Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid+AD+Kerberos+https without password

    Scheduled Pinned Locked Moved Russian
    49 Posts 4 Posters 9.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • G
      Gonzales
      last edited by

      На сквиде все норм. (должно быть).

      У меня так:
      В настройках Squid:
      [General]
      Enable Squid Proxy - [ V ]
      Keep Settings/Data - [ V ]
      Proxy Interface(s) - [ LAN, loopback ]
      Proxy Port - [ 3128 ]
      ICP Port - <empty>
      Allow Users on Interface - [ V ]
      Resolve DNS IPv4 First - [V]
      Disable ICMP - [ ]
      Use Alternate DNS Servers for the Proxy Server - <empty>
      Transparent HTTP Proxy - [ ]
      HTTPS/SSL Interception - [ ]

      в адвансед:
      auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -k /usr/local/etc/squid/proxy-pf.keytab
      auth_param negotiate children 60
      auth_param negotiate keep_alive off

      acl auth proxy_auth REQUIRED
      http_access deny !auth
      http_access allow auth

      На вкладке Real time можно посмотреть.

      С SG непонять.. Надо попробовать убрать enable LDAP filter, добавить пару сайтов в блэклист и попробовать на них зайти. Если не заходится, значит SG отрабатывает и значит проблема только в подключении к LDAP, т.е. в строке LDAP DN и/или LDAP DN Password в General settings.

      Не стоит галка на "Без предварительной проверки подлинности Kerberos" - это проверял?

      F 1 Reply Last reply Reply Quote 0
      • F
        flamel @Gonzales
        last edited by

        @Gonzales галка не стоит, только я так и не понял, она должна стоять или нет?
        Поидее для работы с Ldap SG нужна любая учетка способная читать каталоги LDAP, т.е я могу попробовать любую другую учетку поставить сюда?

        G 1 Reply Last reply Reply Quote 0
        • G
          Gonzales
          last edited by

          Да, можно попробовать другую. Вот еще господа с форума писали

          "Разобрался с авторизацией squid через LDAP. Нужно указать порт 3268 вместо стандартного 389. Теперь pf2ad не нужен.

          Squidguard заработал, когда поставил пароль на учётку из 8 букв без цифр, символов. Со сложным паролем не работает(

          Подключение к AD прошло успешно! :)"

          https://forum.netgate.com/topic/122291/pf2ad-squidguard-%D0%BD%D0%B5-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%B5%D1%82-squidguard/7

          F 1 Reply Last reply Reply Quote 0
          • G
            Gonzales @flamel
            last edited by

            @flamel Ну как успехи?

            1 Reply Last reply Reply Quote 0
            • F
              flamel @Gonzales
              last edited by

              @Gonzales
              Я почти обрадовался, пароль поставил простой и СГ отвис, но теперь веселее, бесконечный запрос логина и пароля

              ldapusersearch ldap://bdc.primvoda.local:3268/DC=PRIMVODA,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=PRIMVODA%2cDC=LOCAL))

              Лист блокировок:

              18.11.2019 11:48:35	192.168.12.147/192.168.12.147	r2---sn-ug5onuxaxjvh-n8vs.googlevideo.com:443	Request(default/none/-) krivoshein-ay@primvoda.local CONNECT REDIRECT
18.11.2019 11:48:21	192.168.12.147/192.168.12.147	sync.opera.com:443	Request(default/none/-) krivoshein-ay@primvoda.local CONNECT REDIRECT
18.11.2019 11:48:18	192.168.12.147/192.168.12.147	r2---sn-ug5onuxaxjvh-n8vs.googlevideo.com:443	Request(default/none/-) krivoshein-ay@primvoda.local CONNECT REDIRECT
18.11.2019 11:48:01	192.168.12.147/192.168.12.147	r2---sn-ug5onuxaxjvh-n8vs.googlevideo.com:443	Request(default/none/-) krivoshein-ay@primvoda.local CONNECT REDIRECT

              СГ работает

              18.11.2019 16:08:27	squidGuard ready for requests (1574057307.294)
18.11.2019 16:08:27	Info: recalculating alarm in 28233 seconds
18.11.2019 16:08:27	squidGuard 1.4 started (1574057307.050)

              может дело в галке "Без предварительной проверки подлинности kerberos"? она должна стоять или нет?

              1 Reply Last reply Reply Quote 0
              • G
                Gonzales
                last edited by Gonzales

                Нет не должна.. И это к Squid-у относится, но у тебя авторизация проходит. Или нет?

                F 1 Reply Last reply Reply Quote 0
                • F
                  flamel @Gonzales
                  last edited by

                  @Gonzales в том то и дело что нет, бесконечный запрос логина и пароля

                  G 1 Reply Last reply Reply Quote 0
                  • G
                    Gonzales @flamel
                    last edited by

                    @flamel Попробуй пока вырубить SG и разобраться со Squid.

                    УЗ пересоздавал или просто пароль изменил?

                    keytab переформировывал?

                    F 1 Reply Last reply Reply Quote 0
                    • F
                      flamel @Gonzales
                      last edited by

                      @Gonzales так все таки надо чтобы одна и та же учетка была? Тогда думаю завтра смогу решить проблему, а то выгнали с работы из за снега) если все получится напишу здесь статью, а то сам потом забуду все)

                      1 Reply Last reply Reply Quote 0
                      • G
                        Gonzales
                        last edited by

                        Если изменил пароль на УЗ на которую изначально формировал keytab для squid-а , то его вроде бы надо заново сформировать.

                        F 1 Reply Last reply Reply Quote 0
                        • F
                          flamel @Gonzales
                          last edited by

                          @Gonzales нет, я создал ещё одну учетку, про то что если изменил пароль надо ещё и Кейтаб делать я вкурсе, просто учетка сг и сквида должна быть одна или можно разные? Если должна быть одна то вот в этом у меня и проблема

                          G 1 Reply Last reply Reply Quote 0
                          • G
                            Gonzales @flamel
                            last edited by

                            @flamel Не исключено.. Ждем результата :)

                            F 1 Reply Last reply Reply Quote 0
                            • F
                              flamel @Gonzales
                              last edited by

                              @Gonzales В общем решил по мануалу попробовать AES 128, и столкнулся со странной проблемой, сначала пришлось делать ktutil destroy т.к было две записи в ktutil, исправил, теперь:

                              FILE:/etc/krb5.keytab:

Vno  Type                     Principal                                   Aliases
  6  aes128-cts-hmac-sha1-96  HTTP/pfsense.primvoda.local@PRIMVODA.LOCAL

                              Но сквид ругается на то что шифрование не "rc4-hmac"

                              negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. Request ticket server HTTP/pfsense.primvoda.local@PRIMVODA.LOCAL kvno 6 found in keytab but not with enctype rc4-hmac

                              до смешного уже) пока не могу никак найти информацию где и как прописывается использование AES 128

                              G 1 Reply Last reply Reply Quote 0
                              • G
                                Gonzales @flamel
                                last edited by

                                @flamel В AD в настройках пользователя поставил поддержку aes128?

                                F 2 Replies Last reply Reply Quote 0
                                • F
                                  flamel @Gonzales
                                  last edited by

                                  @Gonzales да, и в krb5.conf прописал aes, но такое чувство будто хелпер запрашивает именно rc

                                  1 Reply Last reply Reply Quote 0
                                  • F
                                    flamel @Gonzales
                                    last edited by

                                    @Gonzales в общем победил тем что сделал новый кейтаб с прежним шифрованием, и все заработало, я от радости чуть не умер, но радость была не долгой, через пол часа аутентификация отвалилась с ошибкой:

                                    Date-Time	Сообщение
01.01.1970 10:00:00	negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. Request ticket server HTTP/Pfsense.primvoda.local@PRIMVODA.LOCAL not found in keytab (ticket kvno 8)

                                    и почему то все даты стали 01.01.1970

                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by werter

                                      Добрый

                                      https://forum.netgate.com/topic/128203/squid-ad-kerberos/

                                      Нашёл в документации хелпера, параметр -t ^_^/
                                      Итоговая запись:
                                      auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/proxy.keytab -t none

                                      https://blog.stefan-macke.com/2011/04/19/single-sign-on-with-kerberos-using-debian-and-windows-server-2008-r2/

                                      Unspecified GSS failure. Minor code may provide more information (, )
                                      → wrong kvno or machine password in /etc/krb5.keytab → recreate the keytab using the correct information
                                      → OR problem with local Kerberos ticket cache on your workstation, use Kerbtray.exe to purge the ticket cache and open the website in IE again

                                      Вместо Kerbtray пользовать klist (https://blogs.technet.microsoft.com/tspring/2014/06/23/viewing-and-purging-cached-kerberos-tickets/)

                                      https://forum.ubuntu.ru/index.php?topic=279873.0

                                      еще важно в настройках прокси писать имя прокси сервера так, как это было при получении keytab файла, настраиваем DNS прямую и обратную зоны, или вообще используем всегда только ip адрес, но важно чтобы всегда всё было одинаково. Например для моего домена domain.ru и имени прокси squid мы делаем keytab для squid.domain.ru, соответственно например в винде в настройках прокси пишем squid.domain.ru, а не просто squid или 192.168.1.7
                                      у вас соответственно s76-proxy.yar.local но не 10.42.60.23
                                      Помогла вот эта статья, рекомендую
                                      https://rtzra.ru/wiki/software/squid/squid-active-directory-kerberos

                                      Подробный мануал по squid + ldap + kerberos. Рекомендую заглянуть docs.diladele.com/administrator_guide_stable/active_directory/index.html

                                      https://www.linux.org.ru/forum/general/14639957
                                      https://www.opennet.ru/openforum/vsluhforumID12/7019.html
                                      Целых 10 статей по настройке squid blog.it-kb.ru/2014/06/16/forward-proxy-squid-3-3-on-ubuntu-server-14-04-lts-part-1-install-os-on-hyper-v-generation-2-vm/

                                      Зы. Нашел еще "Снижение нагрузки на процессорные ресурсы при использовании хелпера Kerberos-аутентификации (negotiate_kerberos_auth) для прокси-сервера Squid 3" blog.it-kb.ru/2015/04/30/reduction-of-high-peak-load-on-cpu-resources-by-using-kerberos-authentication-helper-negotiate_kerberos_auth-for-the-squid-3-proxy-server/ Может пригодиться.

                                      1 Reply Last reply Reply Quote 2
                                      • werterW
                                        werter
                                        last edited by

                                        Добрый.
                                        @flamel
                                        Все карты на руках. Ждем мануал с картинками )

                                        F 1 Reply Last reply Reply Quote 0
                                        • F
                                          flamel @werter
                                          last edited by

                                          @werter мануал будет, но чуть позже, все удалось, последнее с чем столкнулся это запаковка http 1.1 не работала, победил скобочками) правда попытался в группе добавить уведомление в случае когда ресурс заблокирован, но чувствую для этого надо.будет простенькую интернет страничку делать или забить, завтра гляну что да как, к сожалению на работе не дают много времени уделять данной задаче

                                          1 Reply Last reply Reply Quote 0
                                          • werterW
                                            werter
                                            last edited by werter

                                            @flamel
                                            Супер ) Ждем.

                                            ЗЫ. techexpert.tips/category/pfsense/ - настройка pfsense + AD + radius
                                            И не только пф - techexpert.tips/tutorial/ ( напр., zabbix - techexpert.tips/category/zabbix/ )

                                            1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.