batman00 10 Geschrieben 21. April 2010 Melden Teilen Geschrieben 21. April 2010 Hallo Leute. Ich bastel schon seit 2 Tagen an unserer Suse Büxe rum. Habe dort Squid installiert. LDAP mit Kerberos tut auch. Ich kann mit per SSH alle Netzwerkgruppen der AD anzeigen lassen. So weit so gut. Aber wir bekomme ich das jetzt hin - dass ich diverse AD Gruppen berechtige den Proxy zu nutzen und den Rest nicht? Ich finde da einfach absolut nichts im Netz. Wichtig wäre mit - dass es NTLM ist und nicht LDAP - da ich den Usern nicht zumuten möchte, dass die sich jedes mal in einem Extra Fenster anmelden müssen. Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 23. April 2010 Melden Teilen Geschrieben 23. April 2010 Hi, schau mal in deiner squid.conf nach auth_param nach folgendem Eintrag. auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp – require-membership-of=DOMÄNE/GRUPPENNAME Wenn nicht vorhanden, anpassen und einfügen, speichern und hoffen das es funktioniert :p Squid neu starten nicht vergessen. Gruß und schönes Wochenende schonmal. Jens Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 26. April 2010 Autor Melden Teilen Geschrieben 26. April 2010 Hab den Eintrag "erweitert". Hatte das schon drin nur das am Schluss "require-membership-of=DOMÄNE/GRUPPENNAME" nicht. Hab den Eintrag also hinzugefügt und wenn ich nun Squid über Webmin starten möchte kommt gleich die Meldung: 2010/04/26 09:12:04| cache_cf.cc(346) squid.conf:207 unrecognized: 'require-membership-of=FIRMENNAME/INTERNETGRUPPE' Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Welche Squid Version nutzt du? Teste mal den NTLM-Helper folgendermaßen. /usr/bin/ntlm_auth --username=IRGENDEINSADBENUTZER danach sollte die Passwortabfrage kommen. Teste mal mit wbinfo -t ob du Informationen aus der AD auslesen kannst. folgende Meldung sollte erscheinen. checking the trust secret via RPC calls succeeded. schau mal hier das Hilft dir sicher weiter. http://www.cyberciti.biz/faq/squid-ntlm-authentication-configuration-howto/ Gruß Jens Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 26. April 2010 Autor Melden Teilen Geschrieben 26. April 2010 (bearbeitet) Also wbinfo -t schlug erst mal fehl. Hab dann mal direkt an dem Rechner ein neustart initiiert - zwar schon 20 mal per ssh gemacht aber jetzt bringt wbinf -t wenigstens wieder: wbinfo -t checking the trust secret via RPC calls succeeded ebenso bekomme ich mit wbinfo -g alle Domänengruppen angezeigt. Also. Bin da jetzt weiter. Nur das das ganze unter Linux SUSE 11.2 und Squid 3 in folgendem Verzeichnis liegt: /usr/bin/ntlm_auth Mach jetzt mal weiter. KOmmt nämlich noch eine Passwortabfrage... Muss mal paar Sachen checken. Meld mich nachher nochmal. bearbeitet 26. April 2010 von batman00 Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 26. April 2010 Autor Melden Teilen Geschrieben 26. April 2010 So, ich denke eine kleinigkeit Fehtl noch. Sobald ich den IE öffne kommt ein Fenster mit Benutzername / Passwort abfragen. Im Eventlog vom Squid steht dann folgendes: 2010/04/26 15:42:36, 0] utils/ntlm_auth.c:557(winbind_pw_check) Login for user [MEINEDOMÄNE]\[MEINBENUTZERNAME]@[MEINRECHNERNAME] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.] [2010/04/26 15:42:36, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request) NTLMSSP BH: NT_STATUS_ACCESS_DENIED 2010/04/26 15:42:36| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED' Finde zu dem Thema nur Fragen im Internet ohne definitive Antowort. Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Hallo, welches Betriebssystem hat denn der DC ? Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 26. April 2010 Autor Melden Teilen Geschrieben 26. April 2010 Win 2003 R2. Mit 2008 R2 ging ja gar nix :-) Zitieren Link zu diesem Kommentar
XP-Fan 216 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Hallo, prüfe einmal ob der DC nur NTLMv2 akzeptiert oder auch noch ntlm. Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 26. April 2010 Autor Melden Teilen Geschrieben 26. April 2010 Muss ja NTML sein - da ich den Rechner ja in die Domäne aufnehmen konnte und die Gruppen der Domäne abfragen kann, oder? Bzw. Ich hab jetzt nix in den Lokalen Sicherheitseinstellungen des Win 2003 R2 von wegen NTLM 2 finden können. Gibts das nicht erst seit 2008???? Zitieren Link zu diesem Kommentar
carlito 10 Geschrieben 26. April 2010 Melden Teilen Geschrieben 26. April 2010 Muss ja NTML sein - da ich den Rechner ja in die Domäne aufnehmen konnte und die Gruppen der Domäne abfragen kann, oder? Das sagt nichts über das verwendete Authentifizierungsprotokoll aus. Es könnte also auch LM oder NTLMv2 gewesen sein... Bzw. Ich hab jetzt nix in den Lokalen Sicherheitseinstellungen des Win 2003 R2 von wegen NTLM 2 finden können. Gibts das nicht erst seit 2008???? NTLMv2 gibt es seit Windows NT 4.0 SP4. Dein Problem wird am LMCompatibilityLevel liegen. Detail siehe Security Watch: The Most Misunderstood Windows Security Setting of All Time Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 (bearbeitet) Schau mal in der Anleitung zum Squid 3 wie der Eintrag für die AD Gruppe in der Squid.conf auszusehen hat, ich nutze Squid 2.5 bei mir klappt das mit der auth_param Einstellung. Überprüfe mal ob die Berechtigung für /var/lib/samba/winbindd_privileged auf 750 steht. Wenn nicht lässt sich der Winbind Daemon nicht starten. Soviel ich weiß müssen auch in der Squid Conf noch die acls angepasst werden. Bei mir steht da folgendes: acl AuthorizedUsers proxy_auth REQUIRED http_access allow AuthorizedUsers Ansonsten solltest du mal deine Samba und Kerberos Einstellungen checken, hier eine kleine Lektüre, hoff es hilft weiter. http://us1.samba.org/samba/docs/man/Samba-Guide/DomApps.html Gruß Jens bearbeitet 27. April 2010 von Sonic Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 27. April 2010 Autor Melden Teilen Geschrieben 27. April 2010 Hab den ganzen Dinger jetzt paltt gemacht und zieh ihn neu hoch. Neues Spiel neue glück. Ne hab schon gemerkt, dass man mit Squid 2.5 mehr support hat als mit 3. Werds dann auch mit 2.5 versuchen und meld mich dann wieder. Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 27. April 2010 Melden Teilen Geschrieben 27. April 2010 na dann viel Glück und nicht aufgeben wenn das Ding mal läuft ists klasse. ;) Gruß Jens PS. schau dir auf jeden fall den oben geposteten Link an, da steht eigentlich alles Wichtige drin!! Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 28. April 2010 Autor Melden Teilen Geschrieben 28. April 2010 Leute ich bin total am durchdrehen! Also Suse neu installiert. Dann Squid yast2-squid samba-winbind krb5 krb5-client installiert krb.conf editiert smb.conf editiert Rechner in Domäne aufgenommen wbinfo -t gibt die Meldung: checking the trust secret via RPC calls succeeded wbinfo -g bringt alle Gruppen der Domäne (auch die die ich brauche) Dann in squid.conf folgendes eingetragen: auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MEINEDOMÄNE\internet-erweitert" auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm keep_alive on auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MEINEDOMÄNE\internet-erweitert" auth_param basic children 10 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off authenticate_ttl 1 hour authenticate_cache_garbage_interval 10 minutes Starte ich Squid - sieht das Log sauber aus und ich kann surfen. Tu ich allerdings in die Squid.conf folgendes hinzu: acl ntlm_users proxy_auth REQUIRED http_access allow ntlm_users http_access deny all kommt sofort beim starten vom IE im Log folgendes: [2010/04/28 15:20:46, 0] utils/ntlm_auth.c:263(get_require_membership_sid) Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts! Wobei ich mir bei der Zeile acl ntlm_users proxy_auth REQUIRED nicht sicher bin. Ich will ja eigentlich prüfen ob der User in der Angegebenen Gruppe vorhanden ist. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.