PFSENSE: Squid + ADGroups + HTTPS

werter

@flamel
httpS://ip/lightsquid/ ?

lightsquid + pfsense --> гугл :
https://www.netgate.com/resources/videos/squid-squidguard-and-lightsquid-on-pfsense-24.html
https://shop.nativepc.ru/content/26--lightsquid-
https://1cloud.ru/help/bsd/nastroyka-proksi-servera-pfsense

flamel

@werter lightsquid живёт на wan или на lan?
Видеоролик вообще крутой, он его просто включает и сразу он у него работает, браво завтра попробую по одной из инструкций что то сделать, если получится - дополню инструкцию и пойду смотреть почему clamav не запускается)

werter

@flamel

Не, ну еси вам надо весь инет своим лайтсквидом "обслуживать" - тада и на ВАН тоже ) Все же надо думать немного.

LAN + loopback (если выбирается)

ClamAV? Сразу НЕТ. Выкл. и даже не думайте его пользовать. Толку-нуль, а проблем типа "апачимуминяниработаить" - куча.

flamel

@werter у меня и Лан и Ван просто в локале торчат) в интернет не они смотрят

werter

@flamel
Тогда и WAN у вас НЕ WAN в прямом понимании этой аббревиатуры.

millenium

Дошел до первой проблемы!

Проверка kinit: kinit my.user@MYDOMAIN.LOCAL

выдает: kinit: krb5_init_context failed to parse configuration file

куда смотреть?

flamel

@millenium по моему такая ошибка возникает если крб файл неправильно сконфигурирован, попробуйте другие способы создания и передачи файла

flamel

@millenium я бы ещё крб5.конф глянул, там синтаксис должен соблюдаться и синхронизацию нтп проверить стоит. А также пингануть контроллер домена

millenium

@flamel КД пингуется, по имени, все ок.

какие еще способы конфигурирования krb5 есть?

и в какую дерикторию его лучше класть?

millenium

[libdefaults]
default_realn = DOMAIN,LOCAL
default_keytab_nane = /etc/krb5.keytab - тут должно быть .conf
dns_lookup_realn = false
dns_lookup_kdc = true

• получается ошибка тут!

сам C:\keytabs\PROXY.keytab

flamel

@millenium default_realm
и не должно быть там .conf

millenium

не могу победить, запущу по старинке PF2AD, вроде нашел бесплатный сайт

JKQ

Добрый день.
кейтаб создавал и закинул /etc/krb5.keytab и /usr/local/etc/krb5.keytab

ktpass -princ HTTP/proxy.kz.local@KZ.LOCAL -mapuser squid -pass qwertyuiop -crypto All -ptype KRB5_NT_PRINCIPAL -out D:\krb5.keytab

Создал /etc/krb5.conf с таким содержанием

default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
[libdefaults]
default_realm = KZ.LOCAL
default_keytab_name = /etc/krb5.keytab
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
KZ.LOCAL = {
kdc = DC1.kz.local
kdc = DC2.kz.local
kdc = 192.168.1.1
admin_server = VS-DC1.kz.local
default_domain = kz.local
[domain_realm]
.kz.local = KZ.LOCAL
kz.local = KZ.LOCAL

но при выполнении kinit squid@KZ.LOCAL выводит

kinit: krb5_init_context failed to parse configuration file

Подскажите куда смотреть

flamel

@JKQ о, я помню.что то такое было, решил то ли созданием нового кейтаба в котором писал в mapuser squid@DOMAIN.LOCAL то ли тогда был расстнхрон нтп, его получил и переслал файл, файл перекидывал фар менеджером, вроде как способ его доставки тоже может играть роль

JKQ

@flamel
файл пересоздал но ничего не получилось
NTP в таком состоянии здесь указаны КД и шлюз в качестве NTP

из командной строки проверить не получилось

в некоторых инструкциях пишут

default_keytab_name = FILE:/etc/krb5.keytab

хотя это уже от бессилия

flamel

@JKQ Я поставил один NTP - сам главный контроллер домена, потому что когда их два там алгоритм другой, для проверки в основном меню пфсенс показывается реальное время, просто сравни, рассинхрон больше минуты - уже плохо.
Попробуй при формировании кейтаб файла использовать криптографию RC4-HMAC, либо тут надо поиграть с настройками пользователя в AD для использования aes128 или 256.
Вообще ошибка прямо говорит о невозможности прочесть или понять конфигурационный файл

flamel

@JKQ что говорит kinit -p HTTP/squid.domain.local или kinit -p HTTP/squid.domain.local@DOMAIN.LOCAL?

JKQ

@flamel нашел ошибку
Нет закрывающей скобки } перед [domain_realm] в коде у @werter
столько времени убил

JKQ

@flamel У меня SquidGuard service state: STOPPED даже при отключенном Enable LDAP Filter

В логах

2020-01-23 11:57:17 [97845] squidGuard 1.4 started (1579769837.011)
2020-01-23 11:57:17 [97845] db update done
2020-01-23 11:57:17 [97845] squidGuard stopped (1579769837.013)
2020-01-23 11:57:22 [50130] squidGuard 1.4 started (1579769842.472)
2020-01-23 11:57:22 [50130] db update done
2020-01-23 11:57:22 [50130] squidGuard stopped (1579769842.473)

flamel

@JKQ не помню чтобы у меня без фильтра стартовал, по поводу фильтра проверяй точный путь до учётки, учётку должна быть та же что и для керберос, скобочки иногда исправляют ситуацию.
В моем случае такая проблема была из за сложности пароля, из за этого пришлось делать какой то просто пароль для учётки