LINUX.ORG.RU

auth_param basic program

 , ,


0

1

Есть dc0 (samba4.2 DOMAIN.COM) есть gw0 (squid3) Создан keytab Конфиг squid

auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth  -s GSS_C_NO_NAME
auth_param negotiate children 100
auth_param negotiate keep_alive on

auth_param basic program /usr/lib/squid3/basic_ldap_auth -b "dc=domain,dc=com" -R -D proxy_auth@domain.com -W /etc/squid3/ntlm_pass.txt -f sAMAccountName=%s -h dc0.domain.com
auth_param basic children 100
auth_param basic realm Squid Basic Auth
auth_param basic credentialsttl 2 hours

##fill squid acl with external data (checks if user %LOGIN is in suggested group
external_acl_type fastgroup_krb children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g FastInet@DOMAIN.COM
external_acl_type slowgroup_krb children-max=100 children-startup=50 cache=10 grace=15 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g RegularInet@DOMAIN.COM


acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt

acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl CONNECT method CONNECT

acl AD_users proxy_auth REQUIRED

## ACL for users with speed inet access
acl AD_FastInet external fastgroup_krb

##ACL for users with regular inet access
acl AD_RegularInet external slowgroup_krb
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow AD_FastInet
http_access allow AD_RegularInet

http_access deny AD_users
http_access deny all
http_port 192.168.1.254:3128

coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .
/usr/lib/squid3/negotiate_kerberos_auto отрабатывает нормально. т.е. доменные пользователи ходят нормально.

лог

1488178287.970   4675 192.168.1.25 TCP_MISS/200 848 CONNECT clients2.google.com:443 administrator@DOMAIN.COM HIER_DIRECT/109.194.201.92 -

Что касается auth_param basic program При открытии браузера, выходит рамка с запросом логина и пароля. При вводе данных рамка повторяется при этом лог access.log

1488178437.572      0 192.168.1.25 TCP_DENIED/407 3778 CONNECT clients2.google.com:443 - HIER_NONE/- text/html
1488178437.575      0 192.168.1.25 TCP_DENIED/407 3881 CONNECT clients2.google.com:443 - HIER_NONE/- text/html

cache.log

kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
2017/02/27 09:53:57 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}

Как понимаю, что basic не работает Пару дней ковыряния в конфигах не дали результата. Знаю тема не новая, но прошу помощи.

Ответ на: комментарий от kresh1

/usr/lib/squid3/basic_ldap_auth -b «dc=domain,dc=com» -R -D proxy_auth@domain.com -W /etc/squid3/ntlm_pass.txt -f sAMAccountName=%s -t 3 -H ldap://dc0.domain.com administrator parol basic_ldap_auth: WARNING, could not bind to binddn 'Strong(er) authentication required' ERR Success

kresh1 ()
Ответ на: комментарий от bass

т.е. ldap server require strong auth = yes добавить эту запись в конфиг smb.conf на dc0?

kresh1 ()
Ответ на: комментарий от kresh1

надо добавить -Z к параметрами basic_ldap_auth

bass ★★★★★ ()
Ответ на: комментарий от kresh1

В ссылке сверху написано. если возникает ошибка 'Strong(er) authentication required', то у тебя всего 2 решения:
1. для простых (не керберос) подключений обязательно использование TLS
2. выключить ldap server require strong auth = no на sambe

Инфраструктурно 1й вариант предпочтителен, но критичность шифрования паролей ты определяешь сам. Больше ничем помочь не могу :(

bass ★★★★★ ()
Последнее исправление: bass (всего исправлений: 1)
Ответ на: комментарий от bass

На dc0

[global]
        workgroup = domain
        realm = DOMAIN.COM
        netbios name = DC0
        server role = active directory domain controller
        server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbindd, ntp_signd, kcc, dnsupdate
        idmap_ldb:use rfc2307 = yes

ldap server require strong auth = no

#tls enabled  = no
#tls keyfile  =/var/lib/samba/private/tls/key.pem
#tls certfile = /var/lib/samba/private/tls/cert.pem
#tls cafile   = /var/lib/samba/private/tls/ca.pem
[netlogon]
        path = /var/lib/samba/sysvol/domain.com/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

на gw

/usr/lib/squid3/ext_ldap_group_acl -d -Z -v 3 -P -R -K -b "cn=Users,dc=domain,dc=com"  -D "CN=proxy_auth,CN=Users,dc=domain,dc=com" -W /etc/squid3/ntlm_pass.txt -f sAMAccountName=%s -h dc0.domain.com
login pass
ответ
ERROR: Could not Activate TLS connection
ERR[/cdoe]

kresh1 ()
Ответ на: комментарий от bass

на dc0 добавил

tls enabled  = no
ldap server require strong auth = no
на gw
/usr/lib/squid3/ext_ldap_group_acl -d -Z -v 3 -P -R -K -b "cn=Users,dc=domain,dc=com"  -D "CN=proxy_auth,CN=Users,dc=domain,dc=com" -W /etc/squid3/ntlm_pass.txt -f sAMAccountName=%s -h dc0.domain.com
1 111
OK
Спасибо бОлшое за помощь.

kresh1 ()
Ответ на: комментарий от kresh1

Хелпер отработал нормально, но при открытии браузера(хром) у пользователя рамка с вводом логина и пароля не уходит. лог

 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}

kresh1 ()
Ответ на: комментарий от kresh1

Вновь появилась ошибка работало нормально на таких настройках 3 дня

support_sasl.cc(268): pid=532 :2017/03/31 15:54:04| kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can't contact LDAP server
support_ldap.cc(860): pid=532 :2017/03/31 15:54:04| kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server
2017/03/31 15:54:06 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
2017/03/31 15:54:06 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
2017/03/31 15:54:06 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
2017/03/31 15:54:06 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
support_sasl.cc(268): pid=537 :2017/03/31 15:56:16| kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can't contact LDAP server
support_ldap.cc(860): pid=537 :2017/03/31 15:56:16| kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server
2017/03/31 15:56:16 kid1| WARNING: never_direct resulted in AUTH_REQUIRED. Username ACLs are not reliable here.
2017/03/31 15:56:16 kid1| temporary disabling (Service Unavailable) digest from 192.168.0.254
support_sasl.cc(268): pid=532 :2017/03/31 15:56:20| kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can't contact LDAP server
support_ldap.cc(860): pid=532 :2017/03/31 15:56:20| kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server
support_sasl.cc(268): pid=537 :2017/03/31 15:56:20| kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can't contact LDAP server
support_ldap.cc(860): pid=537 :2017/03/31 15:56:20| kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server


/usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g FastInet@DOMAIN.RU
user@domain.ru 1
OK
/usr/lib/squid3/basic_ldap_auth -b "dc=domain,dc=ru" -R -D proxy_auth@domain.ru -W /etc/squid3/ntlm_pass -f sAMAccountName=%s -h dc0.domain.ru
user 1
OK

на dc0

tls enabled  = no
ldap server require strong auth = no

кто нибудь сталкивался

kresh1 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.