ntlm авторизация в squid3.3.8 centos7

0

1

Здравствуйте. Есть проблема и надеюсь Вы поможете мне с ней справиться (=

AD 2003, пользователи на винде. Хочу сделать ntlm-авторизацию. Centos в домене. Тепрь суть.

wbinfo -u
wbinfo -g
списки получаю

___________________________________________________________
/var/log/squid/cache.log

You MUST specify at least one Domain Controller.
You can use either \ or / as separator between the domain name
and the controller name
2015/08/05 07:03:40 kid1| WARNING: ntlmauthenticator #1 exited
2015/08/05 07:03:40 kid1| Too few ntlmauthenticator processes are running (need 1/20)
2015/08/05 07:03:40 kid1| Starting new helpers
2015/08/05 07:03:40 kid1| helperOpenServers: Starting 1/20
'ntlm_smb_lm_auth' processes unknown option: -l. Exiting
(ntlm_smb_lm_auth) usage: (ntlm_smb_lm_auth) [-b] [-f] [-d] [-l] domain\controller [domain\controller ...]
-b enables load-balancing among controllers
-f enables failover among controllers (DEPRECATED and always active)
-d enables debugging statements if DEBUG was defined at build-time.

You MUST specify at least one Domain Controller.
You can use either \ or / as separator between the domain name and the controller name
2015/08/05 07:03:40 kid1| WARNING: ntlmauthenticator #1 exited
2015/08/05 07:03:40 kid1| Too few ntlmauthenticator processes are running (need 1/20)
2015/08/05 07:03:40 kid1| Starting new helpers
2015/08/05 07:03:40 kid1| helperOpenServers: Starting 1/20 'ntlm_smb_lm_auth' processes
unknown option: -l. Exiting
(ntlm_smb_lm_auth) usage:
(ntlm_smb_lm_auth) [-b] [-f] [-d] [-l] domain\controller [domain\controller ...]
-b enables load-balancing among controllers -f enables failover among controllers (DEPRECATED and always active)
-d enables debugging statements if DEBUG was defined at build-time.
__________________________________________________________
Часть конфигурации squid.conf на счет авторизации

### pure ntlm authentication
#auth_param ntlm program /usr/lib64/squid/ntlm_smb_lm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=«MY_DOMAIN\\squid_gr»
auth_param ntlm program /usr/lib64/squid/ntlm_smb_lm_auth -d -l MY_DOMAIN\\dc MY_DOMAIN\\dc
#auth_param ntlm children = 10
auth_param ntlm keep_alive off

external_acl_type nt_group children-max=100 ttl=150 %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl

acl squid_name external nt_group domain_group_name

###------------nt_group
#acl no_inet external nt_group no_inet
#acl speed_limit external nt_group speed_limit
#acl full_inet external nt_group full_inet
acl user_proxy external nt_group squid_gr
#acl normal_inet external nt_group normal_inet

### acl for proxy auth and ldap authorizations
acl auth proxy_auth REQUIRED

### enforce authentication
#http_access deny !auth
http_access allow auth
#http_access deny all

#тут закрываем доступ к сайтам
acl deny_url dstdom_regex -i «/etc/squid/badsites»

http_access deny user_proxy deny_url

#закрываем доступ в инет
http_access deny no_inet
_________________________________________________________

/var/log/squid/access.log

1438767913.102 2 192.168.16.101 TCP_DENIED/407 4171 GET http://ya.ru/ - HIER_NONE/- text/html
1438767914.482 59 192.168.16.101 TCP_DENIED/407 4299 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1438767914.490 5 192.168.16.101 TCP_DENIED/407 4397 GET http://www.squid-cache.org/Artwork/SN.png - HIER_NONE/- text/html
1438767915.525 0 192.168.16.101 TCP_DENIED/407 3881 GET http://ya.ru/favicon.ico - HIER_NONE/- text/html
_________________________________________________________

Браузер просит авторизаци. при открытии сайтов, но не авторизируется. FirewallD выключен Домен контроллеры пингуются.

Спасибо за любую помощь

Ссылка

←	Postfix + swf + flv блокировка

проблема с настройкой squid3 на Debian 8

→

покажи конфиг кербероса.

dada ★★★★★
(05.08.15 15:17:16 MSK)

Ответ на: комментарий от dada 05.08.15 15:17:16 MSK

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MY_DOMAIN.COM

[realms]
MY_DOMAIN.COM = {
default_domain =MY_DOMAIN.COM
kdc = dc1.MY_DOMAIN.COM:
kdc = dc2.MY_DOMAIN.COM
admin_server = dc1.my_domain.com:749
}

[domain_realm]
my_domain.com = MY_DOMAIN.COM

Reilag
(05.08.15 15:54:53 MSK) автор топика

Ответ на: комментарий от Reilag 05.08.15 15:54:53 MSK

Конечно вместо dc1 и dc2 мои домен котроллеры, двоеточие после kdc = dc1.MY_DOMAIN.COM: убрал, перезапустил

Reilag
(05.08.15 16:02:56 MSK) автор топика

Ссылка

А машина в домен ввелась нормально?

#id domain_username

отрабатывает?

Хелперы принадлежность к группе определяют?

kravzo ★★
(05.08.15 16:10:17 MSK)

Ответ на: комментарий от kravzo 05.08.15 16:10:17 MSK

Да, я могу посмотреть любого пользователя и увижу в какие группы он входит

Reilag
(05.08.15 16:12:35 MSK) автор топика

Выкинь NTLM и самбу, сделай чистым керберосом + группы через LDAP. Рекомендации ведущих собаководов.

blind_oracle ★★★★★
(05.08.15 23:01:03 MSK)

Ссылка

Ответ на: комментарий от Reilag 05.08.15 16:12:35 MSK

вот тут я мучался с пинанием самбы через авторизацию в бд. может поможет тебе.

dada ★★★★★
(06.08.15 07:54:57 MSK)

Ссылка

на кой ляд нтлм, если можно сделать чистый керберос? ntlm-хелпер при выдаёт положительный результат?

# /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
mydomain+myuser mypasswd
OK

Я настраивал связку squid+AD+kerberos+LDAP+NTLM(для машин не в домене) по этому мануалу на squid-wiki: http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory только без negotiate_wraper используя штатный negotiate_kerberos_auth.

cetriolino
(06.08.15 12:32:23 MSK)