PFSENSE: Squid + ADGroups + HTTPS
-
[libdefaults]
default_realn = DOMAIN,LOCAL
default_keytab_nane = /etc/krb5.keytab - тут должно быть .conf
dns_lookup_realn = false
dns_lookup_kdc = true- получается ошибка тут!
сам C:\keytabs\PROXY.keytab
-
@millenium default_realm
и не должно быть там .conf -
не могу победить, запущу по старинке PF2AD, вроде нашел бесплатный сайт
-
Добрый день.
кейтаб создавал и закинул /etc/krb5.keytab и /usr/local/etc/krb5.keytabktpass -princ HTTP/proxy.kz.local@KZ.LOCAL -mapuser squid -pass qwertyuiop -crypto All -ptype KRB5_NT_PRINCIPAL -out D:\krb5.keytab
Создал /etc/krb5.conf с таким содержанием
default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log [libdefaults] default_realm = KZ.LOCAL default_keytab_name = /etc/krb5.keytab dns_lookup_realm = false dns_lookup_kdc = true [realms] KZ.LOCAL = { kdc = DC1.kz.local kdc = DC2.kz.local kdc = 192.168.1.1 admin_server = VS-DC1.kz.local default_domain = kz.local [domain_realm] .kz.local = KZ.LOCAL kz.local = KZ.LOCAL
но при выполнении kinit squid@KZ.LOCAL выводит
kinit: krb5_init_context failed to parse configuration file
Подскажите куда смотреть
-
@JKQ о, я помню.что то такое было, решил то ли созданием нового кейтаба в котором писал в mapuser squid@DOMAIN.LOCAL то ли тогда был расстнхрон нтп, его получил и переслал файл, файл перекидывал фар менеджером, вроде как способ его доставки тоже может играть роль
-
@flamel
файл пересоздал но ничего не получилось
NTP в таком состоянии здесь указаны КД и шлюз в качестве NTP
из командной строки проверить не получилось
в некоторых инструкциях пишут
default_keytab_name = FILE:/etc/krb5.keytab
хотя это уже от бессилия
-
@JKQ Я поставил один NTP - сам главный контроллер домена, потому что когда их два там алгоритм другой, для проверки в основном меню пфсенс показывается реальное время, просто сравни, рассинхрон больше минуты - уже плохо.
Попробуй при формировании кейтаб файла использовать криптографию RC4-HMAC, либо тут надо поиграть с настройками пользователя в AD для использования aes128 или 256.
Вообще ошибка прямо говорит о невозможности прочесть или понять конфигурационный файл -
@JKQ что говорит kinit -p HTTP/squid.domain.local или kinit -p HTTP/squid.domain.local@DOMAIN.LOCAL?
-
-
@flamel У меня SquidGuard service state: STOPPED даже при отключенном Enable LDAP Filter
В логах
2020-01-23 11:57:17 [97845] squidGuard 1.4 started (1579769837.011) 2020-01-23 11:57:17 [97845] db update done 2020-01-23 11:57:17 [97845] squidGuard stopped (1579769837.013) 2020-01-23 11:57:22 [50130] squidGuard 1.4 started (1579769842.472) 2020-01-23 11:57:22 [50130] db update done 2020-01-23 11:57:22 [50130] squidGuard stopped (1579769842.473)
-
@JKQ не помню чтобы у меня без фильтра стартовал, по поводу фильтра проверяй точный путь до учётки, учётку должна быть та же что и для керберос, скобочки иногда исправляют ситуацию.
В моем случае такая проблема была из за сложности пароля, из за этого пришлось делать какой то просто пароль для учётки -
@flamel решил проверить работу без SquidGuard инет есть под любым пользователем и локальным и доменным.
Дошел до пункта
Это и есть наша аутентификация, уже сейчас можно проверить её работу, при попытке идти в интернет пользователю домена должно пускать, а если локальный пользователь то запрашивать логин\пароль.я так понимаю в теме нет никого у кого бы заработало
-
@JKQ если ты все правильно настроил то увидишь в логах либо посещение пользователей, либо попытки подключения и запросы логина\пароля.
На данный момент у меня все это работает с одновременным заходом 50+ пользователей, в том числе фильтрация по группам AD, завтра могу заскринить логи и конфиги того как это выглядит на работающей системе -
This post is deleted! -
This post is deleted! -
Удалил спорные моменты.
-
@flamel Если я верно понял. Доменный пользователь вводит пароль только один раз при входе в систему. Далее ему есть либо нет доступа к определенным сайтам. Так же собирается статистика по доменным пользователям, кто куда как часто ходил и тд. И плюс ко всему есть возможность блокировать видео и аудио поток. Все верно?
-
@modice все верно, единственное что с видео и аудио потоком не заморачивался, просто определенным группам заблокировал видеохостинги, включая Ютуб, на данный момент 100 пользователей успешно работают
-
@flamel В какую сторону копать чтоб не блокировать целиком сайт, а только видео и ауди поток с https?
-
@modice в сторону MIME, https://interface31.ru/tech_it/2014/06/squid-blokiruem-potokovoe-multimedia.html