Jump to content

Squid mit NTLM


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Leute.

 

Ich bastel schon seit 2 Tagen an unserer Suse Büxe rum. Habe dort Squid installiert. LDAP mit Kerberos tut auch.

Ich kann mit per SSH alle Netzwerkgruppen der AD anzeigen lassen. So weit so gut.

Aber wir bekomme ich das jetzt hin - dass ich diverse AD Gruppen berechtige den Proxy zu nutzen und den Rest nicht?

Ich finde da einfach absolut nichts im Netz.

Wichtig wäre mit - dass es NTLM ist und nicht LDAP - da ich den Usern nicht zumuten möchte, dass die sich jedes mal in einem Extra Fenster anmelden müssen.

Link zu diesem Kommentar

Hi,

 

schau mal in deiner squid.conf nach auth_param nach folgendem Eintrag.

 

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp –

require-membership-of=DOMÄNE/GRUPPENNAME

 

Wenn nicht vorhanden, anpassen und einfügen, speichern und hoffen das es funktioniert :p Squid neu starten nicht vergessen.

 

Gruß und schönes Wochenende schonmal.

 

Jens

Link zu diesem Kommentar

Hab den Eintrag "erweitert". Hatte das schon drin nur das am Schluss "require-membership-of=DOMÄNE/GRUPPENNAME" nicht.

 

Hab den Eintrag also hinzugefügt und wenn ich nun Squid über Webmin starten möchte kommt gleich die Meldung:

 

2010/04/26 09:12:04| cache_cf.cc(346) squid.conf:207 unrecognized: 'require-membership-of=FIRMENNAME/INTERNETGRUPPE'

Link zu diesem Kommentar

Welche Squid Version nutzt du?

Teste mal den NTLM-Helper folgendermaßen.

 

/usr/bin/ntlm_auth --username=IRGENDEINSADBENUTZER

 

danach sollte die Passwortabfrage kommen.

 

Teste mal mit wbinfo -t ob du Informationen aus der AD auslesen kannst.

folgende Meldung sollte erscheinen.

checking the trust secret via RPC calls succeeded.

 

schau mal hier das Hilft dir sicher weiter.

 

http://www.cyberciti.biz/faq/squid-ntlm-authentication-configuration-howto/

 

Gruß

Jens

Link zu diesem Kommentar

Also wbinfo -t schlug erst mal fehl. Hab dann mal direkt an dem Rechner ein neustart initiiert - zwar schon 20 mal per ssh gemacht aber jetzt bringt wbinf -t wenigstens wieder: wbinfo -t

checking the trust secret via RPC calls succeeded

 

ebenso bekomme ich mit wbinfo -g alle Domänengruppen angezeigt.

 

Also. Bin da jetzt weiter. Nur das das ganze unter Linux SUSE 11.2 und Squid 3 in folgendem Verzeichnis liegt:

/usr/bin/ntlm_auth

 

Mach jetzt mal weiter. KOmmt nämlich noch eine Passwortabfrage... Muss mal paar Sachen checken. Meld mich nachher nochmal.

bearbeitet von batman00
Link zu diesem Kommentar

So, ich denke eine kleinigkeit Fehtl noch. Sobald ich den IE öffne kommt ein Fenster mit Benutzername / Passwort abfragen.

Im Eventlog vom Squid steht dann folgendes:

 

2010/04/26 15:42:36, 0] utils/ntlm_auth.c:557(winbind_pw_check)

Login for user [MEINEDOMÄNE]\[MEINBENUTZERNAME]@[MEINRECHNERNAME] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2010/04/26 15:42:36, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request)

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2010/04/26 15:42:36| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

 

Finde zu dem Thema nur Fragen im Internet ohne definitive Antowort.

Link zu diesem Kommentar
Muss ja NTML sein - da ich den Rechner ja in die Domäne aufnehmen konnte und die Gruppen der Domäne abfragen kann, oder?

 

Das sagt nichts über das verwendete Authentifizierungsprotokoll aus. Es könnte also auch LM oder NTLMv2 gewesen sein...

 

Bzw. Ich hab jetzt nix in den Lokalen Sicherheitseinstellungen des Win 2003 R2 von wegen NTLM 2 finden können. Gibts das nicht erst seit 2008????

 

NTLMv2 gibt es seit Windows NT 4.0 SP4.

 

Dein Problem wird am LMCompatibilityLevel liegen. Detail siehe Security Watch: The Most Misunderstood Windows Security Setting of All Time

Link zu diesem Kommentar

Schau mal in der Anleitung zum Squid 3 wie der Eintrag für die AD Gruppe in der Squid.conf auszusehen hat, ich nutze Squid 2.5 bei mir klappt das mit der auth_param Einstellung.

 

Überprüfe mal ob die Berechtigung für /var/lib/samba/winbindd_privileged auf 750 steht. Wenn nicht lässt sich der Winbind Daemon nicht starten. Soviel ich weiß müssen auch in der Squid Conf noch die acls angepasst werden. Bei mir steht da folgendes:

 

acl AuthorizedUsers proxy_auth REQUIRED

http_access allow AuthorizedUsers

 

Ansonsten solltest du mal deine Samba und Kerberos Einstellungen checken, hier eine kleine Lektüre, hoff es hilft weiter.

 

http://us1.samba.org/samba/docs/man/Samba-Guide/DomApps.html

 

Gruß

Jens

bearbeitet von Sonic
Link zu diesem Kommentar

Leute ich bin total am durchdrehen!

 

Also Suse neu installiert.

 

Dann Squid

yast2-squid

samba-winbind

krb5

krb5-client installiert

 

krb.conf editiert

 

smb.conf editiert

 

Rechner in Domäne aufgenommen

 

wbinfo -t gibt die Meldung:

checking the trust secret via RPC calls succeeded

 

wbinfo -g bringt alle Gruppen der Domäne (auch die die ich brauche)

 

Dann in squid.conf folgendes eingetragen:

 

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MEINEDOMÄNE\internet-erweitert"

auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutes

auth_param ntlm keep_alive on

 

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MEINEDOMÄNE\internet-erweitert"

auth_param basic children 10

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

authenticate_ttl 1 hour

authenticate_cache_garbage_interval 10 minutes

 

 

Starte ich Squid - sieht das Log sauber aus und ich kann surfen.

 

Tu ich allerdings in die Squid.conf folgendes hinzu:

 

acl ntlm_users proxy_auth REQUIRED

http_access allow ntlm_users

http_access deny all

 

 

kommt sofort beim starten vom IE im Log folgendes:

 

[2010/04/28 15:20:46, 0] utils/ntlm_auth.c:263(get_require_membership_sid)

Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts!

 

Wobei ich mir bei der Zeile acl ntlm_users proxy_auth REQUIRED nicht sicher bin. Ich will ja eigentlich prüfen ob der User in der Angegebenen Gruppe vorhanden ist.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...