Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    PFSENSE: Squid + ADGroups + HTTPS

    Russian
    7
    114
    12.6k
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • milleniumM
      millenium @flamel
      last edited by millenium

      @flamel КД пингуется, по имени, все ок.

      какие еще способы конфигурирования krb5 есть?

      и в какую дерикторию его лучше класть?

      1 Reply Last reply Reply Quote 0
      • milleniumM
        millenium
        last edited by

        [libdefaults]
        default_realn = DOMAIN,LOCAL
        default_keytab_nane = /etc/krb5.keytab - тут должно быть .conf
        dns_lookup_realn = false
        dns_lookup_kdc = true

        • получается ошибка тут!

        сам C:\keytabs\PROXY.keytab

        F 1 Reply Last reply Reply Quote 1
        • F
          flamel @millenium
          last edited by

          @millenium default_realm
          и не должно быть там .conf

          1 Reply Last reply Reply Quote 0
          • milleniumM
            millenium
            last edited by

            не могу победить, запущу по старинке PF2AD, вроде нашел бесплатный сайт

            1 Reply Last reply Reply Quote 0
            • JKQJ
              JKQ
              last edited by

              Добрый день.
              кейтаб создавал и закинул /etc/krb5.keytab и /usr/local/etc/krb5.keytab

              ktpass -princ HTTP/proxy.kz.local@KZ.LOCAL -mapuser squid -pass qwertyuiop -crypto All -ptype KRB5_NT_PRINCIPAL -out D:\krb5.keytab

              Создал /etc/krb5.conf с таким содержанием

              default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
[libdefaults]
default_realm = KZ.LOCAL
default_keytab_name = /etc/krb5.keytab
dns_lookup_realm = false
dns_lookup_kdc = true
[realms]
KZ.LOCAL = {
kdc = DC1.kz.local
kdc = DC2.kz.local
kdc = 192.168.1.1
admin_server = VS-DC1.kz.local
default_domain = kz.local
[domain_realm]
.kz.local = KZ.LOCAL
kz.local = KZ.LOCAL

              но при выполнении kinit squid@KZ.LOCAL выводит

              kinit: krb5_init_context failed to parse configuration file

              Подскажите куда смотреть

              F 1 Reply Last reply Reply Quote 0
              • F
                flamel @JKQ
                last edited by

                @JKQ о, я помню.что то такое было, решил то ли созданием нового кейтаба в котором писал в mapuser squid@DOMAIN.LOCAL то ли тогда был расстнхрон нтп, его получил и переслал файл, файл перекидывал фар менеджером, вроде как способ его доставки тоже может играть роль

                JKQJ 1 Reply Last reply Reply Quote 0
                • JKQJ
                  JKQ @flamel
                  last edited by

                  @flamel
                  файл пересоздал но ничего не получилось
                  NTP в таком состоянии здесь указаны КД и шлюз в качестве NTP
                  ntp.png

                  из командной строки проверить не получилось

                  в некоторых инструкциях пишут

                  default_keytab_name = FILE:/etc/krb5.keytab

                  хотя это уже от бессилия

                  F 2 Replies Last reply Reply Quote 0
                  • F
                    flamel @JKQ
                    last edited by

                    @JKQ Я поставил один NTP - сам главный контроллер домена, потому что когда их два там алгоритм другой, для проверки в основном меню пфсенс показывается реальное время, просто сравни, рассинхрон больше минуты - уже плохо.
                    Попробуй при формировании кейтаб файла использовать криптографию RC4-HMAC, либо тут надо поиграть с настройками пользователя в AD для использования aes128 или 256.
                    Вообще ошибка прямо говорит о невозможности прочесть или понять конфигурационный файл

                    1 Reply Last reply Reply Quote 0
                    • F
                      flamel @JKQ
                      last edited by

                      @JKQ что говорит kinit -p HTTP/squid.domain.local или kinit -p HTTP/squid.domain.local@DOMAIN.LOCAL?

                      JKQJ 2 Replies Last reply Reply Quote 0
                      • JKQJ
                        JKQ @flamel
                        last edited by

                        @flamel нашел ошибку 🤦
                        Нет закрывающей скобки } перед [domain_realm] в коде у @werter
                        столько времени убил

                        werterW 1 Reply Last reply Reply Quote 0
                        • JKQJ
                          JKQ @flamel
                          last edited by

                          @flamel У меня SquidGuard service state: STOPPED даже при отключенном Enable LDAP Filter

                          В логах

                          2020-01-23 11:57:17 [97845] squidGuard 1.4 started (1579769837.011)
2020-01-23 11:57:17 [97845] db update done
2020-01-23 11:57:17 [97845] squidGuard stopped (1579769837.013)
2020-01-23 11:57:22 [50130] squidGuard 1.4 started (1579769842.472)
2020-01-23 11:57:22 [50130] db update done
2020-01-23 11:57:22 [50130] squidGuard stopped (1579769842.473)
                          F 1 Reply Last reply Reply Quote 0
                          • F
                            flamel @JKQ
                            last edited by

                            @JKQ не помню чтобы у меня без фильтра стартовал, по поводу фильтра проверяй точный путь до учётки, учётку должна быть та же что и для керберос, скобочки иногда исправляют ситуацию.
                            В моем случае такая проблема была из за сложности пароля, из за этого пришлось делать какой то просто пароль для учётки

                            JKQJ 1 Reply Last reply Reply Quote 0
                            • JKQJ
                              JKQ @flamel
                              last edited by

                              @flamel решил проверить работу без SquidGuard инет есть под любым пользователем и локальным и доменным.

                              Дошел до пункта
                              Это и есть наша аутентификация, уже сейчас можно проверить её работу, при попытке идти в интернет пользователю домена должно пускать, а если локальный пользователь то запрашивать логин\пароль.

                              я так понимаю в теме нет никого у кого бы заработало

                              F 1 Reply Last reply Reply Quote 0
                              • F
                                flamel @JKQ
                                last edited by

                                @JKQ если ты все правильно настроил то увидишь в логах либо посещение пользователей, либо попытки подключения и запросы логина\пароля.
                                На данный момент у меня все это работает с одновременным заходом 50+ пользователей, в том числе фильтрация по группам AD, завтра могу заскринить логи и конфиги того как это выглядит на работающей системе

                                1 Reply Last reply Reply Quote 1
                                • werterW
                                  werter @JKQ
                                  last edited by werter

                                  This post is deleted!
                                  1 Reply Last reply Reply Quote 0
                                  • werterW
                                    werter
                                    last edited by werter

                                    This post is deleted!
                                    1 Reply Last reply Reply Quote 0
                                    • werterW
                                      werter
                                      last edited by

                                      Удалил спорные моменты.

                                      M 1 Reply Last reply Reply Quote 0
                                      • M
                                        modice @werter
                                        last edited by

                                        @flamel Если я верно понял. Доменный пользователь вводит пароль только один раз при входе в систему. Далее ему есть либо нет доступа к определенным сайтам. Так же собирается статистика по доменным пользователям, кто куда как часто ходил и тд. И плюс ко всему есть возможность блокировать видео и аудио поток. Все верно?

                                        F 1 Reply Last reply Reply Quote 0
                                        • F
                                          flamel @modice
                                          last edited by

                                          @modice все верно, единственное что с видео и аудио потоком не заморачивался, просто определенным группам заблокировал видеохостинги, включая Ютуб, на данный момент 100 пользователей успешно работают

                                          M 1 Reply Last reply Reply Quote 0
                                          • M
                                            modice @flamel
                                            last edited by

                                            @flamel В какую сторону копать чтоб не блокировать целиком сайт, а только видео и ауди поток с https?

                                            F 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post