Система debian 7 в системе развернут squid3 авторизация по keytab.
пользователи домена (samba4) введены в две группы inet и fastinet все работает, но иногда пользователи одной из групп не получают доступа в интернет в логах сообщение TCP_DENIED/407 user1$@DOMAIN.RU. Если перезапустить Squid по сообщение в логах такое TCP_MISS/200 rabbit@DOMAIN.RU и доступ в интернет открывается.
TCP_DENIED/407 user1$@DOMAIN.RU это говорит о том, что Squid ошибочно опознает не пользователя по принадлежности к группе , а выдает нам имя компьютера $@, данного компьютера-пользователя нет в группе (пример inet ) и поэтому доступ в интернет закрыт.
Соответственно запись TCP_MISS/200 rabbit@DOMAIN.RU говорит что есть пользователь rabbit в группе inet.
Выкладывать конфиги squid я считаю необязательными, так как точную причину никто тут не назовет. даже с конфигами)
Есть сеть внутри сети установлен Elastix настроен для ip звонков (через провайдера)к серверу провайдера подключается по порту 6050. Все идут через шлюз(на шлюзе squid)
iptables по дефолту все цепочки ACCEPT.
Помогите правильно настроить iptables для шлюза, что был доступ ssh,dns,squid,http,https,vpn,nat,ftp,вебсервер и самое главное чтобы элестикс коннектился к серверу провайдера в интернете. остальные порты закрыть, спасибо.
Шлюз на debian 8
Привет.
Есть домен . В домене есть файловый сервер.
Для подключения сетевого диска использую использую gpo login script
вот бат
net use j: \\ipaddr\%username% [\code]
Данный вариан работает включительно window7.
но уже не работает в windows8
im objNetwork
Dim strDriveLetter, strRemotePath
Set wshNetwork = WScript.CreateObject("WScript.Network")
username=wshNetwork.Username
Set colDrives = WSHNetwork.EnumNetworkDrives
For i = 0 To colDrives.Count - 1 Step 2
If (colDrives(i) = "M:") then
wshNetwork.RemoveNetworkDrive "M:"
End If
Next
strDriveLetter = "M:"
strRemotePath = "\\nas0\"&username
wshNetwork.MapNetworkDrive strDriveLetter,strRemotePath
i=0
Set colDrives = WSHNetwork.EnumNetworkDrives
данный вариант работает если его просто запустить с рабочего стола, но не работает из gpo.
Подскажите еще готовые варианты
Есть сервер samba4.1 (dc0) (debian8) dc0.example.com
Есть второй сервак с squid 3 (debian8) gw0.example.com
Задача настроить авторизацию в squid3 через keytab
1.) на dc0 создаю пользователя proxy_auth
2.) Создаем service principal для этого пользователя (создадим пару для fqdn и имени хоста)
Using default cache: /tmp/krb5cc_0
Using principal: host/gw0.example.com@EXAMPLE.COM
Using keytab: /etc/squid3/gw0.keytab
kinit: Keytab contains no suitable keys for host/gw0.example.com@EXAMPLE.COM while getting initial credentials
вручную поправлял соответствующее поле userPrincipalName на HTTP/gw0.example.com@EXAMPLE.COM через rsat не помогло
поставлен ubuntu server 14.04 LTS.
все обновленно.
в конфиге squida раскоменчен путь к созданию swap
папка под swap существует владелец и группа proxy
при вводе squid3 -z образуются файлы
2014/05/15 05:55:32 kid1| Making directories in /var/spool/squid3/09
2014/05/15 05:55:32 kid1| Making directories in /var/spool/squid3/0A
2014/05/15 05:55:32 kid1| Making directories in /var/spool/squid3/0B
2014/05/15 05:55:32 kid1| Making directories in /var/spool/squid3/0C
2014/05/15 05:55:32 kid1| Making directories in /var/spool/squid3/0D
2014/05/15 05:55:32 kid1| Making directories in /var/spool/squid3/0E
2014/05/15 05:55:32 kid1| Making directories in /var/spool/squid3/0F
но выхода из этой процедуры нет.
2 часа ждал. но swap не создался
в логах пишут что пользователь сам отменил команду....
что не так
eth0 Link encap:Ethernet HWaddr 08:00:27:2D:F0:FC
inet addr:192.168.0.14 Bcast:192.168.0.255 Mask:255.255.255.0
tap0 Link encap:Ethernet HWaddr 46:B3:3B:FF:41:80
inet addr:10.10.10.1 Bcast:10.10.10.255 Mask:255.255.255.0
server.conf
local 192.168.0.14
port 1194
proto tcp-server
dev tap
ca /etc/openvpn/ca.crt
cert /etc/openvpn/vpn.crt
key /etc/openvpn/vpn.key # This file should be kept secret
dh /etc/openvpn/dh1024.pem
mode server
ifconfig 10.10.10.1 255.255.255.0
ifconfig-pool 10.10.10.2 10.10.10.50
ifconfig-pool-persist /etc/openvpn/ipp.txt
push "route 192.168.0.14 255.255.255.0"
client-config-dir /etc/openvpn/ccd
#route 192.168.0.14 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.0.1"
keepalive 10 120
tls-server
tls-auth /etc/openvpn/ta.key 0 # This file is secret
;cipher BF-CBC # Blowfish (default)
;cipher AES-128-CBC # AES
;cipher DES-EDE3-CBC # Triple-DES
comp-lzo
user nobody
group nobody
persist-key
persist-tun
status openvpn-status.log
log openvpn.log
log-append openvpn.log
verb 3
mute 20
на клиенте windows xp
client
tls-client
dev tap
proto tcp
remote 192.168.0.14 1194
resolv-retry infinite
user nobody
group nobody
persist-key
persist-tun
ca C:\\Program Files\\OpenVPN\\config\\ca.crt
cert C:\\Program Files\\OpenVPN\\config\\kab34o.crt
key C:\\Program Files\\OpenVPN\\config\\kab34o.key
#ns-cert-type server
tls-auth C:\\Program Files\\OpenVPN\\config\\ta.key 1
log-append C:\\Program Files\\OpenVPN\\config\\openvpn.log
comp-lzo
ver 3
mute 20
sysctl.conf ipv4 =1
на клиенте нажимаешь подключится и тишина. подключение не возможно. логи чистые.
iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 1194 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
~
адреса в локальной сети кончились и хочется добавить подсеть
(192.168.1.0/24)
поставлен
centos 6.4.
две сетевые карты.
eth0 смотрит в 192.168.0.0, eth1 в 192.168.1.0.
на роутере включен форвайдинг пакетов
net.ipv4.ip_forward = 1
и правило
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE.
из 192.168.1.0 пингуется 192.168.1.0 есть инет
. но теперь не пускает в домен.(т.е. я не могу авторизоваться при входе в учетку. сервер выключен или не доступен,)если комп вывести из домена и снова его включить в домен. то nslookup работает.на DC заходиться по ip, но после перезагрузки проблема повторяется .
контроллер домена 2003
подняты: DNS, DHCP
создан пользователь с правами присоединения машин к домену,
создана группа пользователей inett
есть шлюз на centos 6.4.
eth0 inet addr:10.43.5.72 - интернет
eth1 inet addr:192.168.0.9- лок.сеть
ностроены: resolv.conf, hosts, nsswitch
nslookup возвращает правильное значение.
получен ключ krb5, шлюз введен в домен
поставлена samba 3.6
[global]
workgroup = S28
realm = S28.KIROV.RU
security = ADS
password server = 192.168.0.1
os level = 0
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
idmap config * : range = 100000-200000
idmap config * : backend = tdb
testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
WARNING: The «idmap uid» option is deprecated
WARNING: The «idmap gid» option is deprecated
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
'winbind separator = +' might cause problems with group membership.
Server role: ROLE_DOMAIN_MEMBER
wbinfo -u -g -D -a
wbinfo --authenticate -положительно
squid
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=«S28+inett»
auth_param ntlm children 20
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=«S28+inett»
auth_param basic children 20
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl myusers proxy_auth REQUIRED
http_access allow myusers
squid работает,но пускает в интернет всех и по ip адресу, а не только пользователей домена и по учетный записям...
где грабли?