Squid Proxy could not activate tls connection

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов » 18 янв 2016 12:50

Как видно из дебага, у вас 4 контроллера домена.
Вы пытались определить членство в группе TEST-Internet-Standart для пользователя student.
Хелпер не смог соединиться с контроллером dc04.TEST.local:389 (Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server)
После этого он соеденился с другим контроллером - dc03.TEST.local:389 и выполнив поиск выдал, что указанный пользователь не является членом указанной группы.
На самом деле пользователь в группе или нет?

Все ли 4 контроллера домена работают корректно и все ли они одинаково приближены к Squid? Если нет, то возможно не лучше будет указать дополнительным ключом явно используемые контроллеры домена (как LDAP-серверы для поиска)

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов » 18 янв 2016 12:58

Учитывая такое поведение контроллеров домена (один ответил, а другой нет), вполне возможно, что проблема то у Вас изначально была не в хелпере, а именно в некорректно работающих контроллерах домена. Так что вполне возможно, что хелпер ext_ldap_group_acl у Вас бы и заработал. И вообще я бы конечно брать хелпер откуда-то из интернета не стал, если есть возможность собрать его из исходников :)

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов » 18 янв 2016 13:01

Что же касается самого хелпера ext_kerberos_ldap_group_acl, то ему явно можно указать конкретные контроллеры домена. Об этом можно прочесть и в онлайн-справке по хелперу:
http://www.squid-cache.org/Versions/v3/ ... p_acl.html

dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 » 18 янв 2016 13:28

Алексей Максимов писал(а):Как видно из дебага, у вас 4 контроллера домена.
Вы пытались определить членство в группе TEST-Internet-Standart для пользователя student.
Хелпер не смог соединиться с контроллером dc04.TEST.local:389 (Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server)
После этого он соеденился с другим контроллером - dc03.TEST.local:389 и выполнив поиск выдал, что указанный пользователь не является членом указанной группы.
На самом деле пользователь в группе или нет?
Нет в тот момент не было!

Все ли 4 контроллера домена работают корректно и все ли они одинаково приближены к Squid? Если нет, то возможно не лучше будет указать дополнительным ключом явно используемые контроллеры домена (как LDAP-серверы для поиска)
Убрал лишние котроллеры домена, указал в непосредственной близости с проксиком.
вот что вышло:
sudo /usr/lib/squid3/ext_kerberos_ldap_group_acl -d -a -i -g TEST-Internet-Standart@TEST.LOCAL -D TEST.LOCAL -S dc01.TEST.local
[sudo] password for user:
kerberos_ldap_group.cc(275): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: INFO: Starting version 1.3.1sq
support_group.cc(374): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: INFO: Group list TEST-Internet-Standart@TEST.LOCAL
support_group.cc(439): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: INFO: Group TEST-Internet-Standart Domain TEST.LOCAL
support_netbios.cc(75): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: DEBUG: Netbios list NULL
support_netbios.cc(79): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: DEBUG: No netbios names defined.
support_lserver.cc(74): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: DEBUG: ldap server list dc01.TEST.local
support_lserver.cc(138): pid=1790 :2016/01/18 16:10:32| kerberos_ldap_group: DEBUG: ldap server dc01.TEST.local Domain NULL
student TEST-Internet-Restricted
kerberos_ldap_group.cc(367): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: INFO: Got User: student set default domain: TEST.LOCAL
kerberos_ldap_group.cc(372): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: INFO: Got User: student Domain: TEST.LOCAL
support_member.cc(55): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: User domain loop: group@domain TEST-Internet-Standart@TEST.LOCAL
support_member.cc(57): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Found group@domain TEST-Internet-Standart@TEST.LOCAL
support_ldap.cc(801): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Setup Kerberos credential cache
support_krb5.cc(90): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Get default keytab file name
support_krb5.cc(96): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Got default keytab file name /etc/squid3/PROXY.keytab
support_krb5.cc(110): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Get principal name from keytab /etc/squid3/PROXY.keytab
support_krb5.cc(121): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Keytab entry has realm name: TEST.LOCAL
support_krb5.cc(133): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Found principal name: HTTP/srv-prx-01.TEST.local@TEST.LOCAL
support_krb5.cc(174): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Set credential cache to MEMORY:squid_ldap_1790
support_krb5.cc(269): pid=1790 :2016/01/18 16:10:50| kerberos_ldap_group: DEBUG: Got principal name HTTP/srv-prx-01.TEST.local@TEST.LOCAL
support_krb5.cc(312): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Stored credentials
support_ldap.cc(830): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Initialise ldap connection
support_ldap.cc(836): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Canonicalise ldap server name for domain TEST.LOCAL
support_resolv.cc(238): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Ldap server loop: lserver@domain dc01.TEST.local@NULL
support_resolv.cc(248): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Found lserver@domain dc01.TEST.local@NULL
support_resolv.cc(437): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Sorted ldap server names for domain TEST.LOCAL:
support_resolv.cc(439): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Host: dc01.TEST.local Port: -1 Priority: -2 Weight: -2
support_ldap.cc(845): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Setting up connection to ldap server dc01.TEST.local:389
support_ldap.cc(856): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Bind to ldap server with SASL/GSSAPI
support_ldap.cc(870): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Successfully initialised connection to ldap server dc01.TEST.local:389
support_ldap.cc(299): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap server with bind path "" and filter: (objectclass=*)
support_ldap.cc(569): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap entries for attribute : schemaNamingContext
support_ldap.cc(615): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: 1 ldap entry found with attribute : schemaNamingContext
support_ldap.cc(308): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap server with bind path CN=Schema,CN=Configuration,DC=TEST,DC=local and filter: (ldapdisplayname=samaccountname)
support_ldap.cc(311): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Found 1 ldap entry
support_ldap.cc(316): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Determined ldap server as an Active Directory server
support_ldap.cc(978): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap server with bind path dc=TEST,dc=LOCAL and filter : (samaccountname=student)
support_ldap.cc(991): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Found 1 ldap entry
support_ldap.cc(569): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Search ldap entries for attribute : memberof
support_ldap.cc(615): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: 7 ldap entries found with attribute : memberof
support_ldap.cc(1018): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Entry 1 "TEST-Internet-Standart" in hex UTF-8 is 454c424f522d496e7465726e65742d5374616e64617274
support_ldap.cc(1026): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Entry 1 "TEST-Internet-Standart" matches group name "TEST-Internet-Standart"
support_ldap.cc(1172): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: Unbind ldap server
support_member.cc(61): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: INFO: User student is member of group@domain TEST-Internet-Standart@TEST.LOCAL
OK
kerberos_ldap_group.cc(404): pid=1790 :2016/01/18 16:10:55| kerberos_ldap_group: DEBUG: OK


Что касается ext_ldap_group_acl то для него я задавал именно контроллеры домена рядышком с ним, не помогало!
После манипуляций и указания контроллера домена да полльзователя он видит и на этом все) acl не работает!

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов » 18 янв 2016 14:06

Как видно из дебага, ext_kerberos_ldap_group_acl смог определить наличие членства пользователя в группе.

Однако я хотел бы вернуться к хелперу ext_ldap_group_acl. Вы сказали что он не работает, никаких дебагов и информации о том как в вашем конфиге squid хелпер прописан не было. Надо было с этого и начинать. Ещё раз повторюсь, вполне возможно, что он заработает если вы правильно укажете ему параметры, тем более если он при проверке через консоль правильно определяет членство любого пользователя в нужной группе доступа.

dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 » 19 янв 2016 06:50

Алексей Максимов писал(а):Как видно из дебага, ext_kerberos_ldap_group_acl смог определить наличие членства пользователя в группе.

Однако я хотел бы вернуться к хелперу ext_ldap_group_acl. Вы сказали что он не работает, никаких дебагов и информации о том как в вашем конфиге squid хелпер прописан не было. Надо было с этого и начинать. Ещё раз повторюсь, вполне возможно, что он заработает если вы правильно укажете ему параметры, тем более если он при проверке через консоль правильно определяет членство любого пользователя в нужной группе доступа.
Да членство хелпер ext_kerberos_ldap_group_acl определяет. Но к конфигурации squid.conf пока не вышло его прикрутить!
Ну давайте попробуем с хелпером ext_ldap_group_acl какой дебаг выложить или информацию?

dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 » 19 янв 2016 06:52

Вот что выдает запрос на проверку пользователя в группе!
sudo /usr/lib/squid3/ext_ldap_group_acl -d -Z -v 3 -P -R -K -b "OU=Linux,DC=TEST,DC=LOCAL" -D SquidKerb@TEST.local -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Linux,DC=TEST,DC=LOCAL))" -h dc-01.TEST.local
student TEST-Internet-Standart
ERR

Хоть ключ -d и указан дополнительной информации пусто. Пользователь в группе добавлен!

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid Proxy could not activate tls connection

Сообщение Алексей Максимов » 19 янв 2016 08:15

Теперь покажите значение доменного атрибута Active Directory distinguishedName для объектов student и TEST-Internet-Standart

dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 » 19 янв 2016 10:48

Алексей Максимов писал(а):Теперь покажите значение доменного атрибута Active Directory distinguishedName для объектов student и TEST-Internet-Standart
CN=Student,OU=gp,OU=ВРТ,OU=СД УК,OU=ООО УК,OU=УК,OU=Беларусь,DC=test,DC=local
CN=TEST-Internet-Standart,OU=Linux,DC=test,DC=local
Последний раз редактировалось dresd1989 19 янв 2016 11:02, всего редактировалось 1 раз.

dresd1989
Завсегдатай
Сообщения: 25
Зарегистрирован: 15 янв 2016 11:49

Re: Squid Proxy could not activate tls connection

Сообщение dresd1989 » 19 янв 2016 10:52

На русские буквы не обращайте внимание, при перекладывании пользователя в путь с англоязычными названиями результат тот же, хотя пользователь в группе есть.

Ответить

Вернуться в «Прокси-сервер Squid»