Squid + AD.

Операционки на базе Unix
Ответить
Аватара пользователя
Phantom
Эникейщик
Эникейщик
Сообщения: 266
Зарегистрирован: 18 май 2012, 16:34
ОС: ARCH Linux
Откуда: Брянск
Контактная информация:

Squid + AD.

Сообщение Phantom » 27 мар 2015, 13:42

Тут дело такое. У меня кальмар+squid авторизует по IP. В сети DHCP и само собой разумеется время от времени пользователи натыкаются на невозможность иметь доступ за пределы предприятия. Немного и нечасто,но случается плюс с определенным интервалом приходится проводить ревизии....Короче решил я засунуть все это добро в домен. И почитав несколько примеров конфигурации и статей пришел к выводу,что идея то не ахти фонтан. При использовании LDAP кальмар будет постоянно бомбить домен, а когда пользователей 500+ это ой как не здорово. Использовать NTLM, Kerberos не кашерно,поскольку придется синхронизировать время с домена.....а это ну никак не здорово,потому,что домен сам синхронизирует время со шлюза,где и сидит кальмар. Да и не все пользователи, которым нужен доступ в инет являются доменными. Вот такая вот каракатица получилась. Короче прикинув все за и против я вот подумываю про статику в DHCP. Пришел комп, подготовил его,прописал на DHCP и сдал в эксплуатацию. И IP постоянен и домен не загружен запросами, и в плане безопасности проще и надежнее.... Что подскажете граждане?
01010000011010000110000101101110011101000110111101101101
root86
Юзер
Юзер
Сообщения: 3
Зарегистрирован: 27 мар 2015, 16:14
ОС: OS X

Re: Squid + AD.

Сообщение root86 » 27 мар 2015, 16:16

чем тебя напрягает синхронизация времени и использовать ntlm?
squid + ntlm + ad отлично работает
Аватара пользователя
Phantom
Эникейщик
Эникейщик
Сообщения: 266
Зарегистрирован: 18 май 2012, 16:34
ОС: ARCH Linux
Откуда: Брянск
Контактная информация:

Re: Squid + AD.

Сообщение Phantom » 27 мар 2015, 17:32

Тем,что домен синхронизируется с железки,которая должна будет входить в этот домен и получать список пользователей. Такая вот рекурсия.... Отключать этот сервис уже нельзя,поскольку с неё синхронизируются не доменные железки тоже. Кстати SAMS без проблем и какой либо синхронизации стучится в домен и получает список.
01010000011010000110000101101110011101000110111101101101
root86
Юзер
Юзер
Сообщения: 3
Зарегистрирован: 27 мар 2015, 16:14
ОС: OS X

Re: Squid + AD.

Сообщение root86 » 27 мар 2015, 23:15

у меня самс старой версии, есть косяки с интеграции в ad, сделал на прямую через squid
могу посоветовать покурить в сторону realmd
Аватара пользователя
Phantom
Эникейщик
Эникейщик
Сообщения: 266
Зарегистрирован: 18 май 2012, 16:34
ОС: ARCH Linux
Откуда: Брянск
Контактная информация:

Re: Squid + AD.

Сообщение Phantom » 31 мар 2015, 12:58

В общем сделал через LDAP. Развернул пока весь аналог на виртуальных системах,но оно работает. Никаких косяков по sams не наблюдаю. Единставенный недостаток,что пользователю приходится вводить пароль всякий раз когда он приходит на рабочее место и пытается получить доступ в интернет,ну или 2 часа отсутствует. Хотя с точки зрения безопасности это куда безопаснее,чем хранить пароли на машинах пользователей.
Значит какие были грабли...
1. Sams. Разработчик не знаю каким местом думал,но создавать таблицы в кодировке latin это жестокая шутка. В итоге,когда притягиваешь пользователя из домена,то вся русскоязычная информация в базе будет выглядеть некорректно. После чтения русскоязычных форумов и посылания их далеко и надолго с их дибильными советами по ручному редактированию таблиц кодировки,я нашел вменяемое решение от производителя и все исправил за пару минут. Теперь все символы корректны и на своих местах. Ставить phpmyadmin ради исправить кодировку.....здесь матом нельзя да? Вот если кому надо нормальное решение.

Код: Выделить всё

ALTER TABLE Table CONVERT TO CHARACTER SET utf8 COLLATE utf8_unicode_ci;
2. Squid ldap helper трахал мозг своим ERR Success. Тут несколько подходов. Во первых пользователь домена (не админ не ведитесь на это) должен валяться в папке Users. Со вложенностью будет вам гемморой. Кстати sams прекрасно эту вложенность кушает.
Далее обязательно поставьте ldap-utils. В бунте ставится на раз.
Команда опроса домена на наличие того или иного пользователя у меня заработала следующая.

Код: Выделить всё

/usr/lib/squid3/squid_ldap_auth -R -D "squid3@domain.local" -w "usepasswd" -b "dc=domain,dc=local" -f "sAMAccountName=%s" name.domain.local
Кстати надо не забывать в шаблонах в sams указывать,что аутентифицируем именно через adldp.
Дабы пользователи вне домена могли пользоваться интрнетом то списки и разрешения размещать до auth секции конфигурации кальмара. Ну а остальные настройки в принципе штатны.
На днях потащу всё это к начальнику отдела на одобрение......Как то так. ;)
01010000011010000110000101101110011101000110111101101101
Аватара пользователя
Infernal Flame
Злой Модер
Сообщения: 1796
Зарегистрирован: 03 мар 2010, 11:25
ОС: Centos 7
Контактная информация:

Re: Squid + AD.

Сообщение Infernal Flame » 04 апр 2015, 08:59

Phantom
Листинг могешь кинуть конфигов? Сам подумывал каракатицу на домен привесить, но пока хомяки на статике через дхцп сидят не сильно напрягает. А всякие плюшки типа социалки рулятся через маки их железок.
Изображение
Изображение
Work: Centos 7 х 'all Servers'
Аватара пользователя
Phantom
Эникейщик
Эникейщик
Сообщения: 266
Зарегистрирован: 18 май 2012, 16:34
ОС: ARCH Linux
Откуда: Брянск
Контактная информация:

Re: Squid + AD.

Сообщение Phantom » 06 апр 2015, 11:48

Через маки....сурово,но неправильно. Прикинь завтра тебе рулить кальмаром 2 подсети.... Ух будет невесело весь конфиг перелопачивать и режимы менять, а заводить жуткую жуть вроде arp proxy это анахронизм в самом радикальном проявлении. %)
Так...конфиги. Да там по большому счету ничего сложного. Ну кроме того,что работать придется в выходной,когда минимум пользователей пользуется сим сервисом.
1. Прыгаешь в свой sams.conf и добавляешь следующее

Код: Выделить всё

LDAPSERVER=тут IP твоего ада
LDAPBASEDN=domain.local
LDAPUSER=пользователь домена. У меня тут самый кастрированный.
LDAPUSERPASSWD=его пароль
LDAPUSERSGROUP= Папка, где в аду валяется зверь. Если есть вложенности,то прекрасно кушает через /, но мой тебе совет создай в папке Users. Авторизуй с какой нить машины. Легче  жить будет. Кальмар не понимает вложенности.
Сохранить закрыть.
httpd перезапуск....или релоад как угодно.
Значит в морде ставишь галочку "Тип авторизации" в Active Directory. IP режим снимаешь,поскольку когда ты будешь тащить из ада зверей,они будут некорректно прописываться в файле конфигурации.
Далее в панели интерфейса слева у тебя появится необходимый пункт с настройками ада. Прыгаешь туда. Там уже должны быть внесены те настройки,которые ты в конфиге писал. Если тут всё, то жми кнопку "Тестировать подключение к Active Directory". Если он тебе вывалил весь домен,то значит все. Самсу ты настроил.
Теперь нужно настроить кальмара. Тут все несколько сложнее. Нужно в фаиле конфигурации включить тип авторизации, а именно найти где описана директива auth_param и вся хрень к ней и отредактировать/вписать следующее. Естественно предварительно ты должен проверить,что ldap helper работает. Запускаешь следующий состав. У меня в домене для этого создан пользователь squid3.

Код: Выделить всё

/usr/lib/squid3/squid_ldap_auth -R -D "squid3@domain.local" -w "password" -b "dc=domain,dc=local" -f "sAMAccountName=%s" nameserver.domain.local(ИМЯ, НИКАКОГО IP!)
Далее вводишь логин и через пробел пароль кастрированного доменного пользователя и если ответ OK. То идешь дальше.....если же ERR Success то одеваешь перья и достаешь бубен....придется разбираться.
Далее собственно squid.conf

Код: Выделить всё

auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -D "squid3@domain.local" -w "password" -b "dc=domain,dc=local" -f "sAMAccountName=%s" nameserver.domain.local(ИМЯ, НИКАКОГО IP!)
auth_param basic children 10
auth_param basic realm Proxy Authentication
auth_param basic credentialsttl 8 hours

.....Если самсы нет,то ещё надо acl прописать где нить внизу для этих зверей.
acl proxy-users proxy_auth REQUIRED
http_access allow proxy-users
Если ничего не забыл,то все. А нет кстати сразу скажу как регистрировать. В веб морде заходишь туда же,где тестировал подключение к домену и внизу ярлычок в виде домика. Вот именно то,что тебе надо. И вот ещё важное. В шаблонах не забудь поменять способ авторизации на adld.
01010000011010000110000101101110011101000110111101101101
Ответить

Вернуться в «Unix»