LINUX.ORG.RU
ФорумAdmin

ntlm авторизация в squid3.3.8 centos7

 , ,


0

1

Здравствуйте. Есть проблема и надеюсь Вы поможете мне с ней справиться (=

AD 2003, пользователи на винде. Хочу сделать ntlm-авторизацию. Centos в домене. Тепрь суть.

wbinfo -u
wbinfo -g
списки получаю

___________________________________________________________
/var/log/squid/cache.log

You MUST specify at least one Domain Controller.
You can use either \ or / as separator between the domain name
and the controller name
2015/08/05 07:03:40 kid1| WARNING: ntlmauthenticator #1 exited
2015/08/05 07:03:40 kid1| Too few ntlmauthenticator processes are running (need 1/20)
2015/08/05 07:03:40 kid1| Starting new helpers
2015/08/05 07:03:40 kid1| helperOpenServers: Starting 1/20
'ntlm_smb_lm_auth' processes unknown option: -l. Exiting
(ntlm_smb_lm_auth) usage: (ntlm_smb_lm_auth) [-b] [-f] [-d] [-l] domain\controller [domain\controller ...]
-b enables load-balancing among controllers
-f enables failover among controllers (DEPRECATED and always active)
-d enables debugging statements if DEBUG was defined at build-time.

You MUST specify at least one Domain Controller.
You can use either \ or / as separator between the domain name and the controller name
2015/08/05 07:03:40 kid1| WARNING: ntlmauthenticator #1 exited
2015/08/05 07:03:40 kid1| Too few ntlmauthenticator processes are running (need 1/20)
2015/08/05 07:03:40 kid1| Starting new helpers
2015/08/05 07:03:40 kid1| helperOpenServers: Starting 1/20 'ntlm_smb_lm_auth' processes
unknown option: -l. Exiting
(ntlm_smb_lm_auth) usage:
(ntlm_smb_lm_auth) [-b] [-f] [-d] [-l] domain\controller [domain\controller ...]
-b enables load-balancing among controllers -f enables failover among controllers (DEPRECATED and always active)
-d enables debugging statements if DEBUG was defined at build-time.
__________________________________________________________
Часть конфигурации squid.conf на счет авторизации

### pure ntlm authentication
#auth_param ntlm program /usr/lib64/squid/ntlm_smb_lm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=«MY_DOMAIN\\squid_gr»
auth_param ntlm program /usr/lib64/squid/ntlm_smb_lm_auth -d -l MY_DOMAIN\\dc MY_DOMAIN\\dc
#auth_param ntlm children = 10
auth_param ntlm keep_alive off

external_acl_type nt_group children-max=100 ttl=150 %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl

acl squid_name external nt_group domain_group_name

###------------nt_group
#acl no_inet external nt_group no_inet
#acl speed_limit external nt_group speed_limit
#acl full_inet external nt_group full_inet
acl user_proxy external nt_group squid_gr
#acl normal_inet external nt_group normal_inet

### acl for proxy auth and ldap authorizations
acl auth proxy_auth REQUIRED

### enforce authentication
#http_access deny !auth
http_access allow auth
#http_access deny all

#тут закрываем доступ к сайтам
acl deny_url dstdom_regex -i «/etc/squid/badsites»

http_access deny user_proxy deny_url

#закрываем доступ в инет
http_access deny no_inet
_________________________________________________________

/var/log/squid/access.log

1438767913.102 2 192.168.16.101 TCP_DENIED/407 4171 GET http://ya.ru/ - HIER_NONE/- text/html
1438767914.482 59 192.168.16.101 TCP_DENIED/407 4299 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1438767914.490 5 192.168.16.101 TCP_DENIED/407 4397 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1438767915.525 0 192.168.16.101 TCP_DENIED/407 3881 GET http://ya.ru/favicon.ico - HIER_NONE/- text/html
_________________________________________________________

Браузер просит авторизаци. при открытии сайтов, но не авторизируется. FirewallD выключен Домен контроллеры пингуются.

Спасибо за любую помощь



Последнее исправление: Reilag (всего исправлений: 2)

Ответ на: комментарий от dada

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MY_DOMAIN.COM

[realms]
MY_DOMAIN.COM = {
default_domain =MY_DOMAIN.COM
kdc = dc1.MY_DOMAIN.COM:
kdc = dc2.MY_DOMAIN.COM
admin_server = dc1.my_domain.com:749
}

[domain_realm]
my_domain.com = MY_DOMAIN.COM

Reilag
() автор топика
Ответ на: комментарий от Reilag

Конечно вместо dc1 и dc2 мои домен котроллеры, двоеточие после kdc = dc1.MY_DOMAIN.COM: убрал, перезапустил

Reilag
() автор топика

А машина в домен ввелась нормально? 

#id domain_username
отрабатывает?

Хелперы принадлежность к группе определяют?

kravzo ★★
()

Выкинь NTLM и самбу, сделай чистым керберосом + группы через LDAP. Рекомендации ведущих собаководов.

blind_oracle ★★★★★
()
Ответ на: комментарий от Reilag

вот тут я мучался с пинанием самбы через авторизацию в бд. может поможет тебе.

dada ★★★★★
()

на кой ляд нтлм, если можно сделать чистый керберос? ntlm-хелпер при выдаёт положительный результат? 

# /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
mydomain+myuser mypasswd
OK
Я настраивал связку squid+AD+kerberos+LDAP+NTLM(для машин не в домене) по этому мануалу на squid-wiki: http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory только без negotiate_wraper используя штатный negotiate_kerberos_auth.

cetriolino
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin