squid + LDAP - почему спрашивает пароль?

0

2

настраиваю авторизацию сквида в АД win 2003. Получается так, что у пользователя всеравно спрашивается имя пользоватея и пароль. До этого настраивал через ntlm_auth на slackware - там все правельно отрабатывалось. Сейчас настраиваю на дебиане, но хочу авторизацию через ldap сделать. Так то вроде настроил, но получается, что браузер всеравно спрашивает пароль. А можно ли по этой схеме избежать того, чтоб спрашивал пароль или это только на ntlm возможно? Вот, собственно мой конфиг:

Ссылка

←	1С 8.2 - где там консоль?

qcow2 on LVM - что бы почитать?

→

cache_mgr root@proxy.mydomain.local

auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b «dc=mydomain,dc=local» -D squid@mydomain.local -W /etc/squid3/adpw.txt -f sAMAccountName=%s 10.128.11.5
auth_param basic children 10
auth_param basic realm Internet Proxy Web Server
auth_param basic credentialsttl 1 minute

external_acl_type internet_users ttl=10 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b «dc=mydomain,dc=local» -f "(&(objectClass=person)(sAMAccountName=%v)(memberOf=cn=InternetUsers-gr,ou=Internet-Groups,dc=mydomain,dc=local))" -D
squid@mydomain.local -W /etc/squid3/adpw.txt 10.128.11.5

acl auth proxy_auth REQUIRED
acl RestrictedAccessLog external internet_users InternetUsers-gr
acl whitelistsites url_regex -i «/etc/squid3/whitelistsites.txt»
acl blockedsites url_regex -i «/etc/squid3/blockedsites.txt»

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

no_cache deny whitelistsites
http_access allow whitelistsites

access_log /var/log/squid3/access.log squid

http_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

cache_effective_user squid
cache_effective_group squid

deys ★★★
(12.12.11 08:18:03 MSK) автор топика

Ссылка

пароль не спрашивается только в ntlm_auth и только если клиент поддерживает NTLM аутентификацию.
для линуксвых клиентов можно попробовать krb5_auth - поддержку керберос в клиентах тоже придется настраивать, впрочем, как и поднимать керберос сервер, если у тебя его нет.

aol ★★★★★
(12.12.11 08:22:54 MSK)

Ответ на: комментарий от aol 12.12.11 08:22:54 MSK

у меня АД на 2003й винде. Клиенты все с ХРюшками за исключением нескольких компов с семеркой и моего с линуксом.

Ладно, буду настраивать тогда ntlm-авторизацию, раз чере ldap не получится, чтоб не спрашивал пароль

deys ★★★
(12.12.11 08:39:34 MSK) автор топика

Ссылка

Ответ на: комментарий от aol 12.12.11 08:22:54 MSK

прочем, как и поднимать керберос сервер, если у тебя его нет.

Если есть AD, то и керберос есть.

~~no-dashi~~ ★★★★★
(12.12.11 08:42:59 MSK)

Ответ на: комментарий от no-dashi 12.12.11 08:42:59 MSK

понятно дело, что есть. Вопрос именно был в том, как избежать того, что в браузере выкидывается окно для ввода логина с паролем

deys ★★★
(12.12.11 08:49:01 MSK) автор топика

Ответ на: комментарий от deys 12.12.11 08:49:01 MSK

в виндовых клиентах из нативных средств - только NTLM

Pinkbyte ★★★★★
(12.12.11 08:59:49 MSK)

Ответ на: комментарий от Pinkbyte 12.12.11 08:59:49 MSK

Бред. Керберос тоже вполне авторизует прозрачно.

blind_oracle ★★★★★
(12.12.11 09:29:16 MSK)

Ответ на: комментарий от deys 12.12.11 08:49:01 MSK

Вот так: http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos

У меня работает давно и успешно.

blind_oracle ★★★★★
(12.12.11 09:29:34 MSK)

Ответ на: комментарий от deys 12.12.11 08:49:01 MSK

Да, для генерации кейтаба можно использовать виндовый ktpass вместо msktutil.

blind_oracle ★★★★★
(12.12.11 09:30:48 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 12.12.11 09:29:16 MSK

эммм, а кто из БРАУЗЕРОВ умеет авторизовывать по керберосу? По NTLM умеет firefox, ЕМНИП

Про то, что керберос - это основа single sign on, я кагбе в курсе...

Pinkbyte ★★★★★
(12.12.11 10:48:00 MSK)

Ответ на: комментарий от Pinkbyte 12.12.11 10:48:00 MSK

Гы. IE6 и выше, Firefox, Chrome. Все они умеют использовать данные пользователя из домена, так что вводить пароль кроме как для логина в винду не надо.

blind_oracle ★★★★★
(12.12.11 11:09:46 MSK)

Ответ на: комментарий от blind_oracle 12.12.11 11:09:46 MSK

PS. IE вроде как стабильно авторизует начиная с версии 7, но я думаю сейчас у всех в компаниях минимум 8.

blind_oracle ★★★★★
(12.12.11 11:11:07 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 12.12.11 11:09:46 MSK

Все они умеют использовать данные пользователя из домена

повторюсь еще раз - мне непонятно, они это делают используя Kerberos или NTLM?

Pinkbyte ★★★★★
(12.12.11 11:17:50 MSK)

Ответ на: комментарий от Pinkbyte 12.12.11 11:17:50 MSK

Керберос. NTLM у меня в сквиде вообще никак не настроен, но при этом всё работает. Читай ссылку выше из вики сквида, там всё разжёвано.

blind_oracle ★★★★★
(12.12.11 11:21:22 MSK)

Ответ на: комментарий от blind_oracle 12.12.11 11:21:22 MSK

спасибо за ссылку, прочел, проникся...

Pinkbyte ★★★★★
(12.12.11 11:25:24 MSK)

Ответ на: комментарий от Pinkbyte 12.12.11 11:25:24 MSK

Да не за что, достаточно стабильная и удобная схема, в связке с squid_ldap_group работает у меня уже третий год без нареканий.

blind_oracle ★★★★★
(12.12.11 11:44:43 MSK)

Ответ на: комментарий от blind_oracle 12.12.11 11:44:43 MSK

может ли сквид не переспрашивать пароль если пользователь авторизовался в самба домене с ldap

(сервер zentyal 2.2)

anonymous
(12.12.11 17:52:19 MSK)

Ответ на: комментарий от anonymous 12.12.11 17:52:19 MSK

Если нет кербероса - вряд-ли.

blind_oracle ★★★★★
(12.12.11 17:58:47 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 12.12.11 09:29:34 MSK

Спасибо! После некоторых действий по этой ссылке все заработало как надо. Пароль больше не спрашивает. В логах единственная разница стала. Если раньше пользователь писался просто «user», то сейчас пишется user@MYDOMAYN.LOCAL

Сейчас пытаюсь осмыслить, после каких именно действий все стало нормально. Что сделал:

добавил в начале конфига

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -s HTTP/proxy.mydomayn.local@MYDOMAIN.LOCAL
auth_param negotiate children 10
auth_param negotiate keep_alive on

в этой строке добавил -S -K -d

external_acl_type internet_users ttl=10 %LOGIN /usr/lib/squid3/squid_ldap_group -S -K -R -b «dc=mydomain,dc=local» -f "(&(objectClass=person)(sAMAccountName=%v)(memberOf=cn=InternetUsers-gr,ou=Internet-Groups,dc=mydomain,dc=local))" -D
squid@mydomain.local -W /etc/squid3/adpw.txt 10.128.11.5 -d

и еще из статейки по ссылке сделал следующие действия:

export KRB5_KTNAME=FILE:/etc/squid3/PROXY.keytab
net ads keytab CREATE
net ads keytab ADD HTTP
unset KRB5_KTNAME

по сути больше ничего другого не делал.

ну и на всякий случай оригинал статьи, откуда настраивал изначально

http://www.alldebian.ru/debian-squeeze-squid-kerberosldap-active-directory-cy...

deys ★★★
(13.12.11 07:12:28 MSK) автор топика

Ответ на: комментарий от deys 13.12.11 07:12:28 MSK

заметил еще одну интересную вещь. Если прокси прописан айпишником, то не работает, а если прописан как proxy.mydomain.local, то все прекрасно работает

deys ★★★
(13.12.11 10:45:37 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	1С 8.2 - где там консоль?

Admin

qcow2 on LVM - что бы почитать?

→

Похожие темы