gsomunk
Newbie | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день! Никак не могу пройти авторизацию в squid, когда он выдает диалоговое окно в браузере. Установлены:squid-3.1.20,samba-3.3.6,samba-client,samba-common.
nsswitch.conf
Код: passwd: compat winbind
group: compat winbind
shadow: files
|
smb.conf
Код:
[global]
workgroup = DOMAINSERVER (в сетях xp отображается не как domain.local, а именно domainserver)
netbios name = proxy-server
server string = Samba Server
hosts allow = 192.168.3.
log file = var/log/samba/%m.log
max log size = 50
security = ADS
password server = domain.domain.local
realm = DOMAIN.LOCAL
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = no
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/false
winbind use default domain = yes
|
krb5.conf
Код: [loggining]
Default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
[libdefaults]
default_realm = DOMAIN.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true
licket_lifetime = 24h
forwardable = yes
[realms]
DOMAIN.LOCAL = {
kdc = domain.domain.local
admin_server = domain.domain.local
default_domain = domain.local
}
[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL
|
версия и опции squid
Код: squid3 -v
Squid Cache: Version 3.1.20
configure options: '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/tmp/buildd/squid3-3.1.20
|
resolve.conf
Код:
domain domain.local
serach domain.local
nameserver 192.168.3.3 - адрес контроллера домена
nameserver 109.... - адрес провайдера
nameserver 109.....- адрес провайдера
|
Код:
squid.conf
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds
authenticate_ttl 0 seconds
#external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.3.0/24
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl lan src 192.168.3.0/24
acl auth proxy_auth REQUIRED
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow auth
http_access deny all
http_port 3128
|
Соответственно на dns сервере, там же находится и контроллер домена создал ptr запись
тестирую
Код: ping domain.local
PING domain.local (192.168.3.3) 56(84) bytes of data.
64 bytes from domain.domain.local (192.168.3.3): icmp_req=1 ttl=128 time=0.380 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=2 ttl=128 time=0.504 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=3 ttl=128 time=0.622 ms
ping domain
PING domain.local (192.168.3.3) 56(84) bytes of data.
64 bytes from domain.domain.local (192.168.3.3): icmp_req=1 ttl=128 time=0.380 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=2 ttl=128 time=0.504 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=3 ttl=128 time=0.622 ms
ping proxy-server
Обмен пакетами с proxy-server [192.168.3.6] с 32 байтами данных:
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=4мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=2мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=1мс TTL=64
ping proxy-server.domain.local
Обмен пакетами с proxy-server.domain.local [192.168.3.6] с 32 байтами данных:
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
nslookup domain
Server: 192.168.3.3
Address: 192.168.3.3#53
Name: domain.domain.local
Address: 192.168.3.3
nslookup proxy-server.domain.local
╤хЁтхЁ: ipv6-localhost
Address: ::1
╚ь : proxy-server.domain.local
Address: 192.168.3.6
|
перезапускаю все сервисы
Код:
service samba restart
[ ok ] Stopping Samba daemons: nmbd smbd.
[ ok ] Starting Samba daemons: nmbd smbd.
root@proxy-server:/etc/squid3# service winbind restart
[ ok ] Stopping the Winbind daemon: winbind.
[ ok ] Starting the Winbind daemon: winbind.
root@proxy-server:/etc/squid3# service squid3 restart
[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....] Waiting.....................done.
. ok
|
Далее проверяю самбу
Код:
net join -U proxy-server
Enter proxy-server's password:
Using short domain name -- domainserver
Joined 'PROXY-SERVER' to realm 'domain.local'
wbinfo -t
checking the trust secret for domain DOMAINSERVER via RPC calls succeeded
wbinfo -p
Ping to winbindd succeeded
wbinfo -u
администратор
гость
юзер1
юзер2
......
testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
WARNING: The "idmap uid" option is deprecated
WARNING: The "idmap gid" option is deprecated
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
|
Проверяю keberos
Код:
kinit
Password for proxy-server@DOMAIN.LOCAL:
root@proxy-server:/etc/squid3# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: proxy-server@DOMAIN.LOCAL
Valid starting Expires Service principal
27.12.2013 12:37:24 27.12.2013 22:37:36 krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
renew until 28.12.2013 12:37:24
|
Открываю браузер, например мозила, в настройках прокси сервера ввожу proxy-server.domain.local порт 3128, ip также пытался указывать, после чего открываю сайт, где выходит окно авторизации, ввожу доменного пользователя и его пароль, спустя 1 секунду снова это окно и до бесконечности, значит что-то меня не пускает, но что - не понятно, я уже с 12 сайтов конфиги перебробовал мб я делаю что-то не так?. Грешу на ntlm авторизацию, в руководстве по freebsd предлагает проверить хелпер
Код: После установки при запущенном winbindd необходимо проверить работу
helper'а. Для этого запускаем
/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic |
Запускаю
Код: /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
user passwords
OK
|
|
Всего записей: 12 | Зарегистр. 09-08-2013 | Отправлено: 12:51 27-12-2013 | Исправлено: gsomunk, 13:05 27-12-2013 |
|
