LINUX.ORG.RU
ФорумAdmin

squid + LDAP - почему спрашивает пароль?


0

2

настраиваю авторизацию сквида в АД win 2003. Получается так, что у пользователя всеравно спрашивается имя пользоватея и пароль. До этого настраивал через ntlm_auth на slackware - там все правельно отрабатывалось. Сейчас настраиваю на дебиане, но хочу авторизацию через ldap сделать. Так то вроде настроил, но получается, что браузер всеравно спрашивает пароль. А можно ли по этой схеме избежать того, чтоб спрашивал пароль или это только на ntlm возможно? Вот, собственно мой конфиг:

★★★

cache_mgr root@proxy.mydomain.local


auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b «dc=mydomain,dc=local» -D squid@mydomain.local -W /etc/squid3/adpw.txt -f sAMAccountName=%s 10.128.11.5
auth_param basic children 10
auth_param basic realm Internet Proxy Web Server
auth_param basic credentialsttl 1 minute


external_acl_type internet_users ttl=10 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b «dc=mydomain,dc=local» -f "(&(objectClass=person)(sAMAccountName=%v)(memberOf=cn=InternetUsers-gr,ou=Internet-Groups,dc=mydomain,dc=local))" -D
squid@mydomain.local -W /etc/squid3/adpw.txt 10.128.11.5


acl auth proxy_auth REQUIRED
acl RestrictedAccessLog external internet_users InternetUsers-gr
acl whitelistsites url_regex -i «/etc/squid3/whitelistsites.txt»
acl blockedsites url_regex -i «/etc/squid3/blockedsites.txt»

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

no_cache deny whitelistsites
http_access allow whitelistsites

access_log /var/log/squid3/access.log squid


http_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320


cache_effective_user squid
cache_effective_group squid

deys ★★★ ()

пароль не спрашивается только в ntlm_auth и только если клиент поддерживает NTLM аутентификацию.
для линуксвых клиентов можно попробовать krb5_auth - поддержку керберос в клиентах тоже придется настраивать, впрочем, как и поднимать керберос сервер, если у тебя его нет.

aol ★★★★★ ()
Ответ на: комментарий от aol

у меня АД на 2003й винде. Клиенты все с ХРюшками за исключением нескольких компов с семеркой и моего с линуксом.

Ладно, буду настраивать тогда ntlm-авторизацию, раз чере ldap не получится, чтоб не спрашивал пароль

deys ★★★ ()
Ответ на: комментарий от no-dashi

понятно дело, что есть. Вопрос именно был в том, как избежать того, что в браузере выкидывается окно для ввода логина с паролем

deys ★★★ ()
Ответ на: комментарий от deys

Да, для генерации кейтаба можно использовать виндовый ktpass вместо msktutil.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

эммм, а кто из БРАУЗЕРОВ умеет авторизовывать по керберосу? По NTLM умеет firefox, ЕМНИП

Про то, что керберос - это основа single sign on, я кагбе в курсе...

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Гы. IE6 и выше, Firefox, Chrome. Все они умеют использовать данные пользователя из домена, так что вводить пароль кроме как для логина в винду не надо.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

PS. IE вроде как стабильно авторизует начиная с версии 7, но я думаю сейчас у всех в компаниях минимум 8.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

Все они умеют использовать данные пользователя из домена

повторюсь еще раз - мне непонятно, они это делают используя Kerberos или NTLM?

Pinkbyte ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Керберос. NTLM у меня в сквиде вообще никак не настроен, но при этом всё работает. Читай ссылку выше из вики сквида, там всё разжёвано.

blind_oracle ★★★★★ ()
Ответ на: комментарий от Pinkbyte

Да не за что, достаточно стабильная и удобная схема, в связке с squid_ldap_group работает у меня уже третий год без нареканий.

blind_oracle ★★★★★ ()
Ответ на: комментарий от blind_oracle

может ли сквид не переспрашивать пароль если пользователь авторизовался в самба домене с ldap

(сервер zentyal 2.2)

anonymous ()
Ответ на: комментарий от blind_oracle

Спасибо! После некоторых действий по этой ссылке все заработало как надо. Пароль больше не спрашивает. В логах единственная разница стала. Если раньше пользователь писался просто «user», то сейчас пишется user@MYDOMAYN.LOCAL

Сейчас пытаюсь осмыслить, после каких именно действий все стало нормально. Что сделал:

добавил в начале конфига

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -s HTTP/proxy.mydomayn.local@MYDOMAIN.LOCAL
auth_param negotiate children 10
auth_param negotiate keep_alive on

в этой строке добавил -S -K -d

external_acl_type internet_users ttl=10 %LOGIN /usr/lib/squid3/squid_ldap_group -S -K -R -b «dc=mydomain,dc=local» -f "(&(objectClass=person)(sAMAccountName=%v)(memberOf=cn=InternetUsers-gr,ou=Internet-Groups,dc=mydomain,dc=local))" -D
squid@mydomain.local -W /etc/squid3/adpw.txt 10.128.11.5 -d

и еще из статейки по ссылке сделал следующие действия:

export KRB5_KTNAME=FILE:/etc/squid3/PROXY.keytab
net ads keytab CREATE
net ads keytab ADD HTTP
unset KRB5_KTNAME

по сути больше ничего другого не делал.

ну и на всякий случай оригинал статьи, откуда настраивал изначально

http://www.alldebian.ru/debian-squeeze-squid-kerberosldap-active-directory-cy...

deys ★★★ ()
Ответ на: комментарий от deys

заметил еще одну интересную вещь. Если прокси прописан айпишником, то не работает, а если прописан как proxy.mydomain.local, то все прекрасно работает

deys ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.