Squid3 не работает ACL localnet
Добавлено: 31 мар 2016 14:11
Приветствую! Это моя первая попытка установить Squid на Ubuntu. И сразу хочу связать её с AD.
Действовал по серии статей Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS.
https://blog.it-kb.ru/2014/06/16/forwar ... tion-2-vm/
Начальные условия:
домен kh.wizard.net
два контроллера, сеть 192.168.10.0/24
Есть два шлюза 192.168.10.100 и 192.168.10.111. Хочу направить пользователей через 111. Установил Ubuntu и далее по статьям. Дошел до 5-й части, авторизация не работает.
Сервер установил внутри сети т.к. доступа к шлюзу у меня нет и поменять настройки не могу.
файл /etc/network/interfaces/
auto eth1
iface eth1 inet static
address 192.168.10.10
netmask 255.255.255.0
gateway 192.168.10.111
dns-nameservers 192.168.10.201 192.168.10.55
dns-domain kh.wizard.net
auto eth0
iface eth0 inet static
address 192.168.10.2
netmask 255.255.255.0
Создал в домене пользователя Squid для подключения. Машину ввел в домен и назвал UbuntuGW
ключ получил
ktpass -princ ubuntuGW.kh.wizard.net@KH.WIZARD.NET -mapuser Squid -pass Cjkysirj -crypto All -ptype KRB5_NT_PRINCIPAL -out C:\Temp\PROXY.keytab
Samba
[global]
netbios name = UbuntuGW
workgroup = KH-WIZARD
security = ADS
realm = KH.WIZARD.NET
encrypt passwords = yes
interfaces = 192.168.10.0/24
bind interfaces only = yes
winbind nss info = rfc2307
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
idmap config *:backend = tdb
idmap config *:range = 10000-80000
idmap config KH-WIZARD:backend = rid
idmap config KH-WIZARD:range = 10000-80000
Настройки авторизации в squid
# OPTIONS FOR AUTHENTICATION
# -----------------------------------------------------------------------------
#
# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-nt$
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off
# Only NTLM authentication
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100 startup=20 idle=5
auth_param ntlm keep_alive off
# Basic authentication via ldap for clients not authenticated via kerberos/ntlm
auth_param basic program /usr/lib/squid3/basic_ldap_auth -v 3 -P -R -b "dc=kh,dc=wizard,dc=net" -D Squid@kh.wizard.net -W /etc/squid3/conf$
auth_param basic children 20
auth_param basic realm "UbuntuGW SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#
# LDAP authorization
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=kh,dc=wizard,dc=net" -D Squid@kh.w$
#
Пробовал оставлял только Basic. Запрос логина и пароля высвечивается, ввожу доменного юзера и ничего.
В лога контроля доступа
sudo tail -f /var/log/squid3/access.log
1459433274.090 1 192.168.10.14 TCP_DENIED/403 4252 GET http://ya.ru/ pasha HIER_NONE/- text/html
Помогите исправить, пожалуйста. Не правильно создал ключ? Не правильно указал настройки авторизации?
Действовал по серии статей Настройка прокси сервера Squid 3.3 на Ubuntu Server 14.04 LTS.
https://blog.it-kb.ru/2014/06/16/forwar ... tion-2-vm/
Начальные условия:
домен kh.wizard.net
два контроллера, сеть 192.168.10.0/24
Есть два шлюза 192.168.10.100 и 192.168.10.111. Хочу направить пользователей через 111. Установил Ubuntu и далее по статьям. Дошел до 5-й части, авторизация не работает.
Сервер установил внутри сети т.к. доступа к шлюзу у меня нет и поменять настройки не могу.
файл /etc/network/interfaces/
auto eth1
iface eth1 inet static
address 192.168.10.10
netmask 255.255.255.0
gateway 192.168.10.111
dns-nameservers 192.168.10.201 192.168.10.55
dns-domain kh.wizard.net
auto eth0
iface eth0 inet static
address 192.168.10.2
netmask 255.255.255.0
Создал в домене пользователя Squid для подключения. Машину ввел в домен и назвал UbuntuGW
ключ получил
ktpass -princ ubuntuGW.kh.wizard.net@KH.WIZARD.NET -mapuser Squid -pass Cjkysirj -crypto All -ptype KRB5_NT_PRINCIPAL -out C:\Temp\PROXY.keytab
Samba
[global]
netbios name = UbuntuGW
workgroup = KH-WIZARD
security = ADS
realm = KH.WIZARD.NET
encrypt passwords = yes
interfaces = 192.168.10.0/24
bind interfaces only = yes
winbind nss info = rfc2307
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
idmap config *:backend = tdb
idmap config *:range = 10000-80000
idmap config KH-WIZARD:backend = rid
idmap config KH-WIZARD:range = 10000-80000
Настройки авторизации в squid
# OPTIONS FOR AUTHENTICATION
# -----------------------------------------------------------------------------
#
# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-nt$
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off
# Only NTLM authentication
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100 startup=20 idle=5
auth_param ntlm keep_alive off
# Basic authentication via ldap for clients not authenticated via kerberos/ntlm
auth_param basic program /usr/lib/squid3/basic_ldap_auth -v 3 -P -R -b "dc=kh,dc=wizard,dc=net" -D Squid@kh.wizard.net -W /etc/squid3/conf$
auth_param basic children 20
auth_param basic realm "UbuntuGW SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours
# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#
# LDAP authorization
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=kh,dc=wizard,dc=net" -D Squid@kh.w$
#
Пробовал оставлял только Basic. Запрос логина и пароля высвечивается, ввожу доменного юзера и ничего.
В лога контроля доступа
sudo tail -f /var/log/squid3/access.log
1459433274.090 1 192.168.10.14 TCP_DENIED/403 4252 GET http://ya.ru/ pasha HIER_NONE/- text/html
Помогите исправить, пожалуйста. Не правильно создал ключ? Не правильно указал настройки авторизации?