторизация или по kerberos или ntlm. Но если авторизация не прошла по идее должен идти второй запрос авторизации при указании что надо авторизоваться обычным методом. И вот где-то здесь происходит затык. При этом если использовать никсы или мак то все норм работает а вот на винде которая не в домене никак не хочет.

И кстати еще трабла, можно ли заставить ntlm_auth писать в лог имя пользователя без домена? а то потом трудно тем же lightsquid отчеты делать

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Squid kerberos ntlm ldap"  +/
Сообщение от Mvairs (ok) on 29-Янв-14, 14:46 
>[оверквотинг удален]
> будет выставлен метод negotiate. После чего отправляется ответ, и на стороне
> сквида идет анализ ответа и авторизация или по kerberos или ntlm.
> Но если авторизация не прошла по идее должен идти второй запрос
> авторизации при указании что надо авторизоваться обычным методом. И вот где-то
> здесь происходит затык. При этом если использовать никсы или мак то
> все норм работает а вот на винде которая не в домене
> никак не хочет.
> И кстати еще трабла, можно ли заставить ntlm_auth писать в лог имя
> пользователя без домена? а то потом трудно тем же lightsquid отчеты
> делать

Кстати тут ещё вопрос авторизации в скайпе Skype клиент банках через проксю и прочее =\
Для таких сервисов нужна basic =\

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру