Работа NTLM и Kerberos Хелперов

Ответить
granit.it.head
Новичок
Сообщения: 5
Зарегистрирован: 17 фев 2016 01:39

Работа NTLM и Kerberos Хелперов

Сообщение granit.it.head »

Доброго времени суток...
Отличный цикл статей, спасибо за него
Столкнулся со следующей проблемой
basic авторизация отрабатывает без проблем, при подключении NTLM и Kerberos отказывается авторизовывать с ошибкой
ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
ERROR: NTLM Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}

при этом при запуске в консоли следующей команды
/usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "CN=Users,dc=granit,dc=safety" -D SquidKerb@granit.safety -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:=cn=%g,CN=Users,DC=granit,DC=safety))" -h ds2.granit.safety ds.granit.safety
все отрабатывает идеально и выдается ответ:
ext_ldap_group_acl.cc(583): pid=1440 :Connected OK
ext_ldap_group_acl.cc(722): pid=1440 :group filter '(&(objectclass=person)(sAMAccountName=CherkasovIY)(memberOf:=cn=Internet-Full-Anon,CN=Users,DC=granit,DC=safety))', searchbase 'CN=Users,dc=granit,dc=safety'
OK
то есть поиск по LDAP каталогу происходит и наличие юзера в заданной группе определяется

сответственно проблема где то в районе хелперов
Подскажите можно ли их позапускать в консоли самостоятельно и что им подавать на вход чтобы проверить работу?
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Работа NTLM и Kerberos Хелперов

Сообщение Алексей Максимов »

Сначала нужно убедиться в том, что winbind-у нормально доступен домен.
Проверьте работают ли доверительные отношения с доменом:

Код: Выделить всё

sudo wbinfo -t
Проверьте аутентификацию пользователя в домене:

Код: Выделить всё

sudo wbinfo -a DOMAIN\\user
granit.it.head
Новичок
Сообщения: 5
Зарегистрирован: 17 фев 2016 01:39

Re: Работа NTLM и Kerberos Хелперов

Сообщение granit.it.head »

root@squid:/usr/lib/squid3# wbinfo -t
checking the trust secret for domain GRANIT via RPC calls succeeded
root@squid:/usr/lib/squid3# wbinfo -a GRANIT\\CherkasovIY
Enter GRANIT\CherkasovIY's password:
plaintext password authentication succeeded
Enter GRANIT\CherkasovIY's password:
challenge/response password authentication succeeded

Все отрабатывает нормально
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Работа NTLM и Kerberos Хелперов

Сообщение Алексей Максимов »

Возможно пользователь, от имени которого запускаются процессы squid, в том числе и дочерние процессы хелперов, имеет какие-то проблемы с правами доступа на файлы winbind. Обратите внимание на то что написано в конце этой заметки http://blog.it-kb.ru/2014/06/24/forward ... d-winbind/
granit.it.head
Новичок
Сообщения: 5
Зарегистрирован: 17 фев 2016 01:39

Re: Работа NTLM и Kerberos Хелперов

Сообщение granit.it.head »

Обратил, но в том то и дело что сквид и все дочерние процессы запускается от имени root
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Работа NTLM и Kerberos Хелперов

Сообщение Алексей Максимов »

Странная конфигурация. И наверно не совсем правильная с точки зрения безопасности. Обычно squid запускается от имени специального пользователя, который кстати говоря определяется в squid.conf. Попробуйте добавить к хелперу ntlm_auth ключ дебага

Код: Выделить всё

ntlm_auth -d debuglevel
https://www.samba.org/samba/docs/man/ma ... uth.1.html
Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 572
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Работа NTLM и Kerberos Хелперов

Сообщение Алексей Максимов »

Проверить работу хелпера ntlm_auth из под пользователя от имени которого стартует squid можно так:

Код: Выделить всё

/usr/bin/ntlm_auth --username <логин доменного пользователя>
Password:<пароль доменного пользователя>
Ответ должен быть таким:
NT_STATUS_OK: Success (0x0)
granit.it.head
Новичок
Сообщения: 5
Зарегистрирован: 17 фев 2016 01:39

Re: Работа NTLM и Kerberos Хелперов

Сообщение granit.it.head »

Полез в squid.conf проверять имя пользователя, и оказалось что таки все действительно запускается от имени пользователя proxy, внес необходимые изменения в права на файл keytab и группу winbind_priv и все заработало, спасибо вам большое!
Ответить

Вернуться в «Прокси-сервер Squid»