URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 5211
[ Назад ]

Исходное сообщение
"OpenNews: Аутентификация пользователей squid через доменные аккаунты Windows"

Отправлено opennews , 28-Фев-05 00:49 
Misha Volodko описал как можно аутентифицировать пользователей в squid на основе доменных аккаунтов.

URL: http://www.opennet.me/base/net/win_domain_squid.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=5122


Содержание

Сообщения в этом обсуждении
"Аутентификация пользователей squid через доменные аккаунты Windows"
Отправлено fc , 28-Фев-05 00:49 
Да сколько же можно???

"Аутентификация пользователей squid через доменные аккаунты Windows"
Отправлено asciiz , 28-Фев-05 00:52 
Не нравится, не читай

"А как сделать то же самое если (+)"
Отправлено tadmin , 28-Фев-05 02:13 
если домен на самбе поднят?
Корректно работающая связка samba 3 + ldap backend не хочет отдавать имена через winbindd

"Аутентификация пользователей squid через доменные аккаунты Windows"
Отправлено Vlad , 28-Фев-05 08:46 
Домен выбран неудачный :( Как это пива нет? А в целом нормальная статья.

"Аутентификация пользователей squid через доменные аккаунты Windows"
Отправлено ds_shadof , 28-Фев-05 09:27 
tadmin, ну и что? У меня тоже winbindd в такой связке ничего не показывает. На суть описанного это не влияет.

"однако влияет"
Отправлено tadmin , 28-Фев-05 14:50 
ntlm_auth не может брать учетные записи прямо из ldap, ему нужен работающий winbindd, которому, в свою очередь, нужно установленные trust relationship с контроллером домена.

Если у тебя работает в локальной связке, то не мог бы ты показать:
содержимое /etc/nsswithc.conf
#wbinfo -t
#wbinfo -u


"однако влияет"
Отправлено ds_shadof , 02-Мрт-05 15:10 
[root@forlan bin]# ./wbinfo -t                  
checking the trust secret via RPC calls succeeded
[root@forlan bin]# ./wbinfo -u                  
Error looking up domain users
Но падла авторизирует :)
[root@forlan bin]# ./wbinfo -a ds_shadof%pass_here
plaintext password authentication succeeded        
challenge/response password authentication succeeded                    
Кусочек который тебя интересует от nsswitch.conf
passwd:     files ldap
shadow:     files ldap
group:      files ldap
Так же предвижу вопроc о содержимом  ldap.conf
host 127.0.0.1                              
base dc=liin,dc=org                        
binddn cn=Manager,dc=liin,dc=org            
bindpw parol'_tut                            
#rootbinddn cn=Manager,dc=liin,dc=org      
                                            
pam_password exop                          
                                            
nss_base_passwd ou=people,dc=liin,dc=org?one
nss_base_shadow ou=people,dc=liin,dc=org?one
nss_base_group ou=groups,dc=liin,dc=org?one

"Аутентификация пользователей squid через доменные аккаунты Windows"
Отправлено toor99 , 28-Фев-05 09:53 
Хорошая статья, спасибо!
А домен действительно выбран неудачный :)  Тем более, что домен действительно существует - это вполне такой себе серьёзный хостинг-провайдер. См. http://www.piva.net/ :)

"Аутентификация пользователей squid через доменные аккаунты Windows"
Отправлено Nikola , 28-Фев-05 09:56 
># Да сколько же можно???
Да столько сколько нужно, тебе парень написАли о том как использовать авторизацию Windows и Active Directory. Т.е. фактически показано как увязать FreeBSD и AD.

"Аутентификация пользователей squid через доменные аккаунты Windows"
Отправлено Аноним , 28-Фев-05 11:40 
А может проще перетащить всех доменных пользователей в NIS и забить на весь этот бардак.
Что ни прога - тут же учим ее авторизоваться в АД. Самостоятельно.

"Аутентификация пользователей squid через доменные аккаунты Windows"
Отправлено GR , 28-Фев-05 22:56 
NIS - хуже. Через роутеры без бубна не бегает, секурити - грустно молчу, итд.итп ...
Хотя и предложенное - не мед :(

"Аутентификация пользователей squid через доменные аккаунты W..."
Отправлено Аноним , 01-Мрт-05 10:28 
Как это через роутеры не бегает???? Оно же 111/tcp 111/udp.
Какая секурити??? Та что хэши паролей по сети скачут? Если да, то я ведь не говорил, что и авторизоваться тоже через NIS. Авторизоваться можно как угодно.
Собираем к примеру, файл паролей /var/yp/passwd_NIS из сточек вида:
user1:x:1001:2001:user1:/no_home:/no_shell
Аналогично /var/yp/group_NIS

Настраиваем pam куда угодно (winbind, smb_auth, kerberos, etc...)
И все. Пользователи - доменные, группы и членство в них - доменные, авторизация - доменная.

Что полохого?


"Аутентификация пользователей squid через доменные аккаунты W..."
Отправлено Аноним , 01-Мрт-05 10:35 
PS. при этом все это добро можно сколь угодно раздавать на другие юниксы, uid-ы и gid-ы то одинаковые.

"Аутентификация пользователей squid через доменные аккаунты W..."
Отправлено demimurych , 01-Мрт-05 13:15 
Внимательно гугляем на тему NIS и секьюрити и понимаем что NIS это не просто дыра а отрытые двери с плакатом добро пожаловать.

"Аутентификация пользователей squid через доменные аккаунты W..."
Отправлено Аноним , 01-Мрт-05 14:31 
Может быть почтеннейший не сочтет за труд ткнуть носом в конкретные проблемы?

"Аутентификация пользователей squid через доменные аккаунты Windows"
Отправлено arruah , 01-Мрт-05 12:55 
А возможно ли это внедрить сразу через опенлдап?
К примеру у меня учетки хранятся в openldap. Самба привязана к лдап. Так вот если делать  Аутентификация пользователей squid через доменные аккаунты Windows ;) то получает не нужный посредник Samba. Или без Самбы все таки не обойтись ?

"OpenNews: Аутентификация пользователей squid через доменные ..."
Отправлено Finch , 09-Мрт-05 11:36 
Доброе время суток,
делал как написано. Всё нормально работало, IE не спрашивал, mozzila спрашивала, вообщем всё работало....
Но через час работы, начал спрашивать опять логин и пароль, и ни один не стал проходить....
Начал делать всё заново как тут написано.... Теперь не могу получить билет от Kerberos'а.
Говорит логин и пароль не правильные, хотя всё нормально....
bash-2.05b# kinit -p finch@domain.ru
finch@domain.ru's Password:
kinit: Password incorrect

Вот что про kerberos в /var/log/messages

Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar  5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar  5 13:55:27 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/


Вот что squid пишет в cache.log:

2005/03/04 14:19:34| Starting Squid Cache version 2.5.STABLE8 for i386-unknown-freebsd5.3...
2005/03/04 14:19:34| Process ID 583
2005/03/04 14:19:34| With 11072 file descriptors available
2005/03/04 14:19:34| Performing DNS Tests...
2005/03/04 14:19:34| Successful DNS name lookup tests...
2005/03/04 14:19:34| DNS Socket created at 0.0.0.0, port 49338, FD 5
2005/03/04 14:19:34| /etc/resolv.conf: (13) Permission denied
2005/03/04 14:19:34| Warning: Could not find any nameservers. Trying to use localhost
2005/03/04 14:19:34| Please check your /etc/resolv.conf file
2005/03/04 14:19:34| or use the 'dns_nameservers' option in squid.conf.2005/03/04 14:19:34| helperStatefulOpenServers: Starti
ng 30 'ntlm_auth' processes
2005/03/04 14:19:35| helperOpenServers: Starting 10 'ntlm_auth' processes
2005/03/04 14:19:35| Unlinkd pipe opened on FD 50
2005/03/04 14:19:35| Swap maxSize 102400 KB, estimated 7876 objects
2005/03/04 14:19:35| Target number of buckets: 393
2005/03/04 14:19:35| Using 8192 Store buckets
2005/03/04 14:19:35| Max Mem  size: 8192 KB
2005/03/04 14:19:35| Max Swap size: 102400 KB
2005/03/04 14:19:35| Rebuilding storage in /usr/local/squid/var/cache (DIRTY)
2005/03/04 14:19:35| Using Least Load store dir selection
2005/03/04 14:19:35| Set Current Directory to /usr/local/squid/var/cache
2005/03/04 14:19:35| Loaded Icons.
2005/03/04 14:19:36| Accepting HTTP connections at 192.168.0.11, port 3128, FD 52.
2005/03/04 14:19:36| Accepting ICP messages at 0.0.0.0, port 3130, FD 53.
2005/03/04 14:19:36| WCCP Disabled.
2005/03/04 14:19:36| Ready to serve requests.
2005/03/04 14:19:36| Done reading /usr/local/squid/var/cache swaplog (193 entries)
2005/03/04 14:19:36| Finished rebuilding storage from disk.
2005/03/04 14:19:36|       190 Entries scanned
2005/03/04 14:19:36|         0 Invalid entries.
2005/03/04 14:19:36|         0 With invalid flags.
2005/03/04 14:19:36|       190 Objects loaded.
2005/03/04 14:19:36|         0 Objects expired.
2005/03/04 14:19:36|         0 Objects cancelled.
2005/03/04 14:19:36|         3 Duplicate URLs purged.
2005/03/04 14:19:36|         0 Swapfile clashes avoided.
2005/03/04 14:19:36|   Took 0.5 seconds ( 347.7 objects/sec).
2005/03/04 14:19:36| Beginning Validation Procedure
2005/03/04 14:19:36|   Completed Validation Procedure
2005/03/04 14:19:36|   Validated 187 Entries
2005/03/04 14:19:36|   store_swap_size = 886k
2005/03/04 14:19:36| storeLateRelease: released 0 objects
2005/03/04 15:49:13| WARNING: ntlmauthenticator #1 (FD 7) exited


Вот мой лог кербероса,

bash-2.05b# cat /etc/krb5.conf
[logging]
      default = FILE:/var/log/krb5/libs.log
      kdc = FILE:/var/log/krb5/kdc.log
      admin_server = FILE:/var/log/krb5/admin.log

[libdefaults]
        ticket_lifetime = 24000
        default_realm = DOMAIN.RU
        default_tgs_enctypes = des-cbc-crc des-cbc-md5
        default_tkt_enctypes = des-cbc-crc des-cbc-md5
        forwardable = true
        proxiable = true
        dns_lookup_realm = true
        dns_lookup_kdc = true

[realms]
        MGUS.RU = {
        kdc = Dc.domain.ru:88
        default_domain = Dc.domain.ru
                }

[domain_realm]
        .mgus.ru = DOMAIN.RU
        mgus.ru = DOMAIN.RU
[kdc]
       profile = /var/kerberos/kdc.conf
[pam]
        debug = false
        ticket_lifetime = 36000
        renew_lifetime = 36000
        forwardable = true
        krb4_convert = false


"OpenNews: Аутентификация пользователей squid через доменные ..."
Отправлено STranger_ , 24-Май-05 16:58 
>Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar  5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar  5 13:55:27 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/

В настройках зоны в DNS поставь check-names ignore; с ним нормально обрабатываются имена с символом _.