Problema con grupos de Active Directory

Publicado por RaMartin14, Octubre 03, 2017, 01:29:58 PM

Tema anterior - Siguiente tema

RaMartin14

Buenas tardes,

Escribo este post para ver si por favor pueden ayudarme. He estado intentando hacer funcionar Squid con AD mediante mediante NTLM y Kerberos y solo me funciona con los usuarios y no con los grupos. En el log de Squid me muestra las paginas con el usuario que accedio a ella y con las pruebas que he visto en bastantes paginas, confirmo que funciona pero no encuentro que parametro falta o este mal.

Actualmente tengo la version 3.5. Segui una guia para hacerlo con autenticacion con Kerberos y esto es parte de la configuracion en Squid:

Citar
auth_param negotiate program /usr/lib/squid/negotiate_kerberos_auth -k /etc/krb5.keytab -i -s HTTP/sc-uproxy.corp.nconsult.com@CORP.NCONSULT.COM

auth_param negotiate children 50 startup=10 idle=5 auth_param negotiate

keep_alive on

external_acl_type kerberos_ldap_group1 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -g proxy_total

acl group1 external kerberos_ldap_group1 acl rule1 url_regex "/etc/squid/lists/allowed"

http_access allow group1 rule1 http_access deny all

krb5.conf

Citar
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log


[libdefaults]
        default_realm = CORP.NCONSULT.COM
        default_tgs_enctypes = rc4-hmac des3-hmac-sha1
        default_tkt_enctypes = rc4-hmac des3-hmac-sha1
        default_keytab_name = /etc/krb5.keytab
        dns_lookup_realm = false
        dns_lookup_kdc = false
        ticket_lifetime = 24h

[realms]
CORP.SERVICONSULT.NET = {
        kdc = sc-dc3.corp.nconsult.com:88
        admin_server = sc-dc3.corp.nconsult.com:749
        default_domain = corp.nconsult.com
}

Gracias de antemano

Saludos

crows86

debes tener bien tu resolución inversa y directa en lo personal nunca lo pude poner en producción para kerberos en el ambiente se cuentan con 2 dominios en relación de confianza y por alguna razon por mas que quemaba lineas de hosts en el squid aveces buscaba donde no era (algo en el realm), aun me falta mucho conocimiento técnico  pero te digo que para ntlm  funciona siempre y cuando tu resolv se haga solo por dc a través del dns del dominio no por un tercero, vi varios métodos pero en funcionamiento ntlm -->instalar samba y configurar el smb -- subir al dominio


smb
local master = no
workgroup = CORP.NCONSULT
security = ads
realm = CORP.NCONSULT.COM

winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes

load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes



Citarauth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=CORP.NCONSULT
auth_param ntlm children 256 startup=5 idle=1
auth_param ntlm keep_alive off

Citarexternal_acl_type ldap_group children-max=30  %LOGIN /usr/lib/squid3/ext_ldap_group_acl -R -b "dc=CORP.NCONSULT,dc=COM" -D "usuario@CORP.NCONSULT.COM" -w "password" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%g,OU=Grupos Navegacion,OU=aqui los grupos ,dc=CORP.NCONSULT,dc=COM))" -h dc1.CORP.NCONSULT.COM   (prefiero la ip)



acl auth proxy_auth REQUIRED
acl g_ng_pruebas external ldap_group ng_del_directorio
http_access deny !auth
http_access allow g_ng_pruebas   acl permitidas denegadas

te deseo mucha suerte

firecold

Me parece interesante, ya que nunca he tenido que usar este tipo de configuracion, pero segun veo se ve medio complicada, Saludos