forum.opennet.ru

Форум Открытые системы на сервере (Учет трафика, статистика / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

squid и ldap+kerberos аутентификация в домене Active Directory, Man (ok), 05-Ноя-14, (0) [смотреть все]

НельзяУ squid логика first match winsСрабатывает первый подходящий http_accessЕс, ruatra (?), 14:10 , 05-Ноя-14, (1) //

Так в том и дело, что если даже подходящий не ldap http_access гарантированно , Man (ok), 14:25 , 05-Ноя-14, (2) //

Чтобы проверить ad- нужно имя пользователя Браузер может передать данные локаль, ruatra (?), 06:06 , 06-Ноя-14, (3) //

Это-то понятно Вот и нужно, чтоб не запрашивал ничего, а следующие правила пров, Man (ok), 07:20 , 06-Ноя-14, (4)

Это правила доступа Если не хватает входных данных для проверки то они запрашива, ruatra (?), 08:05 , 06-Ноя-14, (5)

А может лучше попробовать srcdom_regex -i вместо просто src, Сергей (??), 18:27 , 06-Ноя-14, (6)

что это даст , Man (ok), 11:00 , 07-Ноя-14, (7)

Возникла еще проблема с подключением QIP Infium Лог , Man (ok), 11:23 , 07-Ноя-14, (8) //

Что значит криво авторизуется Вы вводите логин пароль и он работает У вас зада, koblin (ok), 12:42 , 07-Ноя-14, (9) //

Задача рулить контент, скорость, порты, адреса и т д интернетом на основе доме, Man (ok), 20:58 , 07-Ноя-14, (10) //

А вам не приходило в годову, что он рекламу запрашивает, которая подпадает под , Сергей (??), 22:18 , 09-Ноя-14, (11)

1 CONNECT ping3 teamviewer com 443 HTTP 1 1 - похоже на рекламу 2 В любом сл, Man (ok), 06:57 , 10-Ноя-14, (12)

А могут запросы авторизации в вышеуказанных программах быть как-то связаны с пер, Man (ok), 06:58 , 10-Ноя-14, (13)

Сообщения [Сортировка по времени | RSS]

10. "squid и ldap+kerberos аутентификация в домене Active Directory" +/–

Сообщение от Man (ok), 07-Ноя-14, 20:58

> Что значит криво авторизуется? Вы вводите логин/пароль и он работает. У вас
> задача какая стоит?
Задача рулить (контент, скорость, порты, адреса и т.д) интернетом на основе доменных групп AD. И чтобы на рабочих станциях у доменных пользователей любая "разрешенная" софтина (Браузер, ICQ, Skype, TeamViewer, AmmyAdmin и др..) имела доступ в интернет без необходимости вводить (в том числе и сохранять в этих софтинах) логины и пароли.
В домене около 400 пользователей.
Пока что нормально работают только браузеры.
TeamViewer, кстати, тоже очень странно себя ведет. При его запуске в лог падают строки:
192.168.4.60 - - [07/Nov/2014:23:41:11 +0600] "CONNECT ping3.teamviewer.com:443 HTTP/1.1" 407 3822 TCP_DENIED:NONE
И выскакивает окно с запросом логина и пароля. Если его просто закрыть, ничего не вводя, то он успешно соединяется со своим сервером, получает ID и одноразовый пароль.

Ответить | Правка | Наверх | Cообщить модератору

11. "squid и ldap+kerberos аутентификация в домене Active Directory" +/–

Сообщение от Сергей (??), 09-Ноя-14, 22:18

> TeamViewer, кстати, тоже очень странно себя ведет. При его запуске в лог
> падают строки:
> 192.168.4.60 - - [07/Nov/2014:23:41:11 +0600] "CONNECT ping3.teamviewer.com:443 HTTP/1.1"
> 407 3822 TCP_DENIED:NONE
> И выскакивает окно с запросом логина и пароля. Если его просто закрыть,
> ничего не вводя, то он успешно соединяется со своим сервером, получает
> ID и одноразовый пароль.
А вам не приходило в годову, что он рекламу запрашивает, которая подпадает под правила с аутенфикацией

Ответить | Правка | Наверх | Cообщить модератору

12. "squid и ldap+kerberos аутентификация в домене Active Directory" +/–

Сообщение от Man (ok), 10-Ноя-14, 06:57

> А вам не приходило в годову, что он рекламу запрашивает, которая
> подпадает под правила с аутенфикацией
1) "CONNECT ping3.teamviewer.com:443 HTTP/1.1" - похоже на рекламу?
2) В любом случае, что ему мешает аутентифицироваться, зачем спрашивает логин-пароль? И почему он все-таки проходит аутентификацию, когда я нажимаю отмену?
===============================================================
192.168.4.60 - - [10/Nov/2014:10:28:29 +0600] "GET http://ping3.teamviewer.com/din.aspx? HTTP/1.1" 407 3975 TCP_DENIED:NONE
192.168.4.60 - User@DOMAIN.LOC [10/Nov/2014:10:28:29 +0600] "GET http://ping3.teamviewer.com/din.aspx? HTTP/1.1" 200 587 TCP_MISS:DIRECT
===============================================================
Логика где?
3) Под правила с аутентификацией, если посмотреть конфиг, подпадают абсолютно все запросы от доменных компов.

Ответить | Правка | Наверх | Cообщить модератору

13. "squid и ldap+kerberos аутентификация в домене Active Directory" +/–

Сообщение от Man (ok), 10-Ноя-14, 06:58

А могут запросы авторизации в вышеуказанных программах быть как-то связаны с перечисленными в krb5.conf типами шифрования (rc4-hmac des-cbc-crc des-cbc-md5)?
http://pastebin.com/7Uh05y6E - /etc/krb5.conf

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	10. "squid и ldap+kerberos аутентификация в домене Active Directory"	+/–
	Сообщение от Man (ok), 07-Ноя-14, 20:58
	> Что значит криво авторизуется? Вы вводите логин/пароль и он работает. У вас > задача какая стоит? Задача рулить (контент, скорость, порты, адреса и т.д) интернетом на основе доменных групп AD. И чтобы на рабочих станциях у доменных пользователей любая "разрешенная" софтина (Браузер, ICQ, Skype, TeamViewer, AmmyAdmin и др..) имела доступ в интернет без необходимости вводить (в том числе и сохранять в этих софтинах) логины и пароли. В домене около 400 пользователей. Пока что нормально работают только браузеры. TeamViewer, кстати, тоже очень странно себя ведет. При его запуске в лог падают строки: 192.168.4.60 - - [07/Nov/2014:23:41:11 +0600] "CONNECT ping3.teamviewer.com:443 HTTP/1.1" 407 3822 TCP_DENIED:NONE И выскакивает окно с запросом логина и пароля. Если его просто закрыть, ничего не вводя, то он успешно соединяется со своим сервером, получает ID и одноразовый пароль.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "squid и ldap+kerberos аутентификация в домене Active Directory"	+/–
	Сообщение от Сергей (??), 09-Ноя-14, 22:18
	> TeamViewer, кстати, тоже очень странно себя ведет. При его запуске в лог > падают строки: > 192.168.4.60 - - [07/Nov/2014:23:41:11 +0600] "CONNECT ping3.teamviewer.com:443 HTTP/1.1" > 407 3822 TCP_DENIED:NONE > И выскакивает окно с запросом логина и пароля. Если его просто закрыть, > ничего не вводя, то он успешно соединяется со своим сервером, получает > ID и одноразовый пароль. А вам не приходило в годову, что он рекламу запрашивает, которая подпадает под правила с аутенфикацией
	Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "squid и ldap+kerberos аутентификация в домене Active Directory"	+/–
	Сообщение от Man (ok), 10-Ноя-14, 06:57
	> А вам не приходило в годову, что он рекламу запрашивает, которая > подпадает под правила с аутенфикацией 1) "CONNECT ping3.teamviewer.com:443 HTTP/1.1" - похоже на рекламу? 2) В любом случае, что ему мешает аутентифицироваться, зачем спрашивает логин-пароль? И почему он все-таки проходит аутентификацию, когда я нажимаю отмену? =============================================================== 192.168.4.60 - - [10/Nov/2014:10:28:29 +0600] "GET http://ping3.teamviewer.com/din.aspx? HTTP/1.1" 407 3975 TCP_DENIED:NONE 192.168.4.60 - User@DOMAIN.LOC [10/Nov/2014:10:28:29 +0600] "GET http://ping3.teamviewer.com/din.aspx? HTTP/1.1" 200 587 TCP_MISS:DIRECT =============================================================== Логика где? 3) Под правила с аутентификацией, если посмотреть конфиг, подпадают абсолютно все запросы от доменных компов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "squid и ldap+kerberos аутентификация в домене Active Directory"	+/–
	Сообщение от Man (ok), 10-Ноя-14, 06:58
	А могут запросы авторизации в вышеуказанных программах быть как-то связаны с перечисленными в krb5.conf типами шифрования (rc4-hmac des-cbc-crc des-cbc-md5)? http://pastebin.com/7Uh05y6E - /etc/krb5.conf
	Ответить \| Правка \| Наверх \| Cообщить модератору