Авторизация Squid через AD



  • Господа, в сети с виндовым доменом имеется pfSense 1.2.2 На нем поднят squid+squidguard+lightsqud. Все замечательно работает, кого надо куда надо пускает, строятся отчеты и проч. Один минус - в отчетах светятся имена машин, а хотелось чтобы были логины пользователей. Насколько я понимаю для этого нужна авторизация пользователей squid через виндовый домен-контроллер. В сквиде галка для такой авторизации есть, а вот как настроить все это дело не совсем понятно. Может есть у кого опыт подобной настройки - поделитесь





  • Это я в принципе тоже видел :) Но насколько я понимаю самбы и винбинда в pfSense нет. Видимо придется ставить отдельную фрю и на нее все прикручивать. В любом случае спасибо за ответ



  • Не надо самбы Сквид использует msnt_auth. К сожалению у меня пока тоже не получилось его настроить.



  • так сервер AD есть или нет?



  • @zar0ku1:

    так сервер AD есть или нет?

    Сервер есть - сеть с доменом.



  • самбу можно поставить, тут уже писали про это



  • zar0ku1, не придумывайте сложности на пустом месте.
    Пример настройки Squid через AD - http://www.advproxy.net/ldapads.html



  • @pmrt:

    zar0ku1, не придумывайте сложности на пустом месте.
    Пример настройки Squid через AD - http://www.advproxy.net/ldapads.html

    Спасибо, завтра проверю.



  • @pmrt:

    zar0ku1, не придумывайте сложности на пустом месте.
    Пример настройки Squid через AD - http://www.advproxy.net/ldapads.html

    про какие сложности речь?

    человек сказал:

    Но насколько я понимаю самбы и винбинда в pfSense нет.

    я ответил, что можно поставить, в контексте данного топика самба не нужна, я ж в самом начале спросил есть сервер с АД или нет



  • Ну что коллеги. У кого нибудь получилось авторизация к AD прикрутить ??? Второй день бьюсь и всё безрезультатно…..... :'(



  • Вот что я сделал:

    Создал в каталоге /tmp два пустых файла с разрешением 0644 root (?)
    msntauth.allowusers
    msntauth.denyusers

    Отредактировал файлик /usr/local/etc/squid/msntauth.conf

    # Sample MSNT authenticator configuration file
    # Antonino Iannella, Stellar-X Pty Ltd
    # Sun Sep  2 15:52:31 CST 2001
    
    # NT hosts to use. Best to put their IP addresses in /etc/hosts.
    # (разделитель TAB)
    server myDC	myDC	mydomain
    #server other_PDC	other_BDC	otherdomain
    
    # Denied and allowed users. Comment these if not needed.
    denyusers	/tmp/msntauth.denyusers
    allowusers	/tmp/msntauth.allowusers
    

    В /etc/hosts пишем (разделитель TAB)

    ip.ad.dr.res myDC.my.domain
    

    В АД завел тестовую учетку test с паролем 123

    Зашел в консоль pfSense и запустил /usr/local/libexec/squid/msnt_auth. Ввел

    test 123
    OK
    

    OK это ответ msnt_auth

    Зашел в гуи сквида в настройку авторизации, выставил так:

    Auth. method = NT domain
    LDAP = 2
    Authentication server = myDC.mydomain.local
    LDAP base domain = dc=mydomain,dc=local
    Authentication prompt = Welcome
    

    Сохранил.

    Иду через браузер в инет - на запрс имени/пароля ввожу
    test
    123

    Вуаля! Я в инете.

    Теперь о грязном белье..
    Имя должно быть только латинским без пробелов и прочих спецсимволов.
    Пароль должен быть обязательно. Пустой пароль не хочет пропускать.

    Это все.

    зы Где-то 3 часа сражался. Мне кажется из гуя не апдейтится конфиг, и необходимо присутствие этих пустых файликов с алоу/дени юзерс.



  • dvserg

    Что то эта фишка у меня не проходит. После /usr/local/libexec/squid/msnt_auth user password - тишина полнейшая.



  • @sandro_m16:

    dvserg

    Что то эта фишка у меня не проходит. После /usr/local/libexec/squid/msnt_auth user password - тишина полнейшая.

    /usr/local/libexec/squid/msnt_auth <enter>воттут тишина, вводим : имя пробел пароль <enter>вот тут пишет ок или error</enter></enter>



  • да уж всё гениальное просто. Только вот у меня ERR. Да и при перезагрузке pfsense из /tmp всё удаляется.



  • @sandro_m16:

    да уж всё гениальное просто. Только вот у меня ERR. Да и при перезагрузке pfsense из /tmp всё удаляется.

    Этщт файлик может быть ему и не нужен. Я описал как я сделал и у меня получилось..



  • dvserg
    А контролер и Pfsense у тебя в одной подсети находятся ???
    У нас просто на цисках сетка и контролер и pfsense в разных посетях. Static routes прописан, но в squid.conf только сетка pfsense.
    Мот тут затык какой  ???



  • @sandro_m16:

    dvserg
    А контролер и Pfsense у тебя в одной подсети находятся ???
    У нас просто на цисках сетка и контролер и pfsense в разных посетях. Static routes прописан, но в squid.conf только сетка pfsense.
    Мот тут затык какой  ???

    Да, в одной.



  • А версия pfsense у тебя какая ?



  • @sandro_m16:

    А версия pfsense у тебя какая ?

    1.2, 1.2.3RC



  • @dvserg:

    Вот что я сделал:
    Зашел в консоль pfSense и запустил /usr/local/libexec/squid/msnt_auth. Ввел

    test 123
    OK
    

    Сделал то же самое в Событиях в домене в аудите входа пишет:

    Имя журнала:   Security
    Подача:        Microsoft-Windows-Security-Auditing
    Дата:          20.01.2010 1:19:40
    Код события:   4625
    Категория задачи:Вход в систему
    Уровень:       Сведения
    Ключевые слова:Сбой аудита
    Пользователь:  Н/Д
    Компьютер:     RKSERVER.champion.loc
    Описание:
    Учетной записи не удалось выполнить вход в систему.
    
    Субъект:
    	ИД безопасности:		NULL SID
    	Имя учетной записи:		-
    	Домен учетной записи:		-
    	Код входа:		0x0
    
    Тип входа:			3
    
    Учетная запись, которой не удалось выполнить вход:
    	ИД безопасности:		NULL SID
    	Имя учетной записи:		puri
    	Домен учетной записи:		CHAMPION
    
    Сведения об ошибке:
    	Причина ошибки:		Неизвестное имя пользователя или неверный пароль.
    	Состояние:			0xc000006d
    	Подсостояние:		0xc000006a
    
    Сведения о процессе:
    	Идентификатор процесса вызывающей стороны:	0x0
    	Имя процесса вызывающей стороны:	-
    
    Сведения о сети:
    	Имя рабочей станции:	\\GATEWAY.CHAMPIO
    	Сетевой адрес источника:	192.168.24.254
    	Порт источника:		4380
    
    Сведения о проверке подлинности:
    	Процесс входа:		NtLmSsp 
    	Пакет проверки подлинности:	NTLM
    	Промежуточные службы:	-
    	Имя пакета (только NTLM):	-
    	Длина ключа:		0
    

    Настроил дома домен на вертуалке: пдс 2003 сервер, шлюз и веркстейшн.
    Поправил msntauth.conf  все заработало. Видимо на работе делов в 2008 серваке.. Может кто знает в чем разница может быть. К сожелению домен на работе настраивал не я:(


Locked