Не работает авторизация ext_ldap_group_acl

Аватара пользователя
kiret
Любопытный
Сообщения: 12
Зарегистрирован: 13 авг 2014 08:38
Откуда: г. Воскресенск
Контактная информация:

Не работает авторизация ext_ldap_group_acl

Сообщение kiret » 13 авг 2014 11:27

Здравствуйте!
Настраивал squid на виртуальной машине (hyper-v) под ubuntu с аутентификацией в Active Directory по инструкциям >> link, возникла проблема.

При вводе команды squid -k check выдаётся следующее:
2014/08/13 15:19:11| WARNING OVERIDE: Capping startup=20 to the defined maximum (5)

Суть проблемы:
Независимо от пользователя, доступ в интернет даётся только гостевой (ресурсы для неавторизованных).
С прокси делал kinit - информация о пользователях выдаётся без проблем.

Помогите, пожалуйста! Всю голову сломал уже... Заранее благодарю!

Ниже привожу кусок кода, связанный с авторизацией.

Код: Выделить всё

# Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/userver@VSK.MOS.LOCAL
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off

# Only NTLM authentication
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5 startup=20 idle=5
auth_param ntlm keep_alive off

# Basic authentication via ldap for clients not authenticated via kerberos/ntlm
auth_param basic program /usr/lib/squid3/basic_ldap_auth -v 3 -P -R -b "dc=vsk,dc=mos,dc=local" -D "s-KOM-SquidKerb@vsk.mos.local" -W /etc/squid3/conf_param_ldappass.txt -f sAMAccountName=%s -h vsk-s-001.vsk.mos.local vsk-s-002.vsk.mos.local
auth_param basic children 20
auth_param basic realm "Userver SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours



# ACCESS CONTROLS
# -----------------------------------------------------------------------------
#
# LDAP authorization
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "OU=Users,dc=vsk,dc=mos,dc=local" -D s-KOM-SquidKerb@vsk.mos.local -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Users,DC=vsk,DC=mos,DC=local))" -h vsk-s-001.vsk.mos.local vsk-s-002.vsk.mos.local
#

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 419
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Проблема с настройкой squid

Сообщение Алексей Максимов » 14 авг 2014 11:06

Не совсем понял в чём именно проблема у Вас.
Давайте в разрезе:
1) Как хочется
2) Как вместо этого происходит
3) Какие действия сами предпринимали по решению проблемы.

PS: Squid какой версии? Просто Вы указали команду "squid -k check" а для Squid3 она Ubuntu будет такой "sudo squid3 -k check"

Аватара пользователя
kiret
Любопытный
Сообщения: 12
Зарегистрирован: 13 авг 2014 08:38
Откуда: г. Воскресенск
Контактная информация:

Re: Проблема с настройкой squid

Сообщение kiret » 14 авг 2014 11:25

Хочется также как описано в статье - 4 группы пользователей в AD с разным доступом в интернет (точно также как в статье).
Вместо этого происходит следующее - на компьютере в браузере прописываю прокси (для теста) - компьютер не авторизуется на прокси и попадает в гостевую группу доступа, где доступен только сайт фирмы.
При этом, с прокси-сервера kinit работает без ошибок, видит пользователей AD.

Единственная ошибка, которую удалось найти:
user@userver:~$ sudo squid3 -k check
2014/08/14 15:20:26| WARNING OVERIDE: Capping startup=20 to the defined maximum (5)
Никак не разберусь, что это сообщение означает.

Какие предпринимал действия - несколько десятков раз перепроверял, всё ли правильно прописано, как в статье (соответственно, заменяя данные типа названия узлов и т.д. на свои), перековырял в squid.conf раздел access control, но лучше от этого не становилось.

Больше даже пока что не знаю, в какую сторону копать, как диагностировать. Напишите, пожалуйста, что диагностировать, чтобы хоть понять суть ошибки. Вероятно, squid не может определить принадлежность пользователя к группе доступа. Это можно как-то проверить?

P.S. Прошу прощения, я в Linux новичок, поэтому проблематично настройка проходит...

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 419
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Проблема с настройкой squid

Сообщение Алексей Максимов » 14 авг 2014 12:45

Вполне возможно, что у вас не отрабатывает блок авторизации, там где выполняется проверка членства пользователей в доменных группах безопасности. Для начала для понимания почитайте ветку комментариев к статье, где я расписал параметры используемые для авторизации в external_acl_type memberof.
Наводящий вопрос по вашему конфигу.
Доменные группы безопасности, которые Вы хотите использовать у Вас действительно расположены в OU OU=Users,DC=vsk,DC=mos,DC=local ?

Аватара пользователя
kiret
Любопытный
Сообщения: 12
Зарегистрирован: 13 авг 2014 08:38
Откуда: г. Воскресенск
Контактная информация:

Re: Проблема с настройкой squid

Сообщение kiret » 14 авг 2014 12:54

Комментарии, конечно же, уже смотрел (от чего и отталкивался, пытаясь корректировать строку external_acl_type memberof)

OU - я так понял, это папка в домене, где лежат пользователи? Тогда да, Users.
Домен vsk.mos.local , с этим тоже всё верно.

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 419
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Проблема с настройкой squid

Сообщение Алексей Максимов » 14 авг 2014 13:00

Не верно. OU OU=Users,DC=vsk,DC=mos,DC=local это место в котором ожидается размещение групп безопасности в которые включены доменные пользователи. Об этом написано и в статье и сделан акцент на этом и в комментариях.

Аватара пользователя
kiret
Любопытный
Сообщения: 12
Зарегистрирован: 13 авг 2014 08:38
Откуда: г. Воскресенск
Контактная информация:

Re: Проблема с настройкой squid

Сообщение kiret » 14 авг 2014 13:07

Группы там же лежат, поэтому суть не меняется :(

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 419
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Проблема с настройкой squid

Сообщение Алексей Максимов » 14 авг 2014 13:10

Вы можете проверить работу хелпера авторизации запуская его отдельно. Например в Вашем случае команда будет такой:

Код: Выделить всё

sudo /usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "OU=Users,dc=vsk,dc=mos,dc=local" -D s-KOM-SquidKerb@vsk.mos.local -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Users,DC=vsk,DC=mos,DC=local))" -h vsk-s-001.vsk.mos.local vsk-s-002.vsk.mos.local
Обратите внимание на то, что в команду добавлен ключ -d для более подробного вывода на консоль.

После того как Вы введёте эту команду, хелпер будет ожидать от Вас парные значения (через пробел) в виде:
<пользователь> <группа>

Например Вам нужно проверить входит ли пользователь artur в группу KOM-Internet-Standard. Для этого сразу после вызова хелпера предыдущей командой вводите:

Код: Выделить всё

artur KOM-Internet-Standard
Если хелпер смог определить, что пользователь входит в указанную группы то даст ответ ОК, в противном случае даст ответ ERR

Аватара пользователя
kiret
Любопытный
Сообщения: 12
Зарегистрирован: 13 авг 2014 08:38
Откуда: г. Воскресенск
Контактная информация:

Re: Проблема с настройкой squid

Сообщение kiret » 14 авг 2014 13:17

user21 VSK-Internet-Standard

ext_ldap_group_acl: WARNING: could not bind to binddn 'Invalid credentials'
ERR

Да, не определяется почему-то принадлежность пользователя группе.

Аватара пользователя
kiret
Любопытный
Сообщения: 12
Зарегистрирован: 13 авг 2014 08:38
Откуда: г. Воскресенск
Контактная информация:

Re: Проблема с настройкой squid

Сообщение kiret » 14 авг 2014 13:23

При таком раскладе OU=Users,DC=vsk,DC=mos,DC=local правильно ведь?
Изображение

Закрыто

Вернуться в «Прокси-сервер Squid»