Страница 3 из 4

Re: Squid Proxy could not activate tls connection

Добавлено: 19 янв 2016 11:18
Алексей Максимов
У Вас в ключе -b указан путь "OU=Linux,DC=TEST,DC=LOCAL". Это значит что поиск в LDAP начинается с уровня этого OU, и выполняется только внутри этого OU!
При этом, Вы говорите что пользователь у вас расположен в OU - "OU=gp,OU=ВРТ,OU=СД УК,OU=ООО УК,OU=УК,OU=Беларусь,DC=test,DC=local"
Поэтому результат поиска отрицательный.

Как минимум нужно использовать так -b "DC=TEST,DC=LOCAL"

Re: Squid Proxy could not activate tls connection

Добавлено: 19 янв 2016 11:24
dresd1989
Алексей Максимов писал(а):У Вас в ключе -b указан путь "OU=Linux,DC=TEST,DC=LOCAL". Это значит что поиск в LDAP начинается с уровня этого OU, и выполняется только внутри этого OU!
При этом, Вы говорите что пользователь у вас расположен в OU - "OU=gp,OU=ВРТ,OU=СД УК,OU=ООО УК,OU=УК,OU=Беларусь,DC=test,DC=local"
Поэтому результат поиска отрицательный.

Как минимум нужно использовать так -b "DC=TEST,DC=LOCAL"
Меня на поиск от корня. Так же переносил пользователей и группы безопасности в OU Linux все равно ошибка аналогичная. Вопрос в другом почему не пишет информационные сообщения о ошибках при указании ключа -d

Re: Squid Proxy could not activate tls connection

Добавлено: 19 янв 2016 12:10
Алексей Максимов
Добавление ключа -d у меня например вызывает как минимум вывод такой информации, где я вижу какой LDAP фильтр в конечном итоге применяется при поиске:

Код: Выделить всё

ext_ldap_group_acl.cc(718): pid=20029 :group filter '(&(objectclass=person)(sAMAccountName=petya)(memberOf:1.2.840.113556.1.4.1941:=cn=ProxyUsers,OU=Security Groups,OU=Service Objects,OU=KOM,DC=my,DC=domain,DC=com))', searchbase 'dc=my,dc=domain,dc=com'

Re: Squid Proxy could not activate tls connection

Добавлено: 20 янв 2016 07:13
dresd1989
Алексей Максимов писал(а):Добавление ключа -d у меня например вызывает как минимум вывод такой информации, где я вижу какой LDAP фильтр в конечном итоге применяется при поиске:

Код: Выделить всё

ext_ldap_group_acl.cc(718): pid=20029 :group filter '(&(objectclass=person)(sAMAccountName=petya)(memberOf:1.2.840.113556.1.4.1941:=cn=ProxyUsers,OU=Security Groups,OU=Service Objects,OU=KOM,DC=my,DC=domain,DC=com))', searchbase 'dc=my,dc=domain,dc=com'
ПО какой то причине у меня не пишет даже такой информации с ключом -d.
Но в целом я переписал конфиг squid под хелпер ext_kerberos_ldap_group_acl все заработало!
Спасибо за консультацию!!!
Теперь на очереди инсепктирование https, шейпинг, dansguard :D

Re: Squid Proxy could not activate tls connection

Добавлено: 20 янв 2016 07:29
Алексей Максимов
Но ведь Вы говорили что хелпер ext_kerberos_ldap_group_acl Вас не работал. Опишите причину того, что он не работал а теперь заработал. Возможно кому-то эта информация станет подсказкой при решении аналогичных ситуаций.

Re: Squid Proxy could not activate tls connection

Добавлено: 21 янв 2016 07:43
dresd1989
Хелпер ext_kerberos_ldap_group_acl работал! То есть он выполнял проверку есть ли сотрудник в группе AD.
Он не работал с одной переменной memberof как было написано в Ваших статьях. Пришлось для каждой группы прописать свою строку поиска в AD и все заработало. Если нужно покажу кусочек конфигурации?
И еще вопрос https инспектирование настраивали? то есть чтобы все пакеты были открытыми и мы видели какого типа запрос идет от пользователя GET или POST например.

Re: Squid Proxy could not activate tls connection

Добавлено: 21 янв 2016 07:53
Алексей Максимов
Нет. Не инспектируем. Насколько я понимаю, инспектирование HTTPS трафика подразумевает подмену сертификатов, а это может сломать всяческие веб-сервисы с проверкой сертификатов используемые в бизнес-процессах.

Re: Squid Proxy could not activate tls connection

Добавлено: 21 янв 2016 08:10
dresd1989
Есть очень интересный мануал как сделать без подмены сертификатов https://habrahabr.ru/post/267851/
Думаю мало ли кто пробовал!

Re: Squid Proxy could not activate tls connection

Добавлено: 01 фев 2016 11:47
dresd1989
Раз уж начал то отпишусь, по статье которую упомянул ранее попробовал перекомпилировать squid. Все получилось правда не на Ubuntu 14.04, а не Debian 8.3.
Действительно работает инспектирование https сайтов, причем без подмены сертификатов. То есть как пользователь я не увидел не каких предупреждений о неверных сертификатах. Единственное НО, проверка пока работает только если прокси работает в прозрачном режиме(по http проверяет пользователя и открывает страницы согласно заданных групп в Active Directory, по https ходят все, и сверка идет только если сайт находится в списке заблокированных).
Изучив офф инфу параметр https_port с опцией ssl_bump умеет работать пока что в двух режимах intercept либо tproxy. Буду изучать дальше информацию, может после очередного обновления разработчики добавят режим работы с авторизацией! Если интересно то отпишусь позже после выхода какой-либо новой версии.

Re: Squid Proxy could not activate tls connection

Добавлено: 01 фев 2016 12:01
Алексей Максимов
Интересно, пишите. Только инспектирование HTTPS наверно может быть полезно если нет авторизации (прозрачный прокси) , а если все пользовали ходят в интернет строго с авторизацией, то как-бы наверно задача не особа актуальна становится.