Squid mit NTLM

[batman00 10]

Hallo Leute.

 

Ich bastel schon seit 2 Tagen an unserer Suse Büxe rum. Habe dort Squid installiert. LDAP mit Kerberos tut auch.

Ich kann mit per SSH alle Netzwerkgruppen der AD anzeigen lassen. So weit so gut.

Aber wir bekomme ich das jetzt hin - dass ich diverse AD Gruppen berechtige den Proxy zu nutzen und den Rest nicht?

Ich finde da einfach absolut nichts im Netz.

Wichtig wäre mit - dass es NTLM ist und nicht LDAP - da ich den Usern nicht zumuten möchte, dass die sich jedes mal in einem Extra Fenster anmelden müssen.

[Sonic 10]

Hi,

 

schau mal in deiner squid.conf nach auth_param nach folgendem Eintrag.

 

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp –

require-membership-of=DOMÄNE/GRUPPENNAME

 

Wenn nicht vorhanden, anpassen und einfügen, speichern und hoffen das es funktioniert :p Squid neu starten nicht vergessen.

 

Gruß und schönes Wochenende schonmal.

 

Jens

[batman00 10]

Hab den Eintrag "erweitert". Hatte das schon drin nur das am Schluss "require-membership-of=DOMÄNE/GRUPPENNAME" nicht.

 

Hab den Eintrag also hinzugefügt und wenn ich nun Squid über Webmin starten möchte kommt gleich die Meldung:

 

2010/04/26 09:12:04| cache_cf.cc(346) squid.conf:207 unrecognized: 'require-membership-of=FIRMENNAME/INTERNETGRUPPE'

[Sonic 10]

Welche Squid Version nutzt du?

Teste mal den NTLM-Helper folgendermaßen.

 

/usr/bin/ntlm_auth --username=IRGENDEINSADBENUTZER

 

danach sollte die Passwortabfrage kommen.

 

Teste mal mit wbinfo -t ob du Informationen aus der AD auslesen kannst.

folgende Meldung sollte erscheinen.

checking the trust secret via RPC calls succeeded.

 

schau mal hier das Hilft dir sicher weiter.

 

http://www.cyberciti.biz/faq/squid-ntlm-authentication-configuration-howto/

 

Gruß

Jens

[batman00 10]

Also wbinfo -t schlug erst mal fehl. Hab dann mal direkt an dem Rechner ein neustart initiiert - zwar schon 20 mal per ssh gemacht aber jetzt bringt wbinf -t wenigstens wieder: wbinfo -t

checking the trust secret via RPC calls succeeded

 

ebenso bekomme ich mit wbinfo -g alle Domänengruppen angezeigt.

 

Also. Bin da jetzt weiter. Nur das das ganze unter Linux SUSE 11.2 und Squid 3 in folgendem Verzeichnis liegt:

/usr/bin/ntlm_auth

 

Mach jetzt mal weiter. KOmmt nämlich noch eine Passwortabfrage... Muss mal paar Sachen checken. Meld mich nachher nochmal.

bearbeitet 26. April 2010 von batman00

[batman00 10]

So, ich denke eine kleinigkeit Fehtl noch. Sobald ich den IE öffne kommt ein Fenster mit Benutzername / Passwort abfragen.

Im Eventlog vom Squid steht dann folgendes:

 

2010/04/26 15:42:36, 0] utils/ntlm_auth.c:557(winbind_pw_check)

Login for user [MEINEDOMÄNE]\[MEINBENUTZERNAME]@[MEINRECHNERNAME] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2010/04/26 15:42:36, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request)

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2010/04/26 15:42:36| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

 

Finde zu dem Thema nur Fragen im Internet ohne definitive Antowort.

[XP-Fan 215]

Hallo,

 

welches Betriebssystem hat denn der DC ?

[batman00 10]

Win 2003 R2. Mit 2008 R2 ging ja gar nix :-)

[XP-Fan 215]

Hallo,

 

prüfe einmal ob der DC nur NTLMv2 akzeptiert oder auch noch ntlm.

[batman00 10]

Muss ja NTML sein - da ich den Rechner ja in die Domäne aufnehmen konnte und die Gruppen der Domäne abfragen kann, oder?

 

Bzw. Ich hab jetzt nix in den Lokalen Sicherheitseinstellungen des Win 2003 R2 von wegen NTLM 2 finden können. Gibts das nicht erst seit 2008????

[carlito 10]

Muss ja NTML sein - da ich den Rechner ja in die Domäne aufnehmen konnte und die Gruppen der Domäne abfragen kann, oder?

 

Das sagt nichts über das verwendete Authentifizierungsprotokoll aus. Es könnte also auch LM oder NTLMv2 gewesen sein...

 

Bzw. Ich hab jetzt nix in den Lokalen Sicherheitseinstellungen des Win 2003 R2 von wegen NTLM 2 finden können. Gibts das nicht erst seit 2008????

 

NTLMv2 gibt es seit Windows NT 4.0 SP4.

 

Dein Problem wird am LMCompatibilityLevel liegen. Detail siehe Security Watch: The Most Misunderstood Windows Security Setting of All Time

[Sonic 10]

Schau mal in der Anleitung zum Squid 3 wie der Eintrag für die AD Gruppe in der Squid.conf auszusehen hat, ich nutze Squid 2.5 bei mir klappt das mit der auth_param Einstellung.

 

Überprüfe mal ob die Berechtigung für /var/lib/samba/winbindd_privileged auf 750 steht. Wenn nicht lässt sich der Winbind Daemon nicht starten. Soviel ich weiß müssen auch in der Squid Conf noch die acls angepasst werden. Bei mir steht da folgendes:

 

acl AuthorizedUsers proxy_auth REQUIRED

http_access allow AuthorizedUsers

 

Ansonsten solltest du mal deine Samba und Kerberos Einstellungen checken, hier eine kleine Lektüre, hoff es hilft weiter.

 

http://us1.samba.org/samba/docs/man/Samba-Guide/DomApps.html

 

Gruß

Jens

bearbeitet 27. April 2010 von Sonic

[batman00 10]

Hab den ganzen Dinger jetzt paltt gemacht und zieh ihn neu hoch. Neues Spiel neue glück. Ne hab schon gemerkt, dass man mit Squid 2.5 mehr support hat als mit 3. Werds dann auch mit 2.5 versuchen und meld mich dann wieder.

[Sonic 10]

na dann viel Glück und nicht aufgeben wenn das Ding mal läuft ists klasse.

;)

 

Gruß

Jens

 

PS. schau dir auf jeden fall den oben geposteten Link an, da steht eigentlich alles Wichtige drin!!

[batman00 10]

Leute ich bin total am durchdrehen!

 

Also Suse neu installiert.

 

Dann Squid

yast2-squid

samba-winbind

krb5

krb5-client installiert

 

krb.conf editiert

 

smb.conf editiert

 

Rechner in Domäne aufgenommen

 

wbinfo -t gibt die Meldung:

checking the trust secret via RPC calls succeeded

 

wbinfo -g bringt alle Gruppen der Domäne (auch die die ich brauche)

 

Dann in squid.conf folgendes eingetragen:

 

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MEINEDOMÄNE\internet-erweitert"

auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutes

auth_param ntlm keep_alive on

 

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MEINEDOMÄNE\internet-erweitert"

auth_param basic children 10

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

authenticate_ttl 1 hour

authenticate_cache_garbage_interval 10 minutes

 

 

Starte ich Squid - sieht das Log sauber aus und ich kann surfen.

 

Tu ich allerdings in die Squid.conf folgendes hinzu:

 

acl ntlm_users proxy_auth REQUIRED

http_access allow ntlm_users

http_access deny all

 

 

kommt sofort beim starten vom IE im Log folgendes:

 

[2010/04/28 15:20:46, 0] utils/ntlm_auth.c:263(get_require_membership_sid)

Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts!

 

Wobei ich mir bei der Zeile acl ntlm_users proxy_auth REQUIRED nicht sicher bin. Ich will ja eigentlich prüfen ob der User in der Angegebenen Gruppe vorhanden ist.