Автор Тема: авторизация в squid на базе alt-домена (Прочитано 2055 раз)

ApB · « : 26.10.2012 10:03:03 »

Бодрого времени суток!

Шлюз, он-же домен сети. клиенты - на альте.
Реализован сбор пакетов с 80 порта и переправка их на порт, который слушает squid.
Авторизация в сети реализована на базе alt-linux домена, то есть пользователей локально авторизовываемых нет.

При запросе интернет-странички вываливается приглашение ввода имени пользователя и пароля. Вводим доменные-выходим в сеть.

Вопрос: есть-ли способ, чтобы авторизация пользователей проходима в скрытом режиме, т.е. на базе уже имеющейся авторизации при входе в систему?

berkut_174 · « **Ответ #1 :** 26.10.2012 10:41:29 »

Цитата: ApB от 26.10.2012 10:03:03

Вопрос: есть-ли способ, чтобы авторизация пользователей проходима в скрытом режиме, т.е. на базе уже имеющейся авторизации при входе в систему?

Да.
Выберите в настройках прокси-сервера способ авторизации Kerberos+PAM.

ApB · « **Ответ #2 :** 30.10.2012 18:02:09 »

Да, это установлено, но авторизации всё равно не происходит.

В каком логе искать ошибку авторизации?

Skull · « **Ответ #3 :** 30.10.2012 18:12:20 »

В /var/log/squid/ ?

ApB · « **Ответ #4 :** 31.10.2012 09:08:24 »

Бодрого времени суток!

При обращении на проксю и отказе вводить учётные данные в появляющемся окне

Код: [Выделить]

cat /var/log/squid/access.log

1351658554.557   2450 192.185.254.178 TCP_MISS/200 29245 GET http://www.google.ru/images/nav_logo114.png admin DIRECT/74.125.232.56 image/png
1351658555.409    801 192.185.254.178 TCP_MISS/204 513 GET http://www.google.com/gen_204? admin DIRECT/74.125.232.52 text/html
1351658725.934      0 192.185.254.178 TCP_DENIED/407 4072 GET http://google.ru/ - NONE/- text/html
1351658730.337      0 192.185.254.178 TCP_DENIED/407 4182 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1351658732.744      0 192.185.254.178 TCP_DENIED/407 4084 GET http://google.ru/favicon.ico - NONE/- text/html
1351658735.057      0 192.185.254.178 TCP_DENIED/407 4116 GET http://google.ru/favicon.ico - NONE/- text/html

Код: [Выделить]

cat /var/log/squid/cache.log

2012/10/31 05:53:15| NETDB state saved; 0 entries, 0 msec
2012/10/31 07:07:17| NETDB state saved; 0 entries, 0 msec
2012/10/31 07:58:43| NETDB state saved; 0 entries, 0 msec
2012/10/31 08:54:07| NETDB state saved; 0 entries, 0 msec

... и ещё

Код: [Выделить]

cat /var/log/syslog/alert
Оct 31 08:42:10 host-120 UNSPECIFIED (__progname="(pam_auth)" uid=23 gid=23 egid=27): pam_tcb(squid:auth): Credentials for user admin unknown

Skull · « **Ответ #5 :** 31.10.2012 15:48:07 »

Цитата: ApB от 31.10.2012 09:08:24

Код: [Выделить]
Credentials for user admin unknown

Что на сервере выдаёт (под root):

Код: [Выделить]

getent passwd admin
service krb5kdc status
kadmin.local -q 'getprinc admin'

Первая команда проверяет наличие пользователя в системном пространстве имён, вторая — работоспособность службы Kerberos, третья показывает пользователя в базе данных Kerberos. Если вторая команда выдаёт, что пользователь не найден, пользователь в домене заводился при неработащей службе krb5kdc.

Или пересоздайте пользователя или заведите его в Kerberos:

Код: [Выделить]

. /usr/bin/alterator-kdc-princ-functions
addprinc admin
changepw admin <пароль>

ApB · « **Ответ #6 :** 02.11.2012 13:49:22 »

На сервере выдаёт (под root):

Код: [Выделить]

root@host-120 squid]# getent passwd admin
admin:*:5000:5000:Системный администратор:/home/admin:/bin/bash
[root@host-120 squid]# service krb5kdc status
krb5kdc is running
[root@host-120 squid]# kadmin.local -q 'getprinc admin'
Authenticating as principal root/admin@TITAN.LOC with password.
Principal: admin@TITAN.LOC
Expiration date: [never]
Last password change: Mon Oct 29 09:35:06 MSK 2012
Password expiration date: [none]
Maximum ticket life: 1 day 00:00:00
Maximum renewable life: 0 days 00:00:00
Last modified: Mon Oct 29 09:35:06 MSK 2012 (root/admin@TITAN.LOC)
Last successful authentication: [never]
Last failed authentication: [never]
Failed password attempts: 0
Number of keys: 4
Key: vno 6, ArcFour with HMAC/md5, no salt
Key: vno 6, DES cbc mode with CRC-32, no salt
Key: vno 6, Triple DES cbc mode raw, no salt
Key: vno 6, DES cbc mode with CRC-32, AFS version 3
Attributes:
Policy: [none]

А по пересозданию пользователя - система на всех пользователей реагирует одинаково, т.е. всех если-что перезаводить?

Skull · « **Ответ #7 :** 02.11.2012 16:05:26 »

Пользователь есть, его перезаводить не нужно. А вот связка Squid и Kerberos не работает.

ApB · « **Ответ #8 :** 03.11.2012 01:55:41 »

=)

то что связка не работает - это я предположил.

А в виду каких причин связка не работает? Где/как можно это посмотреть и проанализировать?

Skull · « **Ответ #9 :** 03.11.2012 07:41:04 »

Цитата: ApB от 03.11.2012 01:55:41

=)

то что связка не работает - это я предположил.

Это очевидно, после того, как работа Kerberos была подтверждена.

Цитировать

А в виду каких причин связка не работает? Где/как можно это посмотреть и проанализировать?

Так приводили же ошибку в логах Squid.

ApB · « **Ответ #10 :** 03.11.2012 22:54:34 »

Я нашёл общую доку для администратора, правда по SPT, но в целом информация есть, однако за счёт каких механизмов обеспечено взаимодействие сквида и керберос. Где найти доку на предмет того, как организовано взаимодействие squid и kerberos в altlinux?

Skull · « **Ответ #11 :** 04.11.2012 20:25:33 »

Цитата: ApB от 03.11.2012 22:54:34

Я нашёл общую доку для администратора, правда по SPT, но в целом информация есть, однако за счёт каких механизмов обеспечено взаимодействие сквида и керберос. Где найти доку на предмет того, как организовано взаимодействие squid и kerberos в altlinux?

SPT — тот же самый ALT Linux (как и Simply Linux). Бренды разные, начинка одна.
Так как я занимаюсь доменом, на неделе посмотрю, что можно со Squid сделать.

ApB · « **Ответ #12 :** 04.11.2012 23:36:53 »

Спасибо!

На счёт понедельника/выходных и работы - не у одного меня IT не просто работа =) ;)

Форум сообщества
Альт Линукс