squid 3 + AD

0

2

Доброго времени суток, я нуб.(теги cut почемуто не работают -> стена текста, подскажете как сделать спойлер - исправлю тему). Требуется squid с прозрачной авторизацией (браузеры хромиумы и файрфокс поддерживают, шаблоны для назначения прокси для этих бразуеров работают нормально) в AD (win 2008r2) и собственно раздавать интернет по группам. Пробовал Debian6+squid3+smb+winbind, но ntlm_auth --username=user --domain=domain --diagnostics=password не отрабатывал, несмотря на то что wbinfo --authenticate работает прекрасно (как вобщем и остальной функционал wbinfo). Решил уйти от ntlm и удариться в krb по этому блогу http://www.k-max.name/linux/avtorizaciya-autentifikaciya-squid/.

Что вышло: создал кейтаб используя учетную запись машины (предварительно создав ее), kinit с использованием кейтаба отрабатывает нормально, klist билет показывает, далее провожу тест на пользователе squidx, создаю /etc/squid3/userallow (это будет сорцем для acl), помещаю туда запись squidx@MFK-22.LOCAL (пробовал также и @MFK-22.local, и @mfk-22.local) и в ответ получаю что доступ закрыт, и похоже он не проходит авторизацию, а попадает под категорию http_access deny all, вот что пишет в /var/log/squid3/access.log (при чем для проверки использовал только http://www.mfc22.ru, filmix.net, все остальное - от стартовой страницы chrome, и везде пишет пользователя squidx@MFK-22.LOCAL, не смотря на то что в userallow он был указан в разных регистрах)

root@SquidErgo:/etc/squid3# cat /var/log/squid3/access.log
1364800416.384 0 10.0.2.232 TCP_DENIED/403 4018 GET http://www.mfc22.ru/ squidx@MFK-22.LOCAL NONE/- text/html
1364800416.423 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800424.994 0 10.0.2.232 TCP_DENIED/403 4012 GET http://filmix.net/ squidx@MFK-22.LOCAL NONE/- text/html
1364800425.042 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800514.140 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800514.141 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800514.169 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT clients4.google.com:443 - NONE/- text/html
1364800514.175 0 10.0.2.232 TCP_DENIED/407 3817 CONNECT translate.googleapis.com:443 - NONE/- text/html
1364800514.204 5 10.0.2.232 TCP_DENIED/403 6186 CONNECT clients4.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800514.212 3 10.0.2.232 TCP_DENIED/403 6189 CONNECT translate.googleapis.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800514.300 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800514.315 3 10.0.2.232 TCP_DENIED/403 6172 CONNECT accounts.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800516.798 0 10.0.2.232 TCP_DENIED/407 4439 GET http://www.google.com/complete/search? - NONE/- text/html
1364800516.815 4 10.0.2.232 TCP_DENIED/403 6648 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800518.684 0 10.0.2.232 TCP_DENIED/403 4107 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800518.794 0 10.0.2.232 TCP_DENIED/407 4287 GET http://www.mfc22.ru/ - NONE/- text/html
1364800518.810 4 10.0.2.232 TCP_DENIED/403 6520 GET http://www.mfc22.ru/ squidx@MFK-22.LOCAL NONE/- text/html
1364800518.846 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800519.040 0 10.0.2.232 TCP_DENIED/407 3777 CONNECT www.google.com:443 - NONE/- text/html
1364800519.054 4 10.0.2.232 TCP_DENIED/403 6161 CONNECT www.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800519.923 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800521.064 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://tddmdlczjg/ - NONE/- text/html
1364800521.067 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://jpsfwwxvlg/ - NONE/- text/html
1364800521.087 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://owuvfjxwqj/ - NONE/- text/html
1364800521.092 7 10.0.2.232 TCP_DENIED/403 650 HEAD http://tddmdlczjg/ squidx@MFK-22.LOCAL NONE/- text/html
1364800521.093 5 10.0.2.232 TCP_DENIED/403 650 HEAD http://jpsfwwxvlg/ squidx@MFK-22.LOCAL NONE/- text/html
1364800521.098 2 10.0.2.232 TCP_DENIED/403 650 HEAD http://owuvfjxwqj/ squidx@MFK-22.LOCAL NONE/- text/html
1364800522.310 0 10.0.2.232 TCP_DENIED/403 4107 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800522.421 0 10.0.2.232 TCP_DENIED/407 4279 GET http://filmix.net/ - NONE/- text/html
1364800522.437 4 10.0.2.232 TCP_DENIED/403 6514 GET http://filmix.net/ squidx@MFK-22.LOCAL NONE/- text/html
1364800522.472 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800522.533 0 10.0.2.232 TCP_DENIED/403 4108 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800523.171 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800524.052 0 10.0.2.232 TCP_DENIED/407 3781 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1364800524.073 4 10.0.2.232 TCP_DENIED/403 6158 CONNECT ssl.gstatic.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800646.082 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800646.110 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT clients4.google.com:443 - NONE/- text/html
1364800646.121 0 10.0.2.232 TCP_DENIED/407 3817 CONNECT translate.googleapis.com:443 - NONE/- text/html
1364800646.131 5 10.0.2.232 TCP_DENIED/403 6164 CONNECT clients4.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800646.143 4 10.0.2.232 TCP_DENIED/403 6175 CONNECT translate.googleapis.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800646.318 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800646.446 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800646.462 4 10.0.2.232 TCP_DENIED/403 6168 CONNECT accounts.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800648.922 0 10.0.2.232 TCP_DENIED/407 4439 GET http://www.google.com/complete/search? - NONE/- text/html
1364800648.940 4 10.0.2.232 TCP_DENIED/403 6648 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800650.261 0 10.0.2.232 TCP_DENIED/403 4107 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800650.363 0 10.0.2.232 TCP_DENIED/407 4287 GET http://www.mfc22.ru/ - NONE/- text/html
1364800650.380 4 10.0.2.232 TCP_DENIED/403 6506 GET http://www.mfc22.ru/ squidx@MFK-22.LOCAL NONE/- text/html
1364800650.416 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800650.430 0 10.0.2.232 TCP_DENIED/403 4108 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800650.961 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800650.994 0 10.0.2.232 TCP_DENIED/407 3777 CONNECT www.google.com:443 - NONE/- text/html
1364800651.009 4 10.0.2.232 TCP_DENIED/403 6153 CONNECT www.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800653.020 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://fhyqfcstlx/ - NONE/- text/html
1364800653.024 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://rmbnnarvfv/ - NONE/- text/html
1364800653.029 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://xwnlpsqnpa/ - NONE/- text/html
1364800653.037 2 10.0.2.232 TCP_DENIED/403 650 HEAD http://fhyqfcstlx/ squidx@MFK-22.LOCAL NONE/- text/html
1364800653.041 4 10.0.2.232 TCP_DENIED/403 650 HEAD http://rmbnnarvfv/ squidx@MFK-22.LOCAL NONE/- text/html
1364800653.043 3 10.0.2.232 TCP_DENIED/403 650 HEAD http://xwnlpsqnpa/ squidx@MFK-22.LOCAL NONE/- text/html
1364800653.869 0 10.0.2.232 TCP_DENIED/403 4107 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800653.976 0 10.0.2.232 TCP_DENIED/407 4279 GET http://filmix.net/ - NONE/- text/html
1364800653.990 2 10.0.2.232 TCP_DENIED/403 6502 GET http://filmix.net/ squidx@MFK-22.LOCAL NONE/- text/html
1364800654.022 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800654.099 0 10.0.2.232 TCP_DENIED/403 4108 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800654.720 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800656.020 0 10.0.2.232 TCP_DENIED/407 3781 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1364800656.037 2 10.0.2.232 TCP_DENIED/403 6164 CONNECT ssl.gstatic.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800753.019 0 10.0.2.232 TCP_DENIED/407 3813 CONNECT safebrowsing.google.com:443 - NONE/- text/html
1364800753.039 6 10.0.2.232 TCP_DENIED/403 6178 CONNECT safebrowsing.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800753.054 0 10.0.2.232 TCP_DENIED/407 3833 CONNECT alt1-safebrowsing.google.com:443 - NONE/- text/html
1364800753.069 3 10.0.2.232 TCP_DENIED/403 6191 CONNECT alt1-safebrowsing.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800813.098 0 10.0.2.232 TCP_DENIED/407 3813 CONNECT safebrowsing.google.com:443 - NONE/- text/html
1364800813.115 4 10.0.2.232 TCP_DENIED/403 6180 CONNECT safebrowsing.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800813.130 0 10.0.2.232 TCP_DENIED/407 3833 CONNECT alt1-safebrowsing.google.com:443 - NONE/- text/html
1364800813.141 4 10.0.2.232 TCP_DENIED/403 6193 CONNECT alt1-safebrowsing.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364801006.312 0 10.0.2.232 TCP_DENIED/407 4204 GET http://clients2.google.com/service/update2/crx? - NONE/- text/html
1364801006.335 5 10.0.2.232 TCP_DENIED/403 6561 GET http://clients2.google.com/service/update2/crx? squidx@MFK-22.LOCAL NONE/- text/html

конфиг сквида (просто для теста аутентификации)

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -s HTTP/SquidErgo.mfk-22.local@MFK-22.LOCAL
auth_param negotiate children 5
auth_param negotiate keep_alive on
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
#auth_param basic casesensitive off
visible_hostname SquidErgo
http_port 10.0.2.70:3128
acl internet_allow proxy_auth \"/etc/squid3/userallow\"
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
#acl internet_allow proxy_auth \"/etc/squid3/userallow\"
#acl internet_deny proxy_auth \"/etc/squid3/userdisallow\"
#acl internet_allow proxy_auth REQUIRED
acl CONNECT method CONNECT
http_access allow internet_allow
#http_access deny internet_deny
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\\?) 0 0% 0
refresh_pattern . 0 20% 4320

#РќР°СЃС‚СЂРѕР№РєРё РєСЌС€Р°
maximum_object_size 10240 KB
minimum_object_size 4 KB
cache_dir ufs /var/spool/squid3 5000 16 256

iptables-save (по поводу открыт ли tcp 88 исходящий, читал что для нормальной работы krb5 это нужно)

root@SquidErgo:/etc/squid3# iptables-save
# Generated by iptables-save v1.4.8 on Mon Apr 1 15:26:49 2013
*filter
:INPUT ACCEPT [188:18134]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29:2876]
COMMIT
# Completed on Mon Apr 1 15:26:49 2013

а если добавить в squid_kerb_auth -d то будет вот такую козябру в cache.log сыпать

2013/04/01 15:35:47| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:47| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:47| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:47| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:48| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqH5XaxSjSuOJIpOjDbnoWis3iik$
2013/04/01 15:35:48| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARq8iW/Qpik10deqII1KCsSGacQ2w$
2013/04/01 15:35:50| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:50| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:50| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqn3s+CbnISCHdYDA3r78dA/NRqH$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqo02+IddFqHPtMAjrffqoi+op5x$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqcsvlz6Em9ew2yGXB9OUr1Afjgl$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARquURinME+InrI/TZa/EqE/bTzPF$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqgOV7tNvw21wC+vg30CpLyXsd9l$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARq7gd/PXNmSqRxhUvG7Aakf9dXLz$
2013/04/01 15:35:57| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:57| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:57| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqQ142oDvsL67xRJ/uYszIggWkeX$

Посоветуйте что-нибудь

Ссылка

откройте для себя тэг [code]

hizel ★★★★★
(02.04.13 11:42:37 MSK)

Ответ на: комментарий от hizel 02.04.13 11:42:37 MSK

Спасибо, открыл, жаль не делает таки спойлер, но намного более удобочитаемо.

nokogerra ★
(02.04.13 12:01:05 MSK) автор топика

Ответ на: комментарий от nokogerra 02.04.13 12:01:05 MSK

http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos

У меня всё работает без проблем. Конфиг, если надо, скину. Кейтаб генерил в винде через ktpass.

blind_oracle ★★★★★
(03.04.13 11:00:29 MSK)

Ответ на: комментарий от blind_oracle 03.04.13 11:00:29 MSK

пара вопросов:
1. как делали кейтаб точно? я тоже делал ktpass`ом, вот так

C:\Windows\system32>ktpass.exe /princ HTTP/SquidErgo.mfk-22.local@MFK-22.LOCAL /mapuser SquidErgo$@DOMAIN.LOCAL /crypto ALL /ptype KRB5_NT_PRINCIPAL /pass +rndpass /out C:\tmp/SquidErgo.keytab

в AD создал «компьютер» SquidErgo, по nslookup SquidErgo резолвится в обе стороны и по короткому имени и по fqdn, вопрос в том нужно ли писать так: «/princ HTTP/SquidErgo.mfk-22.local@MFK-22.LOCAL» или просто SquidErgo.mfk-22.local (было в блоге по которому я делал, судя по тому что линканули Вы нужно просто SquidErgo.mfk-22.local, хотя у меня kinit по кейтабу работает), и не уверен насчет /crypto, указал all, но в 2008 точно поддерживается AES256-CTS-HMAC-SHA1-96, AES128-CTS-HMAC-SHA1-96.
2. странная строка в squid.conf

auth_param negotiate program /usr/sbin/squid_kerb_auth

разве spn не нужно указывать? и непонятно по этому:

acl auth proxy_auth REQUIRED

http_access deny !auth
http_access allow auth
http_access deny all

ясно что интернет будет у тех кто авторизовался, но как будет выглядеть раздача интернета по пользователям или даже группам? для каждого acl нужно будет указывать proxy_auth REQUIRED, или создавать общий acl, а потом разводить по группам/пользователям? если можно - конфиг этого куска мне бы помог.
P.S. только что проверил, с acl auth proxy_auth REQUIRED работает, получается крб авторизация вообще работает, вопрос в том как делить по группам интернет или по пользователям, получается таким способом

acl internet_allow proxy_auth "/etc/squid3/userallow"
http_access allow internet_allow

не работает (если по пользователям), а по группам вероятно должен быть хелпер и указание файла или вообще какого-то сырца где есть информация о группах?

nokogerra ★
(03.04.13 13:04:14 MSK) автор топика

Ответ на: комментарий от nokogerra 03.04.13 13:04:14 MSK

эгегей работает с squid_ldap_group, кому надо раздавать именно по группам - вот здесь на пальцах описано http://www.k-max.name/linux/squid-auth-kerberos-ldap-grupp-active-directory/

nokogerra ★
(03.04.13 14:43:53 MSK) автор топика

Ответ на: комментарий от nokogerra 03.04.13 14:43:53 MSK

Да, по группам именно через squid_ldap_group, оно кеширует нормально и АД особо не дёргает.

blind_oracle ★★★★★
(03.04.13 15:58:22 MSK)

Похожие темы