Squid+Kerberos+AD2008

0

1

Настраиваю Squid + Kerberos + AD Windows Server 2008

Куча материала на английском и на русском (в том числе на лоре).

Debian 7.4 stable

Squid 3.3.8-1.2 собран пакет из сырцов что в unstable

Но мне не дает покоя один вопрос - берем стандартную строчки конфига squid.

auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -d -s HTTP/proxy.domain.local

auth_param negotiate children 20 startup=0

auth_param negotiate keep_alive on

external_acl_type ldap_autoriz %LOGIN /usr/lib/squid3/ext_ldap_group_acl -R -d -b DC=DOMAIN,DC=local -D squid@domain.local -W /etc/squid3/pass -f "(&(sAMAccountName=%v)(memberOf=CN=%a,CN=Users,DC=DOMAIN,DC=local))" adserver.domain.local

Коннектится, работает, аутентификация проходит, авторизация (проверка на включение в группу). НО - пароль для юзера squid передается в открытом виде и прекрасно палится tcpdump'ом. Как этого избежать? Все перекопал - ничего внятного :(

Ссылка

←	Обойти бан

raspberry+cryptsetup+usb(whitelist)+detached header+без монитора

→

но ведь ldap может ходить через ssl.

в man ext_ldap_group_acl есть об этом упоминания.

vel ★★★★★
(01.04.14 16:45:57 MSK)

ТС, тебе дело говорят. В 2008 винде у LDAP-а стопудово есть SSL/TLS - добавляй опции -Z(или -z, я точно не помню, ман в помощь) и настраивай tls_reqcert в ldap.conf

Тестируй через ldapsearch

Pinkbyte ★★★★★
(05.04.14 19:58:03 MSK)

ЛОР тормозит

Ну ребята, дорогие коллеги. Это было мое первое сообщение на ЛОР. Ни ответа ни привета, пара слов про ssl - печалька :( Кому интересна тема - гуглите на жж сообщество ru_linux, сообщение 2981471.html Там подробно расписано. (Не знаю можно ли тут размещать ссылки на сторонние ресурсы).

asall
(06.04.14 17:31:18 MSK) автор топика

Ссылка

Ответ на: комментарий от vel 01.04.14 16:45:57 MSK

С ssl подружить не удалось (в ман хоть упоминания и есть, и скомпилено с поддержкой ssl, и ldap у меня зашел через ssl), но не squid. Удалось скомпилить с поддержкой ext_kerberos_ldap_group_acl.

asall
(06.04.14 17:34:18 MSK) автор топика