Squid Proxy could not activate tls connection

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов »

У Вас в ключе -b указан путь "OU=Linux,DC=TEST,DC=LOCAL". Это значит что поиск в LDAP начинается с уровня этого OU, и выполняется только внутри этого OU!
При этом, Вы говорите что пользователь у вас расположен в OU - "OU=gp,OU=ВРТ,OU=СД УК,OU=ООО УК,OU=УК,OU=Беларусь,DC=test,DC=local"
Поэтому результат поиска отрицательный.

Как минимум нужно использовать так -b "DC=TEST,DC=LOCAL"
dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 »

Алексей Максимов писал(а):У Вас в ключе -b указан путь "OU=Linux,DC=TEST,DC=LOCAL". Это значит что поиск в LDAP начинается с уровня этого OU, и выполняется только внутри этого OU!
При этом, Вы говорите что пользователь у вас расположен в OU - "OU=gp,OU=ВРТ,OU=СД УК,OU=ООО УК,OU=УК,OU=Беларусь,DC=test,DC=local"
Поэтому результат поиска отрицательный.

Как минимум нужно использовать так -b "DC=TEST,DC=LOCAL"
Меня на поиск от корня. Так же переносил пользователей и группы безопасности в OU Linux все равно ошибка аналогичная. Вопрос в другом почему не пишет информационные сообщения о ошибках при указании ключа -d
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов »

Добавление ключа -d у меня например вызывает как минимум вывод такой информации, где я вижу какой LDAP фильтр в конечном итоге применяется при поиске:

Код: Выделить всё

ext_ldap_group_acl.cc(718): pid=20029 :group filter '(&(objectclass=person)(sAMAccountName=petya)(memberOf:1.2.840.113556.1.4.1941:=cn=ProxyUsers,OU=Security Groups,OU=Service Objects,OU=KOM,DC=my,DC=domain,DC=com))', searchbase 'dc=my,dc=domain,dc=com'
dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 »

Алексей Максимов писал(а):Добавление ключа -d у меня например вызывает как минимум вывод такой информации, где я вижу какой LDAP фильтр в конечном итоге применяется при поиске:

Код: Выделить всё

ext_ldap_group_acl.cc(718): pid=20029 :group filter '(&(objectclass=person)(sAMAccountName=petya)(memberOf:1.2.840.113556.1.4.1941:=cn=ProxyUsers,OU=Security Groups,OU=Service Objects,OU=KOM,DC=my,DC=domain,DC=com))', searchbase 'dc=my,dc=domain,dc=com'
ПО какой то причине у меня не пишет даже такой информации с ключом -d.
Но в целом я переписал конфиг squid под хелпер ext_kerberos_ldap_group_acl все заработало!
Спасибо за консультацию!!!
Теперь на очереди инсепктирование https, шейпинг, dansguard :D
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов »

Но ведь Вы говорили что хелпер ext_kerberos_ldap_group_acl Вас не работал. Опишите причину того, что он не работал а теперь заработал. Возможно кому-то эта информация станет подсказкой при решении аналогичных ситуаций.
dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 »

Хелпер ext_kerberos_ldap_group_acl работал! То есть он выполнял проверку есть ли сотрудник в группе AD.
Он не работал с одной переменной memberof как было написано в Ваших статьях. Пришлось для каждой группы прописать свою строку поиска в AD и все заработало. Если нужно покажу кусочек конфигурации?
И еще вопрос https инспектирование настраивали? то есть чтобы все пакеты были открытыми и мы видели какого типа запрос идет от пользователя GET или POST например.
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов »

Нет. Не инспектируем. Насколько я понимаю, инспектирование HTTPS трафика подразумевает подмену сертификатов, а это может сломать всяческие веб-сервисы с проверкой сертификатов используемые в бизнес-процессах.
dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 »

Есть очень интересный мануал как сделать без подмены сертификатов https://habrahabr.ru/post/267851/
Думаю мало ли кто пробовал!
dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 »

Раз уж начал то отпишусь, по статье которую упомянул ранее попробовал перекомпилировать squid. Все получилось правда не на Ubuntu 14.04, а не Debian 8.3.
Действительно работает инспектирование https сайтов, причем без подмены сертификатов. То есть как пользователь я не увидел не каких предупреждений о неверных сертификатах. Единственное НО, проверка пока работает только если прокси работает в прозрачном режиме(по http проверяет пользователя и открывает страницы согласно заданных групп в Active Directory, по https ходят все, и сверка идет только если сайт находится в списке заблокированных).
Изучив офф инфу параметр https_port с опцией ssl_bump умеет работать пока что в двух режимах intercept либо tproxy. Буду изучать дальше информацию, может после очередного обновления разработчики добавят режим работы с авторизацией! Если интересно то отпишусь позже после выхода какой-либо новой версии.
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов »

Интересно, пишите. Только инспектирование HTTPS наверно может быть полезно если нет авторизации (прозрачный прокси) , а если все пользовали ходят в интернет строго с авторизацией, то как-бы наверно задача не особа актуальна становится.
Ответить

Вернуться в «Прокси-сервер Squid»