Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Squid+AD+Kerberos+https without password

    Scheduled Pinned Locked Moved Russian
    49 Posts 4 Posters 9.4k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • F
      flamel @Gonzales
      last edited by

      @Gonzales 1123.JPG
      учетка создавалась по более простому шифрованию, не AES, попробовать пересоздать?
      Если убрать галочку enable LDAP filter SG чудесным образом оживает

      1 Reply Last reply Reply Quote 0
      • F
        flamel @Gonzales
        last edited by

        @Gonzales аутентификация при этом на самом сквиде должна быть "none"? помимо того что в дополнительных свойствах прописали

        1 Reply Last reply Reply Quote 0
        • G
          Gonzales
          last edited by

          На сквиде все норм. (должно быть).

          У меня так:
          В настройках Squid:
          [General]
          Enable Squid Proxy - [ V ]
          Keep Settings/Data - [ V ]
          Proxy Interface(s) - [ LAN, loopback ]
          Proxy Port - [ 3128 ]
          ICP Port - <empty>
          Allow Users on Interface - [ V ]
          Resolve DNS IPv4 First - [V]
          Disable ICMP - [ ]
          Use Alternate DNS Servers for the Proxy Server - <empty>
          Transparent HTTP Proxy - [ ]
          HTTPS/SSL Interception - [ ]

          в адвансед:
          auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -k /usr/local/etc/squid/proxy-pf.keytab
          auth_param negotiate children 60
          auth_param negotiate keep_alive off

          acl auth proxy_auth REQUIRED
          http_access deny !auth
          http_access allow auth

          На вкладке Real time можно посмотреть.

          С SG непонять.. Надо попробовать убрать enable LDAP filter, добавить пару сайтов в блэклист и попробовать на них зайти. Если не заходится, значит SG отрабатывает и значит проблема только в подключении к LDAP, т.е. в строке LDAP DN и/или LDAP DN Password в General settings.

          Не стоит галка на "Без предварительной проверки подлинности Kerberos" - это проверял?

          F 1 Reply Last reply Reply Quote 0
          • F
            flamel @Gonzales
            last edited by

            @Gonzales галка не стоит, только я так и не понял, она должна стоять или нет?
            Поидее для работы с Ldap SG нужна любая учетка способная читать каталоги LDAP, т.е я могу попробовать любую другую учетку поставить сюда?

            G 1 Reply Last reply Reply Quote 0
            • G
              Gonzales
              last edited by

              Да, можно попробовать другую. Вот еще господа с форума писали

              "Разобрался с авторизацией squid через LDAP. Нужно указать порт 3268 вместо стандартного 389. Теперь pf2ad не нужен.

              Squidguard заработал, когда поставил пароль на учётку из 8 букв без цифр, символов. Со сложным паролем не работает(

              Подключение к AD прошло успешно! :)"

              https://forum.netgate.com/topic/122291/pf2ad-squidguard-%D0%BD%D0%B5-%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%B5%D1%82-squidguard/7

              F 1 Reply Last reply Reply Quote 0
              • G
                Gonzales @flamel
                last edited by

                @flamel Ну как успехи?

                1 Reply Last reply Reply Quote 0
                • F
                  flamel @Gonzales
                  last edited by

                  @Gonzales
                  Я почти обрадовался, пароль поставил простой и СГ отвис, но теперь веселее, бесконечный запрос логина и пароля

                  ldapusersearch ldap://bdc.primvoda.local:3268/DC=PRIMVODA,DC=LOCAL?sAMAccountName?sub?(&(sAMAccountName=%s)(memberOf=CN=group_0%2cOU=squid%2cOU=service-groups%2cDC=PRIMVODA%2cDC=LOCAL))
                  

                  Лист блокировок:

                  18.11.2019 11:48:35	192.168.12.147/192.168.12.147	r2---sn-ug5onuxaxjvh-n8vs.googlevideo.com:443	Request(default/none/-) krivoshein-ay@primvoda.local CONNECT REDIRECT
                  18.11.2019 11:48:21	192.168.12.147/192.168.12.147	sync.opera.com:443	Request(default/none/-) krivoshein-ay@primvoda.local CONNECT REDIRECT
                  18.11.2019 11:48:18	192.168.12.147/192.168.12.147	r2---sn-ug5onuxaxjvh-n8vs.googlevideo.com:443	Request(default/none/-) krivoshein-ay@primvoda.local CONNECT REDIRECT
                  18.11.2019 11:48:01	192.168.12.147/192.168.12.147	r2---sn-ug5onuxaxjvh-n8vs.googlevideo.com:443	Request(default/none/-) krivoshein-ay@primvoda.local CONNECT REDIRECT
                  

                  СГ работает

                  18.11.2019 16:08:27	squidGuard ready for requests (1574057307.294)
                  18.11.2019 16:08:27	Info: recalculating alarm in 28233 seconds
                  18.11.2019 16:08:27	squidGuard 1.4 started (1574057307.050)
                  

                  может дело в галке "Без предварительной проверки подлинности kerberos"? она должна стоять или нет?

                  1 Reply Last reply Reply Quote 0
                  • G
                    Gonzales
                    last edited by Gonzales

                    Нет не должна.. И это к Squid-у относится, но у тебя авторизация проходит. Или нет?

                    F 1 Reply Last reply Reply Quote 0
                    • F
                      flamel @Gonzales
                      last edited by

                      @Gonzales в том то и дело что нет, бесконечный запрос логина и пароля

                      G 1 Reply Last reply Reply Quote 0
                      • G
                        Gonzales @flamel
                        last edited by

                        @flamel Попробуй пока вырубить SG и разобраться со Squid.

                        УЗ пересоздавал или просто пароль изменил?

                        keytab переформировывал?

                        F 1 Reply Last reply Reply Quote 0
                        • F
                          flamel @Gonzales
                          last edited by

                          @Gonzales так все таки надо чтобы одна и та же учетка была? Тогда думаю завтра смогу решить проблему, а то выгнали с работы из за снега) если все получится напишу здесь статью, а то сам потом забуду все)

                          1 Reply Last reply Reply Quote 0
                          • G
                            Gonzales
                            last edited by

                            Если изменил пароль на УЗ на которую изначально формировал keytab для squid-а , то его вроде бы надо заново сформировать.

                            F 1 Reply Last reply Reply Quote 0
                            • F
                              flamel @Gonzales
                              last edited by

                              @Gonzales нет, я создал ещё одну учетку, про то что если изменил пароль надо ещё и Кейтаб делать я вкурсе, просто учетка сг и сквида должна быть одна или можно разные? Если должна быть одна то вот в этом у меня и проблема

                              G 1 Reply Last reply Reply Quote 0
                              • G
                                Gonzales @flamel
                                last edited by

                                @flamel Не исключено.. Ждем результата :)

                                F 1 Reply Last reply Reply Quote 0
                                • F
                                  flamel @Gonzales
                                  last edited by

                                  @Gonzales В общем решил по мануалу попробовать AES 128, и столкнулся со странной проблемой, сначала пришлось делать ktutil destroy т.к было две записи в ktutil, исправил, теперь:

                                  FILE:/etc/krb5.keytab:
                                  
                                  Vno  Type                     Principal                                   Aliases
                                    6  aes128-cts-hmac-sha1-96  HTTP/pfsense.primvoda.local@PRIMVODA.LOCAL
                                  
                                  

                                  Но сквид ругается на то что шифрование не "rc4-hmac"

                                  negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. Request ticket server HTTP/pfsense.primvoda.local@PRIMVODA.LOCAL kvno 6 found in keytab but not with enctype rc4-hmac
                                  

                                  до смешного уже) пока не могу никак найти информацию где и как прописывается использование AES 128

                                  G 1 Reply Last reply Reply Quote 0
                                  • G
                                    Gonzales @flamel
                                    last edited by

                                    @flamel В AD в настройках пользователя поставил поддержку aes128?

                                    F 2 Replies Last reply Reply Quote 0
                                    • F
                                      flamel @Gonzales
                                      last edited by

                                      @Gonzales да, и в krb5.conf прописал aes, но такое чувство будто хелпер запрашивает именно rc

                                      1 Reply Last reply Reply Quote 0
                                      • F
                                        flamel @Gonzales
                                        last edited by

                                        @Gonzales в общем победил тем что сделал новый кейтаб с прежним шифрованием, и все заработало, я от радости чуть не умер, но радость была не долгой, через пол часа аутентификация отвалилась с ошибкой:

                                        Date-Time	Сообщение
                                        01.01.1970 10:00:00	negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. Request ticket server HTTP/Pfsense.primvoda.local@PRIMVODA.LOCAL not found in keytab (ticket kvno 8)
                                        

                                        и почему то все даты стали 01.01.1970

                                        1 Reply Last reply Reply Quote 0
                                        • werterW
                                          werter
                                          last edited by werter

                                          Добрый

                                          https://forum.netgate.com/topic/128203/squid-ad-kerberos/

                                          Нашёл в документации хелпера, параметр -t ^_^/
                                          Итоговая запись:
                                          auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME -k /usr/local/etc/squid/proxy.keytab -t none

                                          https://blog.stefan-macke.com/2011/04/19/single-sign-on-with-kerberos-using-debian-and-windows-server-2008-r2/

                                          Unspecified GSS failure. Minor code may provide more information (, )
                                          → wrong kvno or machine password in /etc/krb5.keytab → recreate the keytab using the correct information
                                          → OR problem with local Kerberos ticket cache on your workstation, use Kerbtray.exe to purge the ticket cache and open the website in IE again

                                          Вместо Kerbtray пользовать klist (https://blogs.technet.microsoft.com/tspring/2014/06/23/viewing-and-purging-cached-kerberos-tickets/)

                                          https://forum.ubuntu.ru/index.php?topic=279873.0

                                          еще важно в настройках прокси писать имя прокси сервера так, как это было при получении keytab файла, настраиваем DNS прямую и обратную зоны, или вообще используем всегда только ip адрес, но важно чтобы всегда всё было одинаково. Например для моего домена domain.ru и имени прокси squid мы делаем keytab для squid.domain.ru, соответственно например в винде в настройках прокси пишем squid.domain.ru, а не просто squid или 192.168.1.7
                                          у вас соответственно s76-proxy.yar.local но не 10.42.60.23
                                          Помогла вот эта статья, рекомендую
                                          https://rtzra.ru/wiki/software/squid/squid-active-directory-kerberos

                                          Подробный мануал по squid + ldap + kerberos. Рекомендую заглянуть docs.diladele.com/administrator_guide_stable/active_directory/index.html

                                          https://www.linux.org.ru/forum/general/14639957
                                          https://www.opennet.ru/openforum/vsluhforumID12/7019.html
                                          Целых 10 статей по настройке squid blog.it-kb.ru/2014/06/16/forward-proxy-squid-3-3-on-ubuntu-server-14-04-lts-part-1-install-os-on-hyper-v-generation-2-vm/

                                          Зы. Нашел еще "Снижение нагрузки на процессорные ресурсы при использовании хелпера Kerberos-аутентификации (negotiate_kerberos_auth) для прокси-сервера Squid 3" blog.it-kb.ru/2015/04/30/reduction-of-high-peak-load-on-cpu-resources-by-using-kerberos-authentication-helper-negotiate_kerberos_auth-for-the-squid-3-proxy-server/ Может пригодиться.

                                          1 Reply Last reply Reply Quote 2
                                          • werterW
                                            werter
                                            last edited by

                                            Добрый.
                                            @flamel
                                            Все карты на руках. Ждем мануал с картинками )

                                            F 1 Reply Last reply Reply Quote 0
                                            • First post
                                              Last post
                                            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.