Re: Squid AD auth

2017-11-22 bef zés Norbert Vastagh 
Zs  írta (2017. november 20. 7:29):
> - megoldható a proxy automatikus detektálása is

Szerintem már csináltam is ilyet régen, csak elfelejtettem... ;-)

> - transzparens proxy helyett egy saját webszerverre is átirányíthatod
>   az ismeretlen klienst, ahol is elmondod neki, hogy itt pedig proxy kell!

Ezt inkább kihagynám, mert ha a felhasználónak kettőt kell kattintania
valamiért, akkor rögtön kétségbeesés van, és hívják a rendszergazdát,
aki ennek nem örülne, mert kevesen van sok gépre és felhasználóra.

Egyelőre azt hiszem nem is kell semmit szűrni, csak a lehetőségét kellett
megteremtenem (mert most lesz a rendszer átalakítása, messze vannak
tőlem, és mostanában nem lesz lehetőségem személyesen odautazni:
de a többit mát távolról is be tudom állítani, ha kitalálják, mit szeretnének)

Köszönöm a segítséget mindenkinek!

Üdv:

-- 
Vastagh Norbert
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-19 bef zés Zs 

Hali!



A transzparens proxy is kell, mert majd szűrni kell azokat is, akik
csak úgy beesnek...

Két apróság:
- megoldható a proxy automatikus detektálása is
- transzparens proxy helyett egy saját webszerverre is átirányíthatod
  az ismeretlen klienst, ahol is elmondod neki, hogy itt pedig proxy kell!
  (Ez persze feltételez olyat, hogy a kliens előtt ülő ember be tud 
állítani

  ilyesmit...) (Nem feltétlenül job b ez a megoldás, mint a transzparens
  proxy - csupán lehetőségként említettem meg!

Zsolt

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-19 bef zés Szládovics Péter 

2017-11-19 20:42 keltezéssel, Norbert Vastagh írta:

Köszönöm Uraim!

Tényleg jól benéztem ;-) Azt hittem, hogy az auth_param akkor már nem is kell...
Az meg meg sem fordult a fejemben, hogy ha nem tud a kliens a proxy létezéséről,
akkor nem fogja vele megtárgyalni azt, hogy ki ő.

Most ilyen a konfig (egy állítólag működő netes példa alapján)

auth_param ntlm program /usr/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp --DOMAIN=TEST
auth_param ntlm children 100
auth_param ntlm keep_alive off

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 100
auth_param basic realm Servidor proxy-cache
auth_param basic credentialsttl 2 hours

external_acl_type AD_csoportok %LOGIN /usr/lib/squid/ext_wbinfo_group_acl
acl inetcsoport1 external AD_csoportok inet1
acl inetcsoport2 external AD_csoportok inet2

http_access allow inetcsoport1
http_access allow inetcsoport2

http_access deny all


És beállítottam a proxy-t is úgy, hogy egy porton transzparens, egy
porton meg nem, és
a nem transzparens portot írtam be a böngészőbe. Működni látszik a
dolog! De nincs
erőm tovább tesztelni, lehet, hogy csak becsaptam magam valamivel: majd holnap
folytatom.

A transzparens proxy is kell, mert majd szűrni kell azokat is, akik
csak úgy beesnek...

Egy kissé (számomra) túl lesz ez már bonyolítva, majd kiderül, mi lesz belőle.

A holnapi viszont látásra :-)


!toppost

Ha köztes megoldás kell, akkor a böngészőnek "automatikus proxy 
észlelés" módban kell lennie, és használj proxy.pac-ot symlinkelve az 
össze böngészőspecifikus változatra.

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-19 bef zés Norbert Vastagh 
Köszönöm Uraim!

Tényleg jól benéztem ;-) Azt hittem, hogy az auth_param akkor már nem is kell...
Az meg meg sem fordult a fejemben, hogy ha nem tud a kliens a proxy létezéséről,
akkor nem fogja vele megtárgyalni azt, hogy ki ő.

Most ilyen a konfig (egy állítólag működő netes példa alapján)

auth_param ntlm program /usr/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp --DOMAIN=TEST
auth_param ntlm children 100
auth_param ntlm keep_alive off

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 100
auth_param basic realm Servidor proxy-cache
auth_param basic credentialsttl 2 hours

external_acl_type AD_csoportok %LOGIN /usr/lib/squid/ext_wbinfo_group_acl
acl inetcsoport1 external AD_csoportok inet1
acl inetcsoport2 external AD_csoportok inet2

http_access allow inetcsoport1
http_access allow inetcsoport2

http_access deny all


És beállítottam a proxy-t is úgy, hogy egy porton transzparens, egy
porton meg nem, és
a nem transzparens portot írtam be a böngészőbe. Működni látszik a
dolog! De nincs
erőm tovább tesztelni, lehet, hogy csak becsaptam magam valamivel: majd holnap
folytatom.

A transzparens proxy is kell, mert majd szűrni kell azokat is, akik
csak úgy beesnek...

Egy kissé (számomra) túl lesz ez már bonyolítva, majd kiderül, mi lesz belőle.

A holnapi viszont látásra :-)

Üdv: Vasti


Hegedüs Ervin  írta (2017. november 19. 20:33):
> Hello,
>
> On Sun, Nov 19, 2017 at 07:48:26PM +0100, Norbert Vastagh wrote:
>> Sziasztok!
>>
>> Haladok, ha lassan is, de aztán természetesen elakadtam...
>>
>> Ami kész virtuális gépeken:
>> - szerver: debian9, sama4 ad
>> - Windows 7 kliens, működik rendesen (roaming profil, stb.)
>> - tűzfal: debian9, squid3 transzparens proxy.
>
> transzparens módban nem tudsz authentikálni, mivel ilyenkor a
> proxy nem küld 407-et, ill a kliens sem tudná mire vélni, mivel
> nincs beállítva neki proxy...
>
>> A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak,
>> wbinfo -u és wbinfo -g mutatja, amit kell.
>>
>> Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak
>> létre az AD-ban lévő csoportok alapján: wbinfo_group a neve.
>>
>> https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/
>
> hát én inkább valami official doksit keresnék, pl:
>
> https://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm
>
>> És itt az elakadás: nem indul a squid.
>>
>> Ennyi van a konfigomban egyelőre, mint acl:
>>
>> external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl
>> acl inetcsoport1 external wbinfo_check inet1
>> acl inetcsoport2 external wbinfo_check inet2
>> http_access allow inetcsoport2
>> http_access allow inetcsoport2
>>
>> Indítanám, az eredménye:
>>
>> ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1
>> ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1
>>
>> Szerintetek mit nézek el? Nem jövök rá...
>
> external_acl_type konfig direktívát ne látok a fenti doksiban,
> viszont auth_param-ot igen, de azt a te konfigodban nem látom.
>
>
>
> a.
>
> _
> linux lista  -  linux@mlf.linux.rulez.org
> http://mlf.linux.rulez.org/mailman/listinfo/linux



-- 
Vastagh Norbert
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-19 bef zés Hegedüs Ervin 
Hello,

On Sun, Nov 19, 2017 at 07:48:26PM +0100, Norbert Vastagh wrote:
> Sziasztok!
> 
> Haladok, ha lassan is, de aztán természetesen elakadtam...
> 
> Ami kész virtuális gépeken:
> - szerver: debian9, sama4 ad
> - Windows 7 kliens, működik rendesen (roaming profil, stb.)
> - tűzfal: debian9, squid3 transzparens proxy.

transzparens módban nem tudsz authentikálni, mivel ilyenkor a
proxy nem küld 407-et, ill a kliens sem tudná mire vélni, mivel
nincs beállítva neki proxy...

> A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak,
> wbinfo -u és wbinfo -g mutatja, amit kell.
> 
> Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak
> létre az AD-ban lévő csoportok alapján: wbinfo_group a neve.
> 
> https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/

hát én inkább valami official doksit keresnék, pl:

https://wiki.squid-cache.org/ConfigExamples/Authenticate/Ntlm
 
> És itt az elakadás: nem indul a squid.
> 
> Ennyi van a konfigomban egyelőre, mint acl:
> 
> external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl
> acl inetcsoport1 external wbinfo_check inet1
> acl inetcsoport2 external wbinfo_check inet2
> http_access allow inetcsoport2
> http_access allow inetcsoport2
> 
> Indítanám, az eredménye:
> 
> ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1
> ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1
> 
> Szerintetek mit nézek el? Nem jövök rá...

external_acl_type konfig direktívát ne látok a fenti doksiban,
viszont auth_param-ot igen, de azt a te konfigodban nem látom.



a.

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-19 bef zés Zs 

Szia!


Haladok, ha lassan is, de aztán természetesen elakadtam...

Ami kész virtuális gépeken:
- szerver: debian9, sama4 ad
- Windows 7 kliens, működik rendesen (roaming profil, stb.)
- tűzfal: debian9, squid3 transzparens proxy.

Amit kiemelnék: _transzparens_ proxy


A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak,
wbinfo -u és wbinfo -g mutatja, amit kell.

Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak
létre az AD-ban lévő csoportok alapján: wbinfo_group a neve.

https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/

És itt az elakadás: nem indul a squid.

Ennyi van a konfigomban egyelőre, mint acl:

external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl

Ez meg a másik: %LOGIN


acl inetcsoport1 external wbinfo_check inet1
acl inetcsoport2 external wbinfo_check inet2
http_access allow inetcsoport2
http_access allow inetcsoport2

Indítanám, az eredménye:

ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1
ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1

A transzparens proxy lényege, hogy a kliensen nem csak hogy nem kell
hozzá semmit sem konfigurálni, de a kliens igazából nem is tud arról,
hogy proxy-n megy át - ezt a tűzfal fogja intézni.
Viszont ebből következik egy másik dolog is: a kliens _nem_ fogja magát
authentikálni egy olyan komponens felé, amelynek a létezéséről nem is
tud!
Tehát vagy van proxy auth, de akkor nem transzparens, vagy transzparens,
de akkor nincs auth a proxy felé!

Ez ugyan nem az előző hiba magyarázata (hacsak nem nagyon okos
a squid3 és ki nem szúrta ezt a logikai bukfencet), ellenben egy másik
logikai hibáról jelzés.


Zsolt

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-19 bef zés Norbert Vastagh 
Sziasztok!

Haladok, ha lassan is, de aztán természetesen elakadtam...

Ami kész virtuális gépeken:
- szerver: debian9, sama4 ad
- Windows 7 kliens, működik rendesen (roaming profil, stb.)
- tűzfal: debian9, squid3 transzparens proxy.

A tűzfal gépre került samba4, winbind, bekonfiguráltam, része az AD-nak,
wbinfo -u és wbinfo -g mutatja, amit kell.

Elvileg létezik egy egyszerű módja annak, hogy squid acl-eket hozzak
létre az AD-ban lévő csoportok alapján: wbinfo_group a neve.

https://www.systutorials.com/docs/linux/man/8-ext_wbinfo_group_acl/

És itt az elakadás: nem indul a squid.

Ennyi van a konfigomban egyelőre, mint acl:

external_acl_type wbinfo_check %LOGIN /usr/lib/squid/ext_wbinfo_group_acl
acl inetcsoport1 external wbinfo_check inet1
acl inetcsoport2 external wbinfo_check inet2
http_access allow inetcsoport2
http_access allow inetcsoport2

Indítanám, az eredménye:

ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1
ERROR: Invalid ACL: acl inetcsoport1 external wbinfo_check inet1

Szerintetek mit nézek el? Nem jövök rá...

Üdv: Vasti
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-07 bef zés Norbert Vastagh 
Köszönöm Uraim!

Mostanában egy kicsit kiestem a linuxos dolgokból, de egy valamire
biztosan emlékeztem: ha problémám van, akkor  itt özönleni fognak
az ötletek ;-)

Átrágom magam mindenen, amit írtatok.

A rendszer teljesen "új" lesz, annyiba, hogy kapok akármennyi vasat
a feladatokra, és a munkaállomások (200-250, nem tudom pontosan)
még nincs domain-be léptetve. Van néhány w2003 szerverük, de csak
fájlszervernek használják.
Illetve azon a telephelyükön, ahol meg kellene oldani ezt a dolgot már
van egy linuxos masina, amin NAT-ol, és van rajta egy transzparens
proxy (squid) , de azt még 5-6 éve telepítettem, azóta nem is láttam...

Úgyhogy elvileg bármit megtehetek (amire képes vagyok ;-) , lehet domain
linux alapokon, a klienseket domain-be kellene léptetni, mert ez lenne az
egyik cél majd a rendszerük átalakítása után (vándor profilok, stb.)

Na megpróbálom feldolgozni a kis agyammal az információkat, és
virtuális gépeken elkezdem kipróbálni a dolgot.

Szerintem hamarosan jelentkezek, hogy hol mit nem értek / hol akadtam
el ;-)

Üdv: Vasti
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-07 bef zés PÁSZTOR György 
Hali,

"Hegedüs Ervin"  írta 2017-11-07 08:06-kor:
> On Mon, Nov 06, 2017 at 11:44:08PM +0100, PÁSZTOR György wrote:
> > "Norbert Vastagh"  írta 2017-11-06 22:19-kor:
> > > Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot?
> > 
> > Ami nekem kissé nem világos, hogy hogyan is jutna el a bejelentkezési infó
> > a munkaállomástól a proxyig?
> 
> úgy, hogy a proxy küld a kliensnek egy 407-es kódot.
> https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.8
> 
> Ennek hatására a kliens (böngésző) bekéri az auth adatokat, ill
> ha az rendelkezésre áll (cache, NTLM), akkor azonnal küldi.

Na ez hasznos volt. Én is tanultam valamit.
Ezek után már fogalmam nincs, hogy akkor ~10 éve, miért kellett kerülőút
nekünk a satyr-ral :/

> > Ott a windowsos hálózat (domain és munkaállomások) már adottak voltak.
> > Emlékeim szerint a http protokollban proxy-auth -ra nincs külön megoldás.
> lásd fent.
> 
> > Ha meg a http auth-ot ellövöd erre, akkor hogyan tud esetleg egy üf. /
> > munkaállomás olyan weboldalt megnézni, aminek ténylegesen kellene http
> > auth?
> arra van a 401:
> https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.2
> 
> A levél többi része nem releváns :)

Yepp. Nekem csak a 401 volt meg. Ahogy írtam fent, a 407-ről lemaradtam.

Üdv,
Gyu
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-06 bef zés Hegedüs Ervin 
hello,

On Mon, Nov 06, 2017 at 11:44:08PM +0100, PÁSZTOR György wrote:
> Hi,
> 
> "Norbert Vastagh"  írta 2017-11-06 22:19-kor:
> > Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot?
> 
> Ami nekem kissé nem világos, hogy hogyan is jutna el a bejelentkezési infó
> a munkaállomástól a proxyig?

úgy, hogy a proxy küld a kliensnek egy 407-es kódot.
https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.8

Ennek hatására a kliens (böngésző) bekéri az auth adatokat, ill
ha az rendelkezésre áll (cache, NTLM), akkor azonnal küldi.
 
> Ott a windowsos hálózat (domain és munkaállomások) már adottak voltak.
> Emlékeim szerint a http protokollban proxy-auth -ra nincs külön megoldás.
lásd fent.

> Ha meg a http auth-ot ellövöd erre, akkor hogyan tud esetleg egy üf. /
> munkaállomás olyan weboldalt megnézni, aminek ténylegesen kellene http
> auth?
arra van a 401:
https://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html#sec10.4.2

A levél többi része nem releváns :)


a.

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-06 bef zés Kosa Attila 
On Mon, Nov 06, 2017 at 11:44:08PM +0100, PÁSZTOR György wrote:
> "Norbert Vastagh"  írta 2017-11-06 22:19-kor:
> > Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot?
> 
> Ami nekem kissé nem világos, hogy hogyan is jutna el a bejelentkezési infó
> a munkaállomástól a proxyig?

NTLM authentikacio (volt regebben) a kulcsszo, 2009-ben mar
biztosan benne volt a squid-ban. Azota van mas megoldas is, ugy
latom.

> A kulcsprobléma, amit írtam: A felhasználó adatait (usernév,
> csoporttagságok) beletenni a http-be, hogy aztán ezek mentén a squid tudjon
> döntést hozni az engedélyezésről vagy annak megtagadásáról.

Ez nem problema. Ugy remlik, hogy az ntlm authentikacio
problemaja az volt, hogy a usernev/jelszo paros kodolatlanul
jutott el a halozaton keresztul a bongeszotol a proxy-ig.

https://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory

-- 
Udvozlettel
Zsiga
_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux

Re: Squid AD auth

2017-11-06 bef zés Hegedüs Ervin 
Hello,

On Mon, Nov 06, 2017 at 10:19:05PM +0100, Norbert Vastagh wrote:
> Sziasztok!
> 
> Megkerestek egy megoldandó feladattal, de mielőtt beleölnék sok
> időt a megoldás felkutatásába, gondoltam megkérdezem, hogy
> megoldható-e egyáltalán a dolog? ;-)
> 
> Amit szeretne az ügyfél: a domain-be bejelentkezett felhasználóinak
> a felhasználói nevük alapján különböző szűréseket beállítani a linux
> proxy szerveren.
> 
> Ez volt a nagyon rövid felvázolása a dolognak ;-)
> 
> Egyelőre domain sincs, és még az is képlékeny, hogy Windows, vagy
> linux lesz, mint ahogy az is, hogy kell-e AD, vagy csak egy sima NT4
> DC, ha jól mondom (keverem néha a fogalmakat) Szóval annyiban
> talán egyszerűbb a helyzet, hogy lehet a proxy masinán a samba is,
> ha az úgy előnyösebb!
> A munkaállomásokon egyelőre Win7 van, és szerintem még maradi is
> egy ideig.
> 
> Ennél konkrétabbat még nem tudom, hogy mennyire bonyolult szabályokat
> akart a tulaj, de annyi biztosan nem lesz elég, hogy aki bejelentkezett, annak
> mehet az internet, aki nem, annak meg nem...

a szabályok bonyolúltsága ráér később, a kérdés első körben
inkább az, hogy lesz kötelező domain, vagy nem, ill milyen más
policy ötlet van még, pl böngésző használat, ...

> Merre induljak el? És érdemes-e egyáltalán, vagy felejtse el a dolgot?

Nem kell elfelejteni, megoldható.

Ha van Windows domain, akkor használhatsz ntlm_auth-ot, ez része
a Squid forrásnak és csomagnak is. Ehhez a Squid-et futtató gépet
domainbe kell léptetni (windbind). Előnye, hogy Windows kliensek
használata esetén ha MS böngészőt használnak, akkor nem kell
külön auth. Más esetben (nem domain tag a kliens, nem
Edge/Explorer fut) vagy emulálni kell az NTLM-et (böngésző
extension), vagy a Squid-nek kell egy Basic Auth metódust is
beállítani, ami lehet valamilyen digest alapú (ekkor a jelszó
titkosítva lesz a hálón, de plaintext-ben kell tárolnod), vagy
plaintext auth (ekkor SSL-t is használhatsz), és a jelszavak
hash-elve lesznek.

Ha nem akarsz domainbe léptetést meg egyéb szép mókát, és az AD
ad LDAP-ot is (találkoztam olyannal, ahol nem volt elérhető az AD
LDAP-on policy miatt), akkor Basic Ldap Auth, és mindenkinek
egységes lesz az authentikáció, ami a domain user/jelsző lesz.

A nem domain tagok/nem Edge/Explorer kérdés nem ennyire egyszerű,
mert lehet olyan eszköz, ami soha nem lesz domain tag, pl
mobiltelefon, tablet, stb... Ezeket a számokat ismerni kell, és
felmérni, hogy megéri-e az NTLM-el próbálkozni csak azért, hogy
ne legyen bejelentkező ablak :).


a.

_
linux lista  -  linux@mlf.linux.rulez.org
http://mlf.linux.rulez.org/mailman/listinfo/linux