Авторизация Squid через AD
-
Вот что я сделал:
Создал в каталоге /tmp два пустых файла с разрешением 0644 root (?)
msntauth.allowusers
msntauth.denyusersОтредактировал файлик /usr/local/etc/squid/msntauth.conf
# Sample MSNT authenticator configuration file # Antonino Iannella, Stellar-X Pty Ltd # Sun Sep 2 15:52:31 CST 2001 # NT hosts to use. Best to put their IP addresses in /etc/hosts. # (разделитель TAB) server myDC myDC mydomain #server other_PDC other_BDC otherdomain # Denied and allowed users. Comment these if not needed. denyusers /tmp/msntauth.denyusers allowusers /tmp/msntauth.allowusersВ /etc/hosts пишем (разделитель TAB)
ip.ad.dr.res myDC.my.domainВ АД завел тестовую учетку test с паролем 123
Зашел в консоль pfSense и запустил /usr/local/libexec/squid/msnt_auth. Ввел
test 123 OKOK это ответ msnt_auth
Зашел в гуи сквида в настройку авторизации, выставил так:
Auth. method = NT domain LDAP = 2 Authentication server = myDC.mydomain.local LDAP base domain = dc=mydomain,dc=local Authentication prompt = WelcomeСохранил.
Иду через браузер в инет - на запрс имени/пароля ввожу
test
123Вуаля! Я в инете.
Теперь о грязном белье..
Имя должно быть только латинским без пробелов и прочих спецсимволов.
Пароль должен быть обязательно. Пустой пароль не хочет пропускать.Это все.
зы Где-то 3 часа сражался. Мне кажется из гуя не апдейтится конфиг, и необходимо присутствие этих пустых файликов с алоу/дени юзерс.
-
dvserg
Что то эта фишка у меня не проходит. После /usr/local/libexec/squid/msnt_auth user password - тишина полнейшая.
-
dvserg
Что то эта фишка у меня не проходит. После /usr/local/libexec/squid/msnt_auth user password - тишина полнейшая.
/usr/local/libexec/squid/msnt_auth <enter>воттут тишина, вводим : имя пробел пароль <enter>вот тут пишет ок или error</enter></enter>
-
да уж всё гениальное просто. Только вот у меня ERR. Да и при перезагрузке pfsense из /tmp всё удаляется.
-
да уж всё гениальное просто. Только вот у меня ERR. Да и при перезагрузке pfsense из /tmp всё удаляется.
Этщт файлик может быть ему и не нужен. Я описал как я сделал и у меня получилось..
-
dvserg
А контролер и Pfsense у тебя в одной подсети находятся ???
У нас просто на цисках сетка и контролер и pfsense в разных посетях. Static routes прописан, но в squid.conf только сетка pfsense.
Мот тут затык какой ??? -
dvserg
А контролер и Pfsense у тебя в одной подсети находятся ???
У нас просто на цисках сетка и контролер и pfsense в разных посетях. Static routes прописан, но в squid.conf только сетка pfsense.
Мот тут затык какой ???Да, в одной.
-
А версия pfsense у тебя какая ?
-
-
Вот что я сделал:
Зашел в консоль pfSense и запустил /usr/local/libexec/squid/msnt_auth. Ввелtest 123 OKСделал то же самое в Событиях в домене в аудите входа пишет:
Имя журнала: Security Подача: Microsoft-Windows-Security-Auditing Дата: 20.01.2010 1:19:40 Код события: 4625 Категория задачи:Вход в систему Уровень: Сведения Ключевые слова:Сбой аудита Пользователь: Н/Д Компьютер: RKSERVER.champion.loc Описание: Учетной записи не удалось выполнить вход в систему. Субъект: ИД безопасности: NULL SID Имя учетной записи: - Домен учетной записи: - Код входа: 0x0 Тип входа: 3 Учетная запись, которой не удалось выполнить вход: ИД безопасности: NULL SID Имя учетной записи: puri Домен учетной записи: CHAMPION Сведения об ошибке: Причина ошибки: Неизвестное имя пользователя или неверный пароль. Состояние: 0xc000006d Подсостояние: 0xc000006a Сведения о процессе: Идентификатор процесса вызывающей стороны: 0x0 Имя процесса вызывающей стороны: - Сведения о сети: Имя рабочей станции: \\GATEWAY.CHAMPIO Сетевой адрес источника: 192.168.24.254 Порт источника: 4380 Сведения о проверке подлинности: Процесс входа: NtLmSsp Пакет проверки подлинности: NTLM Промежуточные службы: - Имя пакета (только NTLM): - Длина ключа: 0Настроил дома домен на вертуалке: пдс 2003 сервер, шлюз и веркстейшн.
Поправил msntauth.conf все заработало. Видимо на работе делов в 2008 серваке.. Может кто знает в чем разница может быть. К сожелению домен на работе настраивал не я:(