Этот сайт лучше всего просматривать в современном браузере с включённым JavaScript.

Не работает авторизация ext_ldap_group_acl

kiret

Здравствуйте!

Настраивал squid на виртуальной машине (hyper-v) под ubuntu с аутентификацией в Active Directory по инструкциям >> link, возникла проблема.

При вводе команды squid -k check выдаётся следующее:

2014/08/13 15| WARNING OVERIDE: Capping startup=20 to the defined maximum (5)

Суть проблемы:

Независимо от пользователя, доступ в интернет даётся только гостевой (ресурсы для неавторизованных).

С прокси делал kinit - информация о пользователях выдаётся без проблем.

Помогите, пожалуйста! Всю голову сломал уже... Заранее благодарю!

Ниже привожу кусок кода, связанный с авторизацией.

# Negotiate Kerberos and NTLM authentication auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/userver@VSK.MOS.LOCAL auth_param negotiate children 200 startup=50 idle=10 auth_param negotiate keep_alive off # Only NTLM authentication auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 startup=20 idle=5 auth_param ntlm keep_alive off # Basic authentication via ldap for clients not authenticated via kerberos/ntlm auth_param basic program /usr/lib/squid3/basic_ldap_auth -v 3 -P -R -b "dc=vsk,dc=mos,dc=local" -D "s-KOM-SquidKerb@vsk.mos.local" -W /etc/squid3/conf_param_ldappass.txt -f sAMAccountName=%s -h vsk-s-001.vsk.mos.local vsk-s-002.vsk.mos.local auth_param basic children 20 auth_param basic realm "Userver SQUID Proxy Server Basic authentication!" auth_param basic credentialsttl 2 hours # ACCESS CONTROLS # ----------------------------------------------------------------------------- # # LDAP authorization external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "OU=Users,dc=vsk,dc=mos,dc=local" -D s-KOM-SquidKerb@vsk.mos.local -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf.2.840.113556.1.4.1941:=cn=%g,OU=Users,DC=vsk,DC=mos,DC=local))" -h vsk-s-001.vsk.mos.local vsk-s-002.vsk.mos.local

#

Алексей Максимов

Не совсем понял в чём именно проблема у Вас.

Давайте в разрезе:

1) Как хочется

2) Как вместо этого происходит

3) Какие действия сами предпринимали по решению проблемы.

PS: Squid какой версии? Просто Вы указали команду "squid -k check" а для Squid3 она Ubuntu будет такой "sudo squid3 -k check"

kiret

Хочется также как описано в статье - 4 группы пользователей в AD с разным доступом в интернет (точно также как в статье).

Вместо этого происходит следующее - на компьютере в браузере прописываю прокси (для теста) - компьютер не авторизуется на прокси и попадает в гостевую группу доступа, где доступен только сайт фирмы.

При этом, с прокси-сервера kinit работает без ошибок, видит пользователей AD.

Единственная ошибка, которую удалось найти:

user@userver:~$ sudo squid3 -k check

2014/08/14 15| WARNING OVERIDE: Capping startup=20 to the defined maximum (5)

Никак не разберусь, что это сообщение означает.

Какие предпринимал действия - несколько десятков раз перепроверял, всё ли правильно прописано, как в статье (соответственно, заменяя данные типа названия узлов и т.д. на свои), перековырял в squid.conf раздел access control, но лучше от этого не становилось.

Больше даже пока что не знаю, в какую сторону копать, как диагностировать. Напишите, пожалуйста, что диагностировать, чтобы хоть понять суть ошибки. Вероятно, squid не может определить принадлежность пользователя к группе доступа. Это можно как-то проверить?

P.S. Прошу прощения, я в Linux новичок, поэтому проблематично настройка проходит...

Алексей Максимов

Вполне возможно, что у вас не отрабатывает блок авторизации, там где выполняется проверка членства пользователей в доменных группах безопасности. Для начала для понимания почитайте ветку комментариев к статье, где я расписал параметры используемые для авторизации в external_acl_type memberof.

Наводящий вопрос по вашему конфигу.

Доменные группы безопасности, которые Вы хотите использовать у Вас действительно расположены в OU OU=Users,DC=vsk,DC=mos,DC=local ?

kiret

Комментарии, конечно же, уже смотрел (от чего и отталкивался, пытаясь корректировать строку external_acl_type memberof)

OU - я так понял, это папка в домене, где лежат пользователи? Тогда да, Users.

Домен vsk.mos.local , с этим тоже всё верно.

Алексей Максимов

Не верно. OU OU=Users,DC=vsk,DC=mos,DC=local это место в котором ожидается размещение групп безопасности в которые включены доменные пользователи. Об этом написано и в статье и сделан акцент на этом и в комментариях.

kiret

Группы там же лежат, поэтому суть не меняется :(

Алексей Максимов

Вы можете проверить работу хелпера авторизации запуская его отдельно. Например в Вашем случае команда будет такой:

sudo /usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "OU=Users,dc=vsk,dc=mos,dc=local" -D s-KOM-SquidKerb@vsk.mos.local -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf.2.840.113556.1.4.1941:=cn=%g,OU=Users,DC=vsk,DC=mos,DC=local))" -h vsk-s-001.vsk.mos.local vsk-s-002.vsk.mos.local

Обратите внимание на то, что в команду добавлен ключ -d для более подробного вывода на консоль.

После того как Вы введёте эту команду, хелпер будет ожидать от Вас парные значения (через пробел) в виде:

<пользователь> <группа>

Например Вам нужно проверить входит ли пользователь artur в группу KOM-Internet-Standard. Для этого сразу после вызова хелпера предыдущей командой вводите:

artur KOM-Internet-Standard

Если хелпер смог определить, что пользователь входит в указанную группы то даст ответ ОК, в противном случае даст ответ ERR

kiret

user21 VSK-Internet-Standard

ext_ldap_group_acl: WARNING: could not bind to binddn 'Invalid credentials'

ERR

Да, не определяется почему-то принадлежность пользователя группе.

kiret

При таком раскладе OU=Users,DC=vsk,DC=mos,DC=local правильно ведь?

Алексей Максимов

kiret написал
user21 VSK-Internet-Standard

ext_ldap_group_acl: WARNING: could not bind to binddn 'Invalid credentials'

ERR

Проблема может быть как в том, что в ключах -D и -W неверно указаны учетные данные для подключения к AD как к LDAP-каталогу, так и в том, что используемый вами объект "Users" это на самом деле Контейнер (Container) а не Подразделение (Organizational Unit), и соответственно его distinguishedName будет "CN=Users,DC=ad,DC=ies-holding,DC=com", а не "OU=Users,dc=vsk,dc=mos,dc=local", как указано у Вас.

PS: Скриншоты прошу загружать на форум а не давать ссылки на сторонние изображения.

kiret

я не совсем в курсе насчет контейнера и подразделения, не знаю, как различить. Это встроенные, которые в AD были.

OU тогда не понадобится, так понимаю? Завтра буду на работе, попробую предложенное Вами решение.

Спасибо Вам большое, что помогаете!

P.S. Насчёт скриншотов - ок.

kiret

Попробовал вместо OU=Users писать CN=Users, пробовал вообще убирать этот параметр, но ничего не вышло, всё та же ошибка.

И ещё не могу понять, что означает WARNING OVERIDE: Capping startup=20 to the defined maximum (5) при запуске sudo squid3 -k check

Алексей Максимов

Каков вывод команды:

sudo squid3 -k parse

Какая ОС установлена на контроллерах домена? Какой уровень домена/леса? Нужно понимать какого уровня используется схема в AD.

Алексей Максимов

Предупреждение "WARNING OVERIDE: Capping startup=20 to the defined maximum (5)" возникает из-за того, что у Вас неверно сконфигурирована строка:

auth_param ntlm children 5 startup=20 idle=5

Вы объявляете NTLM хелперу разрешение запускать 5 дочерних процессов, и при это хотите, чтобы при запуске Squid 20 из них сразу загружались и были готовы выполнять работу.

kiret

Прошу прощения. Была небольшая путаница с логинами, когда переделывали keytab.proxy, как выяснилось.

Сейчас с логинами всё разрешилось.

Решением послужило следующее: в squid.conf переделал параметр OU=Users на CN=Users, Прокся заработала!!!

children 5 - заменил. Видимо, опечатка просто была, не знал, что этот параметр делает, поэтому недоумевал

СПАСИБО ВАМ ОГРОМНЕЙШЕЕ !!!!!!!

Алексей Максимов

Тему можно закрывать?

kiret

Да, конечно!

Спасибо ещё раз!