PFSENSE: Squid + ADGroups + HTTPS
-
This post is deleted! -
@werter это именно на сайте на этом встроенный антиспам как я понял, акисмет или как то так, возможно он ещё к рейтингу привязан какому нибудь
-
@flamel
Рейтинг? Хм, возможно ) -
@werter Хотел допилить статью и включить туда Lightsquid для мониторинга трафика и тд по пользователям, к тому же вернули возможность ковырять это все и уже с 50 пользователей начали ходить через пфсенс, как выяснилось что lightsquid в пакетах есть, запущен, sqstat открывается, а lightsquid вообще не открывается, не по порту, не через http://ip/lightsquid/, есть где нибудь внятные инструкции или рекомендации? Уже вроде открыл порт для lightsquid, но толку нет, по порту просто ответ не приходит, а по ссылке выше 403 ошибка
-
@flamel
httpS://ip/lightsquid/ ?lightsquid + pfsense --> гугл :
https://www.netgate.com/resources/videos/squid-squidguard-and-lightsquid-on-pfsense-24.html
https://shop.nativepc.ru/content/26--lightsquid-
https://1cloud.ru/help/bsd/nastroyka-proksi-servera-pfsense -
@werter lightsquid живёт на wan или на lan?
Видеоролик вообще крутой, он его просто включает и сразу он у него работает, браво
завтра попробую по одной из инструкций что то сделать, если получится - дополню инструкцию и пойду смотреть почему clamav не запускается) -
Не, ну еси вам надо весь инет своим лайтсквидом "обслуживать" - тада и на ВАН тоже ) Все же надо думать немного.
LAN + loopback (если выбирается)
ClamAV? Сразу НЕТ. Выкл. и даже не думайте его пользовать. Толку-нуль, а проблем типа "апачимуминяниработаить" - куча.
-
@werter у меня и Лан и Ван просто в локале торчат) в интернет не они смотрят
-
@flamel
Тогда и WAN у вас НЕ WAN в прямом понимании этой аббревиатуры. -
Дошел до первой проблемы!
Проверка kinit: kinit my.user@MYDOMAIN.LOCAL
выдает: kinit: krb5_init_context failed to parse configuration file
куда смотреть?
-
@millenium по моему такая ошибка возникает если крб файл неправильно сконфигурирован, попробуйте другие способы создания и передачи файла
-
@millenium я бы ещё крб5.конф глянул, там синтаксис должен соблюдаться и синхронизацию нтп проверить стоит. А также пингануть контроллер домена
-
@flamel КД пингуется, по имени, все ок.
какие еще способы конфигурирования krb5 есть?
и в какую дерикторию его лучше класть?
-
[libdefaults]
default_realn = DOMAIN,LOCAL
default_keytab_nane = /etc/krb5.keytab - тут должно быть .conf
dns_lookup_realn = false
dns_lookup_kdc = true- получается ошибка тут!
сам C:\keytabs\PROXY.keytab
-
@millenium default_realm
и не должно быть там .conf -
не могу победить, запущу по старинке PF2AD, вроде нашел бесплатный сайт
-
Добрый день.
кейтаб создавал и закинул /etc/krb5.keytab и /usr/local/etc/krb5.keytabktpass -princ HTTP/proxy.kz.local@KZ.LOCAL -mapuser squid -pass qwertyuiop -crypto All -ptype KRB5_NT_PRINCIPAL -out D:\krb5.keytabСоздал /etc/krb5.conf с таким содержанием
default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log [libdefaults] default_realm = KZ.LOCAL default_keytab_name = /etc/krb5.keytab dns_lookup_realm = false dns_lookup_kdc = true [realms] KZ.LOCAL = { kdc = DC1.kz.local kdc = DC2.kz.local kdc = 192.168.1.1 admin_server = VS-DC1.kz.local default_domain = kz.local [domain_realm] .kz.local = KZ.LOCAL kz.local = KZ.LOCALно при выполнении kinit squid@KZ.LOCAL выводит
kinit: krb5_init_context failed to parse configuration fileПодскажите куда смотреть
-
@JKQ о, я помню.что то такое было, решил то ли созданием нового кейтаба в котором писал в mapuser squid@DOMAIN.LOCAL то ли тогда был расстнхрон нтп, его получил и переслал файл, файл перекидывал фар менеджером, вроде как способ его доставки тоже может играть роль
-
@flamel
файл пересоздал но ничего не получилось
NTP в таком состоянии здесь указаны КД и шлюз в качестве NTP
из командной строки проверить не получилось
в некоторых инструкциях пишут
default_keytab_name = FILE:/etc/krb5.keytabхотя это уже от бессилия
-
@JKQ Я поставил один NTP - сам главный контроллер домена, потому что когда их два там алгоритм другой, для проверки в основном меню пфсенс показывается реальное время, просто сравни, рассинхрон больше минуты - уже плохо.
Попробуй при формировании кейтаб файла использовать криптографию RC4-HMAC, либо тут надо поиграть с настройками пользователя в AD для использования aes128 или 256.
Вообще ошибка прямо говорит о невозможности прочесть или понять конфигурационный файл
