Forum Debian Users Gang

grom · 2013-11-20 14:12:14

Witam,

Mam problem ze zmuszeniem squid_ldap_auth do komunikacji z AD na windows 2008,

gdy odpalam komende

Kod:

ldapsearch -x -b dc=domena,dc=com -D user@domena.com -h serwer.domena.com -W

wszystko jest ok, listuje się cała domena

gdy wpisuję

Kod:

/usr/lib64/squid/squid_ldap_auth -b "dc=domena,dc=com" -f "uid=%s" serwer.domena.com -d

i podaję user@domena.com hasło to dostaje komunikat :

Kod:

squid_ldap_auth: WARNING, LDAP search error 'Operations error'
ERR Success

próbowałem też

Kod:

 /usr/lib64/squid/squid_ldap_auth -b "dc=domena,dc=com" -D "cn=Nazwa usera,cn=Users,dc=domena,dc=com" -f "uid=%s" -h serwer.domena.com

niestety efekt taki sam
proszę o pomoc

jurgensen · 2013-11-20 14:26:42

Prześledź najlepiej tcpdumpem ruch, zapisz wynik do pliku pcap i otwórz w wiresharku, wtedy wszystko powinieneś mieć widoczne. Ewentualnie umieść tutaj plik pcap.

grom · 2013-11-23 13:09:24

wklejam kawałek konfiguracji

Kod:

auth_param basic program /usr/lib/squid/squid_ldap_auth -R -b "dc=domena,dc=com" -D squid@domena.com -w ****** -f sAMAccountName=%s -h serwer.domena.com
auth_param basic children 10
auth_param basic realm SQUID PROXY
auth_param basic credentialsttl 1 minute


external_acl_type proxygroup %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=domena,dc=com" -D squid@domena.com -w ****** -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,OU=Users,DC=domena,DC=com")) -h serwer.domena.com


acl ldap_auth proxy_auth REQUIRED
acl allegro dstdomain allegro.pl www.allegro.pl

acl netaccess external proxygroup url_regex GRUPAwAD
acl google dstdomain google.pl
http_access deny google !netaccess
http_access allow ldap_auth

ldap_auth już mi działa problemem było kryterium wyszukiwania usera -f sAMAccountName jest poprawne dla windows servera 2003 (z takiego korzystam)
teraz chcę aby konkretne stronki były blokowane dla użytkowników z konkretnej gałęzi AD, myślałem że do tego posłuży mi squid_ldap_group ale dopiero teraz rozkiminłem że on sprawdza "Member Of" usera

gdzieś znalazłem taki kawałek kodu:

Kod:

acl ldap_backoffice ldap_auth static 'CN=BackOffice,OU=Groups,dc=my-domain,dc=de'
acl ldap_management ldap_auth static 'CN=Management,OU=Groups,dc=my-domain,dc=de'
acl ldap_it-service ldap_auth static 'CN=IT-Service,OU=Groups,dc=my-domain,dc=de'
acl ldap_development ldap_auth static 'CN=DEVELOPMENT,OU=Groups,dc=my-domain,dc=de'

http_access allow ldap_development
http_access allow ldap_backoffice
http_access allow ldap_management
http_access allow ldap_it-service
http_access deny all

to by mnie zajebiście urządzało ale w nowszej wersji squida chyba sie nie da tak, jakieś błędy wyskakują, pomocy

Jacekalex · 2013-11-23 14:00:17

Zobacz lepiej, czy Squid pójdzie z autoryzacją PAM, a usługę pam dla Squida puść przez ldap.
Będzie łatwiej, a jakby LDAP się zjebał, to przełączanie w PAM ldapa na radiusa czy SQL, to 5 minut roboty.
Pryz okazji błędy w PAM są w Debianie łatane przeważnie w 72 godziny,
czego o Squidzie nie można powiedzieć.
I jakbyś chciał zapiąć do ldap Postfixa, Sambę, autoryzację WWW czy VPNa,
to możesz podpiąć pod ta samą usługę PAM w 3 minuty, zamiast się certolić z konfigami poszczególnych usług, które z ldapem czasami chodzą lepiej, ale przeważnie gorzej.

W dodatku PAM o wiele łatwiej testować i debugować.

Sznurki:
Teoria:
http://pl.wikipedia.org/wiki/Pluggable_Authentication_Modules

Praktyka:
https://wiki.debian.org/LDAP/PAM
http://www.lazysystemadmin.com/2010/08/here-steps-t … tion-for.html

EDIT:
Inne wyjście, które ldapa zjada na śniadanie, to autoryzacja w Radius,
może sobie chodzić na Win2008, łatwo do niego podpiąć i Squida i PAM.
Jeśli w tej wersji Win2008 jest radius, to chyba nawet można
go wydrapać myszką w AD.

W Linuxie autoryzację w radiusie obrobisz w 3 minuty:
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Radius
http://freeradius.org/pam_radius_auth/

Jakby Win2008 skończył tak :D, to serwer Radiusa na Linuxie można ogarnąć w godzinę.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-11-23 14:26:15)

grom · 2013-11-23 15:15:19

czemu ldap ma się zjebać ?

edit: tzn co znaczy że ldap się zjebie (kontroler domeny padnie?)

Ostatnio edytowany przez grom (2013-11-23 15:20:23)

Jacekalex · 2013-11-23 19:48:31

Nie koniecznie LDAP, ale system może paść albo dysk.
Jeszcze nie wymyślili takiego serwera, który nie potrafi się rypnąć

Raz w robocie miałem ślitaśny spiuper serwer Win2003, który zdechł z powodu jakiegoś wirusa, i było po danych na dysku - bazy MsSQL.
Była niezła jazda z reperacją tego dziadostwa, na szczęście był też backup wszystkich baz.
Ale nieczynna przez prawie dwa dni księgowość - bezcenne. :P

Dlatego na Twoim miejscu brałbym dwa graty z Linuxem albo lepiej OpenBSD,
żeby obsługiwały autoryzację radius, i zarówno Win-serwery jak i wszystkie Linuxy podpiął pod tych radiusów.

Życie mnie nauczyło, żeby firmie Windows i jej produktom nie ufać nigdy i w żadnym stopniu.

Dlatego preferuję takie rozwiązania, które można bez problemu uruchomić na każdym systemie, i łatwo je naprawić albo zastąpić w razie awarii.

W PAM możesz podmienić konfig dla usługi w /etc/pam.d/, zrestartować usługę, i np po minucie masz czynną usługę, która 3 min wcześniej chodziła na ldap, a obecnie na radiusie albo sql.
W konfigach Squida w tym czasie nie zmieniasz nawet przecinka.

I radzę zamiast Ldapa, Radius, jest o cale niebo prostszy w obsłudze od ldapa,
a Windows 2008 ma wbudowany serwer radius (nie wiem, czy we wszystkich wersjach), w Linuxie/FreeBSD/OpenBSD masz Freeradiusa.

FreeRadius w akcji:

Kod:

time radtest  -x -t chap  test  test localhost  1814  {hasełko-radiusa} 
Sending Access-Request of id 198 to 127.0.0.1 port 1812
    User-Name = "test"
    CHAP-Password = 0xc65ccdb919b863789f7605da2c228e2c53
    NAS-IP-Address = 127.0.0.1
    NAS-Port = 1814
    Message-Authenticator = 0x00000000000000000000000000000000
rad_recv: Access-Accept packet from host 127.0.0.1 port 1812, id=198, length=32
    Framed-IP-Address = 192.168.2.229
    Framed-IP-Netmask = 255.255.255.0

real    0m0.052s
user    0m0.032s
sys    0m0.019s

Konfiguracja pam_radius na dwa serwery:

Kod:

127.0.0.1    secret             1
other-server    other-secret       3

Freeradiusa dla sprawdzenia postawiłem od zera w ciągu pół godziny
- działa z Mysql.

Autoryzacje da się podpiąć do wszystkich usług i serwerów, włącznie z Asteriskiem i Freeswitchem (telefonia voip) czy Ejabberd (Jabber),
a także uwierzytelniać miśków w większości routerów dostępnych na rynku.

Do tego "mega trudne" generowanie certów dla miśków, do uwierzytelnienia EAP-TLS:
http://deployingradius.com/documents/configuration/certificates.html

A tu konfiguracja Squida do pracy z Radiusem:
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Radius

Także zamiast ldapa - radius i dwa piwa :D

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-11-24 12:42:11)

grom · 2013-11-24 10:42:20

ok dzięki :) w wolnej chwili poczytam i postaram się wdrożyć, póki co podstawowy cel osiągnąłem, teraz czas na kosmetykę ; P - czy da się zeedytować defaultowe okienko logowania ktore wyskakuje? chciałbym żeby było ono bardziej czytelne

Forum Debian Users Gang

Ogłoszenie

#1 2013-11-20 14:12:14

grom - Nowy użytkownik

Squid podstawowa autentykacja przez LDAP

Kod:

Kod:

Kod:

Kod:

#2 2013-11-20 14:26:42

jurgensen - Użytkownik

Re: Squid podstawowa autentykacja przez LDAP

#3 2013-11-23 13:09:24

grom - Nowy użytkownik

Re: Squid podstawowa autentykacja przez LDAP

Kod:

Kod:

#4 2013-11-23 14:00:17

Jacekalex - Podobno człowiek...;)

Re: Squid podstawowa autentykacja przez LDAP

#5 2013-11-23 15:15:19

grom - Nowy użytkownik

Re: Squid podstawowa autentykacja przez LDAP

#6 2013-11-23 19:48:31

Jacekalex - Podobno człowiek...;)

Re: Squid podstawowa autentykacja przez LDAP

Kod:

Kod:

#7 2013-11-24 10:42:20

grom - Nowy użytkownik

Re: Squid podstawowa autentykacja przez LDAP

Stopka forum