PFSENSE: Squid + ADGroups + HTTPS
-
Добрый
@flamel
Спасибо за труд )Для этого создаём доменную учетную запись для нашего прокси,
Я бы только на этой учетке поставил галку на "Без предварительной проверки подлинности Kerberos".
В некоторых случаях данный блок надо заключить либо в одинарные, либо в двойные скобочки:
Предположу ,что кавычки нужны, если есть пробелы или НЕлатинские символы.
Ошибка? В строке "auth_param negotiate program ..." указано "-k /usr/local/etc/squid/squid.keytab". Однако, выше в /etc/krb5.conf указано "default_keytab_name /etc/krb5.keytab". И согласно manpages.ubuntu.com/manpages/bionic/en/man8/negotiate_kerberos_auth.8.html
-k Keytab-Name
Provide Kerberos Keytab Name (Default: /etc/krb5.keytab)Ах да, чуть не забыл:
Это можно прямо в ГУИ сквида делать? Есть ли пункт для таких случаев (что-то типа Custom Options (Before Start))? Сквид же правленное руками в его конфигах после ребута затирает ? Проверяли ребутом пф?
Разобрался )
manpages.ubuntu.com/manpages/bionic/en/man8/negotiate_kerberos_auth.8.htmlKerberos can keep a replay cache to detect the reuse of Kerberos tickets (usually only
possible in a 5 minute window) . If squid is under high load with Negotiate(Kerberos)
proxy authentication requests the replay cache checks can create high CPU load. If the
environment does not require high security the replay cache check can be disabled for MIT
based Kerberos implementations by adding the below to the startup script or use the -t none option.KRB5RCACHETYPE=none export KRB5RCACHETYPE
Т.е. или пользовать "костыль" в виде ручной правки squid.inc с добавлением строки с "KRB5RCACHETYPE=none export KRB5RCACHETYPE" или добавить в конец "auth_param negotiate program /path/to/negotiate_kerberos_auth" параметр "-t none". Что у вас и сделано.
Смело можно удалять добавленную руками строку в squid.inc, перезагружать squid и проверять.На время теста можно добавить в "auth_param negotiate program /path/to/negotiate_kerberos_auth" параметр -d
interface31.ru/tech_it/2015/06/nastraivaem-squid-dlya-raboty-s-active-directory-chast-2-kerberos-autentifikaciya.htmlЗы. Просьба, вместо скринов (части конфигов) пользовать текст.
-
@werter я полностью не разобрался с -t none и правкой записи в стартовом скрипте, но вроде правка записи в стартовом скрипте не работает именно на ПФсенс, мол где то это исправляется, сейчас уже не вспомню.
Скрины были использованы потому что местный антиспам блокировал все :( пропустил только так -
Добрый
@flamelя полностью не разобрался с -t none и правкой записи в стартовом скрипте
Объяснение и решение выше. Пробуйте.
Скрины были использованы потому что местный антиспам блокировал все :( пропустил только так
Пользуйте тэг "Code":
Пример:
ldapusersearch .. -
@werter в том то и дело) я его использовал, а все равно, я скрины делал с предпросмотра
-
This post is deleted! -
@werter
я не знаю как это работает, но у меня задница горела долго, потому что после каждого вырезанного куска кода и вставленного вместо него скриншота я пробовал опубликовать запись и каждый раз антиспам меня имел) -
This post is deleted! -
@werter это именно на сайте на этом встроенный антиспам как я понял, акисмет или как то так, возможно он ещё к рейтингу привязан какому нибудь
-
@flamel
Рейтинг? Хм, возможно ) -
@werter Хотел допилить статью и включить туда Lightsquid для мониторинга трафика и тд по пользователям, к тому же вернули возможность ковырять это все и уже с 50 пользователей начали ходить через пфсенс, как выяснилось что lightsquid в пакетах есть, запущен, sqstat открывается, а lightsquid вообще не открывается, не по порту, не через http://ip/lightsquid/, есть где нибудь внятные инструкции или рекомендации? Уже вроде открыл порт для lightsquid, но толку нет, по порту просто ответ не приходит, а по ссылке выше 403 ошибка
-
@flamel
httpS://ip/lightsquid/ ?lightsquid + pfsense --> гугл :
https://www.netgate.com/resources/videos/squid-squidguard-and-lightsquid-on-pfsense-24.html
https://shop.nativepc.ru/content/26--lightsquid-
https://1cloud.ru/help/bsd/nastroyka-proksi-servera-pfsense -
@werter lightsquid живёт на wan или на lan?
Видеоролик вообще крутой, он его просто включает и сразу он у него работает, браво завтра попробую по одной из инструкций что то сделать, если получится - дополню инструкцию и пойду смотреть почему clamav не запускается) -
Не, ну еси вам надо весь инет своим лайтсквидом "обслуживать" - тада и на ВАН тоже ) Все же надо думать немного.
LAN + loopback (если выбирается)
ClamAV? Сразу НЕТ. Выкл. и даже не думайте его пользовать. Толку-нуль, а проблем типа "апачимуминяниработаить" - куча.
-
@werter у меня и Лан и Ван просто в локале торчат) в интернет не они смотрят
-
@flamel
Тогда и WAN у вас НЕ WAN в прямом понимании этой аббревиатуры. -
Дошел до первой проблемы!
Проверка kinit: kinit my.user@MYDOMAIN.LOCAL
выдает: kinit: krb5_init_context failed to parse configuration file
куда смотреть?
-
@millenium по моему такая ошибка возникает если крб файл неправильно сконфигурирован, попробуйте другие способы создания и передачи файла
-
@millenium я бы ещё крб5.конф глянул, там синтаксис должен соблюдаться и синхронизацию нтп проверить стоит. А также пингануть контроллер домена
-
@flamel КД пингуется, по имени, все ок.
какие еще способы конфигурирования krb5 есть?
и в какую дерикторию его лучше класть?
-
[libdefaults]
default_realn = DOMAIN,LOCAL
default_keytab_nane = /etc/krb5.keytab - тут должно быть .conf
dns_lookup_realn = false
dns_lookup_kdc = true- получается ошибка тут!
сам C:\keytabs\PROXY.keytab
