Авторизация Squid через AD

zar0ku1

так сервер AD есть или нет?

dvserg

@zar0ku1:

так сервер AD есть или нет?

Сервер есть - сеть с доменом.

zar0ku1

самбу можно поставить, тут уже писали про это

pmrt

zar0ku1, не придумывайте сложности на пустом месте.
Пример настройки Squid через AD - http://www.advproxy.net/ldapads.html

dvserg

@pmrt:

zar0ku1, не придумывайте сложности на пустом месте.
Пример настройки Squid через AD - http://www.advproxy.net/ldapads.html

Спасибо, завтра проверю.

zar0ku1

@pmrt:

zar0ku1, не придумывайте сложности на пустом месте.
Пример настройки Squid через AD - http://www.advproxy.net/ldapads.html

про какие сложности речь?

человек сказал:

Но насколько я понимаю самбы и винбинда в pfSense нет.

я ответил, что можно поставить, в контексте данного топика самба не нужна, я ж в самом начале спросил есть сервер с АД или нет

sandro_m16

Ну что коллеги. У кого нибудь получилось авторизация к AD прикрутить ??? Второй день бьюсь и всё безрезультатно…..... :'(

dvserg

Вот что я сделал:

Создал в каталоге /tmp два пустых файла с разрешением 0644 root (?)
msntauth.allowusers
msntauth.denyusers

Отредактировал файлик /usr/local/etc/squid/msntauth.conf

# Sample MSNT authenticator configuration file
# Antonino Iannella, Stellar-X Pty Ltd
# Sun Sep  2 15:52:31 CST 2001

# NT hosts to use. Best to put their IP addresses in /etc/hosts.
# (разделитель TAB)
server myDC	myDC	mydomain
#server other_PDC	other_BDC	otherdomain

# Denied and allowed users. Comment these if not needed.
denyusers	/tmp/msntauth.denyusers
allowusers	/tmp/msntauth.allowusers

В /etc/hosts пишем (разделитель TAB)

ip.ad.dr.res myDC.my.domain

В АД завел тестовую учетку test с паролем 123

Зашел в консоль pfSense и запустил /usr/local/libexec/squid/msnt_auth. Ввел

test 123
OK

OK это ответ msnt_auth

Зашел в гуи сквида в настройку авторизации, выставил так:

Auth. method = NT domain
LDAP = 2
Authentication server = myDC.mydomain.local
LDAP base domain = dc=mydomain,dc=local
Authentication prompt = Welcome

Сохранил.

Иду через браузер в инет - на запрс имени/пароля ввожу
test
123

Вуаля! Я в инете.

Теперь о грязном белье..
Имя должно быть только латинским без пробелов и прочих спецсимволов.
Пароль должен быть обязательно. Пустой пароль не хочет пропускать.

Это все.

зы Где-то 3 часа сражался. Мне кажется из гуя не апдейтится конфиг, и необходимо присутствие этих пустых файликов с алоу/дени юзерс.

sandro_m16

dvserg

Что то эта фишка у меня не проходит. После /usr/local/libexec/squid/msnt_auth user password - тишина полнейшая.

dvserg

@sandro_m16:

dvserg

Что то эта фишка у меня не проходит. После /usr/local/libexec/squid/msnt_auth user password - тишина полнейшая.

/usr/local/libexec/squid/msnt_auth <enter>воттут тишина, вводим : имя пробел пароль <enter>вот тут пишет ок или error</enter></enter>

sandro_m16

да уж всё гениальное просто. Только вот у меня ERR. Да и при перезагрузке pfsense из /tmp всё удаляется.

dvserg

@sandro_m16:

да уж всё гениальное просто. Только вот у меня ERR. Да и при перезагрузке pfsense из /tmp всё удаляется.

Этщт файлик может быть ему и не нужен. Я описал как я сделал и у меня получилось..

sandro_m16

dvserg
А контролер и Pfsense у тебя в одной подсети находятся ???
У нас просто на цисках сетка и контролер и pfsense в разных посетях. Static routes прописан, но в squid.conf только сетка pfsense.
Мот тут затык какой  ???

dvserg

@sandro_m16:

dvserg
А контролер и Pfsense у тебя в одной подсети находятся ???
У нас просто на цисках сетка и контролер и pfsense в разных посетях. Static routes прописан, но в squid.conf только сетка pfsense.
Мот тут затык какой  ???

Да, в одной.

sandro_m16

А версия pfsense у тебя какая ?

dvserg

@sandro_m16:

А версия pfsense у тебя какая ?

1.2, 1.2.3RC

puri

@dvserg:

Вот что я сделал:
Зашел в консоль pfSense и запустил /usr/local/libexec/squid/msnt_auth. Ввел

test 123
OK

Сделал то же самое в Событиях в домене в аудите входа пишет:

Имя журнала:   Security
Подача:        Microsoft-Windows-Security-Auditing
Дата:          20.01.2010 1:19:40
Код события:   4625
Категория задачи:Вход в систему
Уровень:       Сведения
Ключевые слова:Сбой аудита
Пользователь:  Н/Д
Компьютер:     RKSERVER.champion.loc
Описание:
Учетной записи не удалось выполнить вход в систему.

Субъект:
	ИД безопасности:		NULL SID
	Имя учетной записи:		-
	Домен учетной записи:		-
	Код входа:		0x0

Тип входа:			3

Учетная запись, которой не удалось выполнить вход:
	ИД безопасности:		NULL SID
	Имя учетной записи:		puri
	Домен учетной записи:		CHAMPION

Сведения об ошибке:
	Причина ошибки:		Неизвестное имя пользователя или неверный пароль.
	Состояние:			0xc000006d
	Подсостояние:		0xc000006a

Сведения о процессе:
	Идентификатор процесса вызывающей стороны:	0x0
	Имя процесса вызывающей стороны:	-

Сведения о сети:
	Имя рабочей станции:	\\GATEWAY.CHAMPIO
	Сетевой адрес источника:	192.168.24.254
	Порт источника:		4380

Сведения о проверке подлинности:
	Процесс входа:		NtLmSsp 
	Пакет проверки подлинности:	NTLM
	Промежуточные службы:	-
	Имя пакета (только NTLM):	-
	Длина ключа:		0

Настроил дома домен на вертуалке: пдс 2003 сервер, шлюз и веркстейшн.
Поправил msntauth.conf  все заработало. Видимо на работе делов в 2008 серваке.. Может кто знает в чем разница может быть. К сожелению домен на работе настраивал не я:(