The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Аутентификация пользователей squid через доменные ..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Аутентификация пользователей squid через доменные ..."
Сообщение от opennews (??) on 28-Фев-05, 00:49 
Misha Volodko описал как можно аутентифицировать пользователей в squid на основе доменных аккаунтов.

URL: http://www.opennet.dev/base/net/win_domain_squid.txt.html
Новость: http://www.opennet.dev/opennews/art.shtml?num=5122

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от fc (??) on 28-Фев-05, 00:49 
Да сколько же можно???
Cообщить модератору | Наверх | ^

2. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от asciiz email(??) on 28-Фев-05, 00:52 
Не нравится, не читай
Cообщить модератору | Наверх | ^

3. "А как сделать то же самое если (+)"
Сообщение от tadmin email(??) on 28-Фев-05, 02:13 
если домен на самбе поднят?
Корректно работающая связка samba 3 + ldap backend не хочет отдавать имена через winbindd
Cообщить модератору | Наверх | ^

4. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от Vlad (??) on 28-Фев-05, 08:46 
Домен выбран неудачный :( Как это пива нет? А в целом нормальная статья.
Cообщить модератору | Наверх | ^

5. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от ds_shadof email on 28-Фев-05, 09:27 
tadmin, ну и что? У меня тоже winbindd в такой связке ничего не показывает. На суть описанного это не влияет.
Cообщить модератору | Наверх | ^

9. "однако влияет"
Сообщение от tadmin (??) on 28-Фев-05, 14:50 
ntlm_auth не может брать учетные записи прямо из ldap, ему нужен работающий winbindd, которому, в свою очередь, нужно установленные trust relationship с контроллером домена.

Если у тебя работает в локальной связке, то не мог бы ты показать:
содержимое /etc/nsswithc.conf
#wbinfo -t
#wbinfo -u

Cообщить модератору | Наверх | ^

16. "однако влияет"
Сообщение от ds_shadof email on 02-Мрт-05, 15:10 
[root@forlan bin]# ./wbinfo -t                  
checking the trust secret via RPC calls succeeded
[root@forlan bin]# ./wbinfo -u                  
Error looking up domain users
Но падла авторизирует :)
[root@forlan bin]# ./wbinfo -a ds_shadof%pass_here
plaintext password authentication succeeded        
challenge/response password authentication succeeded                    
Кусочек который тебя интересует от nsswitch.conf
passwd:     files ldap
shadow:     files ldap
group:      files ldap
Так же предвижу вопроc о содержимом  ldap.conf
host 127.0.0.1                              
base dc=liin,dc=org                        
binddn cn=Manager,dc=liin,dc=org            
bindpw parol'_tut                            
#rootbinddn cn=Manager,dc=liin,dc=org      
                                            
pam_password exop                          
                                            
nss_base_passwd ou=people,dc=liin,dc=org?one
nss_base_shadow ou=people,dc=liin,dc=org?one
nss_base_group ou=groups,dc=liin,dc=org?one
Cообщить модератору | Наверх | ^

6. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от toor99 email(ok) on 28-Фев-05, 09:53 
Хорошая статья, спасибо!
А домен действительно выбран неудачный :)  Тем более, что домен действительно существует - это вполне такой себе серьёзный хостинг-провайдер. См. http://www.piva.net/ :)
Cообщить модератору | Наверх | ^

7. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от Nikola email(??) on 28-Фев-05, 09:56 
># Да сколько же можно???
Да столько сколько нужно, тебе парень написАли о том как использовать авторизацию Windows и Active Directory. Т.е. фактически показано как увязать FreeBSD и AD.
Cообщить модератору | Наверх | ^

8. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от Аноним email on 28-Фев-05, 11:40 
А может проще перетащить всех доменных пользователей в NIS и забить на весь этот бардак.
Что ни прога - тут же учим ее авторизоваться в АД. Самостоятельно.
Cообщить модератору | Наверх | ^

10. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от GR email(??) on 28-Фев-05, 22:56 
NIS - хуже. Через роутеры без бубна не бегает, секурити - грустно молчу, итд.итп ...
Хотя и предложенное - не мед :(
Cообщить модератору | Наверх | ^

11. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от Аноним email on 01-Мрт-05, 10:28 
Как это через роутеры не бегает???? Оно же 111/tcp 111/udp.
Какая секурити??? Та что хэши паролей по сети скачут? Если да, то я ведь не говорил, что и авторизоваться тоже через NIS. Авторизоваться можно как угодно.
Собираем к примеру, файл паролей /var/yp/passwd_NIS из сточек вида:
user1:x:1001:2001:user1:/no_home:/no_shell
Аналогично /var/yp/group_NIS

Настраиваем pam куда угодно (winbind, smb_auth, kerberos, etc...)
И все. Пользователи - доменные, группы и членство в них - доменные, авторизация - доменная.

Что полохого?

Cообщить модератору | Наверх | ^

12. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от Аноним email on 01-Мрт-05, 10:35 
PS. при этом все это добро можно сколь угодно раздавать на другие юниксы, uid-ы и gid-ы то одинаковые.
Cообщить модератору | Наверх | ^

14. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от demimurych email on 01-Мрт-05, 13:15 
Внимательно гугляем на тему NIS и секьюрити и понимаем что NIS это не просто дыра а отрытые двери с плакатом добро пожаловать.
Cообщить модератору | Наверх | ^

15. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от Аноним email on 01-Мрт-05, 14:31 
Может быть почтеннейший не сочтет за труд ткнуть носом в конкретные проблемы?
Cообщить модератору | Наверх | ^

13. "Аутентификация пользователей squid через доменные аккаунты W..."
Сообщение от arruah email(??) on 01-Мрт-05, 12:55 
А возможно ли это внедрить сразу через опенлдап?
К примеру у меня учетки хранятся в openldap. Самба привязана к лдап. Так вот если делать  Аутентификация пользователей squid через доменные аккаунты Windows ;) то получает не нужный посредник Samba. Или без Самбы все таки не обойтись ?
Cообщить модератору | Наверх | ^

17. "OpenNews: Аутентификация пользователей squid через доменные ..."
Сообщение от Finch email(??) on 09-Мрт-05, 11:36 
Доброе время суток,
делал как написано. Всё нормально работало, IE не спрашивал, mozzila спрашивала, вообщем всё работало....
Но через час работы, начал спрашивать опять логин и пароль, и ни один не стал проходить....
Начал делать всё заново как тут написано.... Теперь не могу получить билет от Kerberos'а.
Говорит логин и пароль не правильные, хотя всё нормально....
bash-2.05b# kinit -p finch@domain.ru
finch@domain.ru's Password:
kinit: Password incorrect

Вот что про kerberos в /var/log/messages

Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar  5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar  5 13:55:27 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/


Вот что squid пишет в cache.log:

2005/03/04 14:19:34| Starting Squid Cache version 2.5.STABLE8 for i386-unknown-freebsd5.3...
2005/03/04 14:19:34| Process ID 583
2005/03/04 14:19:34| With 11072 file descriptors available
2005/03/04 14:19:34| Performing DNS Tests...
2005/03/04 14:19:34| Successful DNS name lookup tests...
2005/03/04 14:19:34| DNS Socket created at 0.0.0.0, port 49338, FD 5
2005/03/04 14:19:34| /etc/resolv.conf: (13) Permission denied
2005/03/04 14:19:34| Warning: Could not find any nameservers. Trying to use localhost
2005/03/04 14:19:34| Please check your /etc/resolv.conf file
2005/03/04 14:19:34| or use the 'dns_nameservers' option in squid.conf.2005/03/04 14:19:34| helperStatefulOpenServers: Starti
ng 30 'ntlm_auth' processes
2005/03/04 14:19:35| helperOpenServers: Starting 10 'ntlm_auth' processes
2005/03/04 14:19:35| Unlinkd pipe opened on FD 50
2005/03/04 14:19:35| Swap maxSize 102400 KB, estimated 7876 objects
2005/03/04 14:19:35| Target number of buckets: 393
2005/03/04 14:19:35| Using 8192 Store buckets
2005/03/04 14:19:35| Max Mem  size: 8192 KB
2005/03/04 14:19:35| Max Swap size: 102400 KB
2005/03/04 14:19:35| Rebuilding storage in /usr/local/squid/var/cache (DIRTY)
2005/03/04 14:19:35| Using Least Load store dir selection
2005/03/04 14:19:35| Set Current Directory to /usr/local/squid/var/cache
2005/03/04 14:19:35| Loaded Icons.
2005/03/04 14:19:36| Accepting HTTP connections at 192.168.0.11, port 3128, FD 52.
2005/03/04 14:19:36| Accepting ICP messages at 0.0.0.0, port 3130, FD 53.
2005/03/04 14:19:36| WCCP Disabled.
2005/03/04 14:19:36| Ready to serve requests.
2005/03/04 14:19:36| Done reading /usr/local/squid/var/cache swaplog (193 entries)
2005/03/04 14:19:36| Finished rebuilding storage from disk.
2005/03/04 14:19:36|       190 Entries scanned
2005/03/04 14:19:36|         0 Invalid entries.
2005/03/04 14:19:36|         0 With invalid flags.
2005/03/04 14:19:36|       190 Objects loaded.
2005/03/04 14:19:36|         0 Objects expired.
2005/03/04 14:19:36|         0 Objects cancelled.
2005/03/04 14:19:36|         3 Duplicate URLs purged.
2005/03/04 14:19:36|         0 Swapfile clashes avoided.
2005/03/04 14:19:36|   Took 0.5 seconds ( 347.7 objects/sec).
2005/03/04 14:19:36| Beginning Validation Procedure
2005/03/04 14:19:36|   Completed Validation Procedure
2005/03/04 14:19:36|   Validated 187 Entries
2005/03/04 14:19:36|   store_swap_size = 886k
2005/03/04 14:19:36| storeLateRelease: released 0 objects
2005/03/04 15:49:13| WARNING: ntlmauthenticator #1 (FD 7) exited


Вот мой лог кербероса,

bash-2.05b# cat /etc/krb5.conf
[logging]
      default = FILE:/var/log/krb5/libs.log
      kdc = FILE:/var/log/krb5/kdc.log
      admin_server = FILE:/var/log/krb5/admin.log

[libdefaults]
        ticket_lifetime = 24000
        default_realm = DOMAIN.RU
        default_tgs_enctypes = des-cbc-crc des-cbc-md5
        default_tkt_enctypes = des-cbc-crc des-cbc-md5
        forwardable = true
        proxiable = true
        dns_lookup_realm = true
        dns_lookup_kdc = true

[realms]
        MGUS.RU = {
        kdc = Dc.domain.ru:88
        default_domain = Dc.domain.ru
                }

[domain_realm]
        .mgus.ru = DOMAIN.RU
        mgus.ru = DOMAIN.RU
[kdc]
       profile = /var/kerberos/kdc.conf
[pam]
        debug = false
        ticket_lifetime = 36000
        renew_lifetime = 36000
        forwardable = true
        krb4_convert = false

Cообщить модератору | Наверх | ^

19. "OpenNews: Аутентификация пользователей squid через доменные ..."
Сообщение от STranger_ on 24-Май-05, 16:58 
>Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar  5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar  5 13:55:27 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar  5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/

В настройках зоны в DNS поставь [b]check-names ignore;[/b] с ним нормально обрабатываются имена с символом _.

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру