Форум — Admin

SSl Squid Skype

День добрый господа. В сети стоит debian на котором стоит squid, авторизация в нём проходи средствами kerberos. Столкнулся с такой проблемой, что скайп через сквид ходит только при открытом ssl(443) порте. Уже решил плюнуть и оставить его открытым для определённых групп, но вылезла такая беда: при таком правиле: #http_access allow SSL_ports Скайп спокойно работает. Как только пытаюсь разбить каким либо способом на группы, а например:

http_access allow fullinet SSL_ports

либо

http_access allow SSL_ports !lowinet

либо

http_access allow CONNECT fullinet SSL_ports

Правило полностью игнорируется и скайп встаёт колом, а попытки гуглить не к чему полезному не привели. Буду благодарен, если кто подскажет в чём проблема. Заранее спасибо, конфиг приведу по надобности.

squid3 -v
Squid Cache: Version 3.1.20
configure options:  '--build=i486-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=i486-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/build/squid3-tMZN4r/squid3-3.1.20

Namiz
(07.10.15 11:30:56 MSK)

28 комментариев

Форум — Admin

Kerberos и дочерний домен.

debian, kerberos, squid

Вечер добрый господа. Не знал куда ещё обратиться решил отписаться тут,а столкнулся с такой проблемой. В сети есть домен mycompany.local с контролером домена dc1.mycompany.local и недавно появившемся дочерним доменом child.mycompany. Также стоит debian на котором стоит squid, авторизация в нём проходи средствами kerberos. То есть в ad есть несколько групп которые проверяет squid_ldap_group на наличие там пользователя который лезит в интернет. В случае с доменом родителем работает всё прекрасно, но с дочерним доменом бьюсь уже довольно долго. Пробовал из полезного: 1)Создать в основном домене универсальную группу users1 в которую добавил пользователей из дочернего домена 2)Пробовал создать на дочернем домене глобальную группу и добавить её в users1 на основном контролере. Из бесполезного: 1)много чего :(

На самом деле дело до авторизации кербероса даже не дошло, а ступор получился на проверки пользователя в группе запросом приведённым ниже.

/usr/lib/squid3/squid_ldap_group -R -d -b "dc=mycompany,dc=local"  -f  "(&(objectClass=user)(sAMAccountName=%v)(memberof=cn=%a,ou=lnternet,ou=Groups,dc=mycompani,dc=local))"  -D squid@mycompani.local -K -W /etc/squid3/aduser dc1.mycompani.nso.local

Собственно когда ищем пользователя из основного домена всё хорошо.

testdc1 user1
Connected OK
group filter '(&(objectClass=user)(sAMAccountName=testdc1)(memberof=cn=user1,ou=lnternet,ou=Groups,dc=mycompany,dc=local))', searchbase 'dc=mycompany,dc=local'
OK

А когда ищем в этой же группе пользователя из дочернего домена(который там есть) получаем это.

childtest user1
Connected OK
group filter '(&(objectClass=user)(sAMAccountName=childtest)(memberof=cn=user1,ou=lnternet,ou=Groups,dc=mycompany,dc=local))', searchbase 'dc=mycompany,dc=local'
ERR

Собственно, если проверять это с основного контролера то лдап запрос отрабатывает и находит пользователей из обоих доменов. Пользователь squid имеет права на чтение всего леса и права энтерпрайз админа. Если кто-нибудь с таким сталкивался подскажите в какую сторону смотреть. Заранее извиняюсь за стиль своего сообщения на форуме пишу первый раз) Конфиги предоставлю по надобности. Гугл весь перерыл толком не чего нету по этой теме, заранее спасибо.

Namiz
(01.07.15 16:40:09 MSK)

10 комментариев

Сообщения Namiz