Re: Squid AD auth
Zsírta (2017. november 20. 7:29): > - megoldható a proxy automatikus detektálása is Szerintem már csináltam is ilyet régen, csak elfelejtettem... ;-) > - transzparens proxy helyett egy saját webszerverre is átirányíthatod > az ismeretlen klienst, ahol is elmondod neki, hogy itt pedig proxy kell! Ezt inkább kihagynám, mert ha a felhasználónak kettőt kell kattintania valamiért, akkor rögtön kétségbeesés van, és hívják a rendszergazdát, aki ennek nem örülne, mert kevesen van sok gépre és felhasználóra. Egyelőre azt hiszem nem is kell semmit szűrni, csak a lehetőségét kellett megteremtenem (mert most lesz a rendszer átalakítása, messze vannak tőlem, és mostanában nem lesz lehetőségem személyesen odautazni: de a többit mát távolról is be tudom állítani, ha kitalálják, mit szeretnének) Köszönöm a segítséget mindenkinek! Üdv: -- Vastagh Norbert _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
Hali! A transzparens proxy is kell, mert majd szűrni kell azokat is, akik csak úgy beesnek... Két apróság: - megoldható a proxy automatikus detektálása is - transzparens proxy helyett egy saját webszerverre is átirányíthatod az ismeretlen klienst, ahol is elmondod neki, hogy itt pedig proxy kell! (Ez persze feltételez olyat, hogy a kliens előtt ülő ember be tud állítani ilyesmit...) (Nem feltétlenül job b ez a megoldás, mint a transzparens proxy - csupán lehetőségként említettem meg! Zsolt _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
2017-11-19 20:42 keltezéssel, Norbert Vastagh írta: Köszönöm Uraim! Tényleg jól benéztem ;-) Azt hittem, hogy az auth_param akkor már nem is kell... Az meg meg sem fordult a fejemben, hogy ha nem tud a kliens a proxy létezéséről, akkor nem fogja vele megtárgyalni azt, hogy ki ő. Most ilyen a konfig (egy állítólag működő netes példa alapján) auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --DOMAIN=TEST auth_param ntlm children 100 auth_param ntlm keep_alive off auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic realm Servidor proxy-cache auth_param basic credentialsttl 2 hours external_acl_type AD_csoportok %LOGIN /usr/lib/squid/ext_wbinfo_group_acl acl inetcsoport1 external AD_csoportok inet1 acl inetcsoport2 external AD_csoportok inet2 http_access allow inetcsoport1 http_access allow inetcsoport2 http_access deny all És beállítottam a proxy-t is úgy, hogy egy porton transzparens, egy porton meg nem, és a nem transzparens portot írtam be a böngészőbe. Működni látszik a dolog! De nincs erőm tovább tesztelni, lehet, hogy csak becsaptam magam valamivel: majd holnap folytatom. A transzparens proxy is kell, mert majd szűrni kell azokat is, akik csak úgy beesnek... Egy kissé (számomra) túl lesz ez már bonyolítva, majd kiderül, mi lesz belőle. A holnapi viszont látásra :-) !toppost Ha köztes megoldás kell, akkor a böngészőnek "automatikus proxy észlelés" módban kell lennie, és használj proxy.pac-ot symlinkelve az össze böngészőspecifikus változatra. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
Köszönöm Uraim! Tényleg jól benéztem ;-) Azt hittem, hogy az auth_param akkor már nem is kell... Az meg meg sem fordult a fejemben, hogy ha nem tud a kliens a proxy létezéséről, akkor nem fogja vele megtárgyalni azt, hogy ki ő. Most ilyen a konfig (egy állítólag működő netes példa alapján) auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --DOMAIN=TEST auth_param ntlm children 100 auth_param ntlm keep_alive off auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 100 auth_param basic realm Servidor proxy-cache auth_param basic credentialsttl 2 hours external_acl_type AD_csoportok %LOGIN /usr/lib/squid/ext_wbinfo_group_acl acl inetcsoport1 external AD_csoportok inet1 acl inetcsoport2 external AD_csoportok inet2 http_access allow inetcsoport1 http_access allow inetcsoport2 http_access deny all És beállítottam a proxy-t is úgy, hogy egy porton transzparens, egy porton meg nem, és a nem transzparens portot írtam be a böngészőbe. Működni látszik a dolog! De nincs erőm tovább tesztelni, lehet, hogy csak becsaptam magam valamivel: majd holnap folytatom. A transzparens proxy is kell, mert majd szűrni kell azokat is, akik csak úgy beesnek... Egy kissé (számomra) túl lesz ez már bonyolítva, majd kiderül, mi lesz belőle. A holnapi viszont látásra :-) Üdv: Vasti Hegedüs Ervinírta (2017. november 19. 20:33): > Hello, > > On Sun, Nov 19, 2017 at 07:48:26PM +0100, Norbert Vastagh wrote: >> Sziasztok! >> >> Haladok, ha lassan is, de aztán természetesen elakadtam... >> >> Ami kész virtuális gépeken: >> - szerver: debian9, sama4 ad >> - Windows 7 kliens, működik rendesen (roaming profil, stb.) >> - tűzfal: debian9, squid3 transzparens proxy. > > transzparens módban nem tudsz authentikálni, mivel ilyenkor a > proxy nem küld 407-et, ill a kliens sem tudná mire vélni, mivel > nincs beállítva neki proxy... > >> A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak, >> wbinfo -u és wbinfo -g mutatja, amit kell. >> >> Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak >> létre az AD-ban lévő csoportok alapján: wbinfo_group a neve. >> >> https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/ > > hát én inkább valami official doksit keresnék, pl: > > https://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm > >> És itt az elakadás: nem indul a squid. >> >> Ennyi van a konfigomban egyelőre, mint acl: >> >> external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl >> acl inetcsoport1 external wbinfo_check inet1 >> acl inetcsoport2 external wbinfo_check inet2 >> http_access allow inetcsoport2 >> http_access allow inetcsoport2 >> >> Indítanám, az eredménye: >> >> ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 >> ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 >> >> Szerintetek mit nézek el? Nem jövök rá... > > external_acl_type konfig direktívát ne látok a fenti doksiban, > viszont auth_param-ot igen, de azt a te konfigodban nem látom. > > > > a. > > _ > linux lista - linux@mlf.linux.rulez.org > http://mlf.linux.rulez.org/mailman/listinfo/linux -- Vastagh Norbert _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
Hello, On Sun, Nov 19, 2017 at 07:48:26PM +0100, Norbert Vastagh wrote: > Sziasztok! > > Haladok, ha lassan is, de aztán természetesen elakadtam... > > Ami kész virtuális gépeken: > - szerver: debian9, sama4 ad > - Windows 7 kliens, működik rendesen (roaming profil, stb.) > - tűzfal: debian9, squid3 transzparens proxy. transzparens módban nem tudsz authentikálni, mivel ilyenkor a proxy nem küld 407-et, ill a kliens sem tudná mire vélni, mivel nincs beállítva neki proxy... > A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak, > wbinfo -u és wbinfo -g mutatja, amit kell. > > Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak > létre az AD-ban lévő csoportok alapján: wbinfo_group a neve. > > https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/ hát én inkább valami official doksit keresnék, pl: https://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm > És itt az elakadás: nem indul a squid. > > Ennyi van a konfigomban egyelőre, mint acl: > > external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl > acl inetcsoport1 external wbinfo_check inet1 > acl inetcsoport2 external wbinfo_check inet2 > http_access allow inetcsoport2 > http_access allow inetcsoport2 > > Indítanám, az eredménye: > > ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 > ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 > > Szerintetek mit nézek el? Nem jövök rá... external_acl_type konfig direktívát ne látok a fenti doksiban, viszont auth_param-ot igen, de azt a te konfigodban nem látom. a. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
Szia! Haladok, ha lassan is, de aztán természetesen elakadtam... Ami kész virtuális gépeken: - szerver: debian9, sama4 ad - Windows 7 kliens, működik rendesen (roaming profil, stb.) - tűzfal: debian9, squid3 transzparens proxy. Amit kiemelnék: _transzparens_ proxy A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak, wbinfo -u és wbinfo -g mutatja, amit kell. Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak létre az AD-ban lévő csoportok alapján: wbinfo_group a neve. https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/ És itt az elakadás: nem indul a squid. Ennyi van a konfigomban egyelőre, mint acl: external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl Ez meg a másik: %LOGIN acl inetcsoport1 external wbinfo_check inet1 acl inetcsoport2 external wbinfo_check inet2 http_access allow inetcsoport2 http_access allow inetcsoport2 Indítanám, az eredménye: ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 A transzparens proxy lényege, hogy a kliensen nem csak hogy nem kell hozzá semmit sem konfigurálni, de a kliens igazából nem is tud arról, hogy proxy-n megy át - ezt a tűzfal fogja intézni. Viszont ebből következik egy másik dolog is: a kliens _nem_ fogja magát authentikálni egy olyan komponens felé, amelynek a létezéséről nem is tud! Tehát vagy van proxy auth, de akkor nem transzparens, vagy transzparens, de akkor nincs auth a proxy felé! Ez ugyan nem az előző hiba magyarázata (hacsak nem nagyon okos a squid3 és ki nem szúrta ezt a logikai bukfencet), ellenben egy másik logikai hibáról jelzés. Zsolt _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
Sziasztok! Haladok, ha lassan is, de aztán természetesen elakadtam... Ami kész virtuális gépeken: - szerver: debian9, sama4 ad - Windows 7 kliens, működik rendesen (roaming profil, stb.) - tűzfal: debian9, squid3 transzparens proxy. A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak, wbinfo -u és wbinfo -g mutatja, amit kell. Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak létre az AD-ban lévő csoportok alapján: wbinfo_group a neve. https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/ És itt az elakadás: nem indul a squid. Ennyi van a konfigomban egyelőre, mint acl: external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl acl inetcsoport1 external wbinfo_check inet1 acl inetcsoport2 external wbinfo_check inet2 http_access allow inetcsoport2 http_access allow inetcsoport2 Indítanám, az eredménye: ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1 Szerintetek mit nézek el? Nem jövök rá... Üdv: Vasti _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
Köszönöm Uraim! Mostanában egy kicsit kiestem a linuxos dolgokból, de egy valamire biztosan emlékeztem: ha problémám van, akkor itt özönleni fognak az ötletek ;-) Átrágom magam mindenen, amit írtatok. A rendszer teljesen "új" lesz, annyiba, hogy kapok akármennyi vasat a feladatokra, és a munkaállomások (200-250, nem tudom pontosan) még nincs domain-be léptetve. Van néhány w2003 szerverük, de csak fájlszervernek használják. Illetve azon a telephelyükön, ahol meg kellene oldani ezt a dolgot már van egy linuxos masina, amin NAT-ol, és van rajta egy transzparens proxy (squid) , de azt még 5-6 éve telepítettem, azóta nem is láttam... Úgyhogy elvileg bármit megtehetek (amire képes vagyok ;-) , lehet domain linux alapokon, a klienseket domain-be kellene léptetni, mert ez lenne az egyik cél majd a rendszerük átalakítása után (vándor profilok, stb.) Na megpróbálom feldolgozni a kis agyammal az információkat, és virtuális gépeken elkezdem kipróbálni a dolgot. Szerintem hamarosan jelentkezek, hogy hol mit nem értek / hol akadtam el ;-) Üdv: Vasti _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
Hali, "Hegedüs Ervin"írta 2017-11-07 08:06-kor: > On Mon, Nov 06, 2017 at 11:44:08PM +0100, PÁSZTOR György wrote: > > "Norbert Vastagh" írta 2017-11-06 22:19-kor: > > > Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot? > > > > Ami nekem kissé nem világos, hogy hogyan is jutna el a bejelentkezési infó > > a munkaállomástól a proxyig? > > úgy, hogy a proxy küld a kliensnek egy 407-es kódot. > https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.8 > > Ennek hatására a kliens (böngésző) bekéri az auth adatokat, ill > ha az rendelkezésre áll (cache, NTLM), akkor azonnal küldi. Na ez hasznos volt. Én is tanultam valamit. Ezek után már fogalmam nincs, hogy akkor ~10 éve, miért kellett kerülőút nekünk a satyr-ral :/ > > Ott a windowsos hálózat (domain és munkaállomások) már adottak voltak. > > Emlékeim szerint a http protokollban proxy-auth -ra nincs külön megoldás. > lásd fent. > > > Ha meg a http auth-ot ellövöd erre, akkor hogyan tud esetleg egy üf. / > > munkaállomás olyan weboldalt megnézni, aminek ténylegesen kellene http > > auth? > arra van a 401: > https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.2 > > A levél többi része nem releváns :) Yepp. Nekem csak a 401 volt meg. Ahogy írtam fent, a 407-ről lemaradtam. Üdv, Gyu _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
hello, On Mon, Nov 06, 2017 at 11:44:08PM +0100, PÁSZTOR György wrote: > Hi, > > "Norbert Vastagh"írta 2017-11-06 22:19-kor: > > Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot? > > Ami nekem kissé nem világos, hogy hogyan is jutna el a bejelentkezési infó > a munkaállomástól a proxyig? úgy, hogy a proxy küld a kliensnek egy 407-es kódot. https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.8 Ennek hatására a kliens (böngésző) bekéri az auth adatokat, ill ha az rendelkezésre áll (cache, NTLM), akkor azonnal küldi. > Ott a windowsos hálózat (domain és munkaállomások) már adottak voltak. > Emlékeim szerint a http protokollban proxy-auth -ra nincs külön megoldás. lásd fent. > Ha meg a http auth-ot ellövöd erre, akkor hogyan tud esetleg egy üf. / > munkaállomás olyan weboldalt megnézni, aminek ténylegesen kellene http > auth? arra van a 401: https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.2 A levél többi része nem releváns :) a. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
On Mon, Nov 06, 2017 at 11:44:08PM +0100, PÁSZTOR György wrote: > "Norbert Vastagh"írta 2017-11-06 22:19-kor: > > Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot? > > Ami nekem kissé nem világos, hogy hogyan is jutna el a bejelentkezési infó > a munkaállomástól a proxyig? NTLM authentikacio (volt regebben) a kulcsszo, 2009-ben mar biztosan benne volt a squid-ban. Azota van mas megoldas is, ugy latom. > A kulcsprobléma, amit írtam: A felhasználó adatait (usernév, > csoporttagságok) beletenni a http-be, hogy aztán ezek mentén a squid tudjon > döntést hozni az engedélyezésről vagy annak megtagadásáról. Ez nem problema. Ugy remlik, hogy az ntlm authentikacio problemaja az volt, hogy a usernev/jelszo paros kodolatlanul jutott el a halozaton keresztul a bongeszotol a proxy-ig. https://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory -- Udvozlettel Zsiga _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux
Re: Squid AD auth
Hello, On Mon, Nov 06, 2017 at 10:19:05PM +0100, Norbert Vastagh wrote: > Sziasztok! > > Megkerestek egy megoldandó feladattal, de mielőtt beleölnék sok > időt a megoldás felkutatásába, gondoltam megkérdezem, hogy > megoldható-e egyáltalán a dolog? ;-) > > Amit szeretne az ügyfél: a domain-be bejelentkezett felhasználóinak > a felhasználói nevük alapján különböző szűréseket beállítani a linux > proxy szerveren. > > Ez volt a nagyon rövid felvázolása a dolognak ;-) > > Egyelőre domain sincs, és még az is képlékeny, hogy Windows, vagy > linux lesz, mint ahogy az is, hogy kell-e AD, vagy csak egy sima NT4 > DC, ha jól mondom (keverem néha a fogalmakat) Szóval annyiban > talán egyszerűbb a helyzet, hogy lehet a proxy masinán a samba is, > ha az úgy előnyösebb! > A munkaállomásokon egyelőre Win7 van, és szerintem még maradi is > egy ideig. > > Ennél konkrétabbat még nem tudom, hogy mennyire bonyolult szabályokat > akart a tulaj, de annyi biztosan nem lesz elég, hogy aki bejelentkezett, annak > mehet az internet, aki nem, annak meg nem... a szabályok bonyolúltsága ráér később, a kérdés első körben inkább az, hogy lesz kötelező domain, vagy nem, ill milyen más policy ötlet van még, pl böngésző használat, ... > Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot? Nem kell elfelejteni, megoldható. Ha van Windows domain, akkor használhatsz ntlm_auth-ot, ez része a Squid forrásnak és csomagnak is. Ehhez a Squid-et futtató gépet domainbe kell léptetni (windbind). Előnye, hogy Windows kliensek használata esetén ha MS böngészőt használnak, akkor nem kell külön auth. Más esetben (nem domain tag a kliens, nem Edge/Explorer fut) vagy emulálni kell az NTLM-et (böngésző extension), vagy a Squid-nek kell egy Basic Auth metódust is beállítani, ami lehet valamilyen digest alapú (ekkor a jelszó titkosítva lesz a hálón, de plaintext-ben kell tárolnod), vagy plaintext auth (ekkor SSL-t is használhatsz), és a jelszavak hash-elve lesznek. Ha nem akarsz domainbe léptetést meg egyéb szép mókát, és az AD ad LDAP-ot is (találkoztam olyannal, ahol nem volt elérhető az AD LDAP-on policy miatt), akkor Basic Ldap Auth, és mindenkinek egységes lesz az authentikáció, ami a domain user/jelsző lesz. A nem domain tagok/nem Edge/Explorer kérdés nem ennyire egyszerű, mert lehet olyan eszköz, ami soha nem lesz domain tag, pl mobiltelefon, tablet, stb... Ezeket a számokat ismerni kell, és felmérni, hogy megéri-e az NTLM-el próbálkozni csak azért, hogy ne legyen bejelentkező ablak :). a. _ linux lista - linux@mlf.linux.rulez.org http://mlf.linux.rulez.org/mailman/listinfo/linux