Buenas tardes,
Escribo este post para ver si por favor pueden ayudarme. He estado intentando hacer funcionar Squid con AD mediante mediante NTLM y Kerberos y solo me funciona con los usuarios y no con los grupos. En el log de Squid me muestra las paginas con el usuario que accedio a ella y con las pruebas que he visto en bastantes paginas, confirmo que funciona pero no encuentro que parametro falta o este mal.
Actualmente tengo la version 3.5. Segui una guia para hacerlo con autenticacion con Kerberos y esto es parte de la configuracion en Squid:
Citar
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/krb5.keytab -i -s HTTP/sc-uproxy.corp.nconsult.com@CORP.NCONSULT.COM
auth_param negotiate children 50 startup=10 idle=5 auth_param negotiate
keep_alive on
external_acl_type kerberos_ldap_group1 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -g proxy_total
acl group1 external kerberos_ldap_group1 acl rule1 url_regex "/etc/squid/lists/allowed"
http_access allow group1 rule1 http_access deny all
krb5.conf
Citar
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = CORP.NCONSULT.COM
default_tgs_enctypes = rc4-hmac des3-hmac-sha1
default_tkt_enctypes = rc4-hmac des3-hmac-sha1
default_keytab_name = /etc/krb5.keytab
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
[realms]
CORP.SERVICONSULT.NET = {
kdc = sc-dc3.corp.nconsult.com:88
admin_server = sc-dc3.corp.nconsult.com:749
default_domain = corp.nconsult.com
}
Gracias de antemano
Saludos
debes tener bien tu resolución inversa y directa en lo personal nunca lo pude poner en producción para kerberos en el ambiente se cuentan con 2 dominios en relación de confianza y por alguna razon por mas que quemaba lineas de hosts en el squid aveces buscaba donde no era (algo en el realm), aun me falta mucho conocimiento técnico pero te digo que para ntlm funciona siempre y cuando tu resolv se haga solo por dc a través del dns del dominio no por un tercero, vi varios métodos pero en funcionamiento ntlm -->instalar samba y configurar el smb -- subir al dominio
smb
local master = no
workgroup = CORP.NCONSULT
security = ads
realm = CORP.NCONSULT.COM
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
Citarauth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=CORP.NCONSULT
auth_param ntlm children 256 startup=5 idle=1
auth_param ntlm keep_alive off
Citarexternal_acl_type ldap_group children-max=30 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -R -b "dc=CORP.NCONSULT,dc=COM" -D "usuario@CORP.NCONSULT.COM" -w "password" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%g,OU=Grupos Navegacion,OU=aqui los grupos ,dc=CORP.NCONSULT,dc=COM))" -h dc1.CORP.NCONSULT.COM (prefiero la ip)
acl auth proxy_auth REQUIRED
acl g_ng_pruebas external ldap_group ng_del_directorio
http_access deny !auth
http_access allow g_ng_pruebas acl permitidas denegadas
te deseo mucha suerte
Me parece interesante, ya que nunca he tenido que usar este tipo de configuracion, pero segun veo se ve medio complicada, Saludos