Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Squid3 mit SSO an Windows 2008R2 Domain

Frage Linux Linux Netzwerk

Mitglied: killtec

killtec (Level 3) - Jetzt verbinden

03.01.2013 um 14:22 Uhr, 4932 Aufrufe, 20 Kommentare

Hallo zusammen

Ich möchte gerne folgendes umsetzen:

Gegebene Umgebeung (hört sich komisch an, ist aber so ;) ):
- Windows 2008R2 Domäne
- Linux Server mit Squid3 und Apache

Was möchte ich realisieren:
Squid3 als Proxy mit einer Authentifizierung an der Windows 2008R2 Domäne mit einem SSO und Authentifizierung einer Gruppe.

D.H. -> In der OU habe ich eine Gruppe namens Internetnutzer und diese sollen dann über den Proxy ins Internet, ohne jedes mal beim Neustart des Browsers sich zu authentifizieren.

Problem:
Ich bin Squid Neuling und habe aber auch schon mal vor einer weile damit experimentiert. Jedoch ohne Erfolg Problem: Die How-Tos die im Netz sind, sind entweder nicht für die Squid-Version passend und so schlecht beschrieben, dass ich da nicht weiter komme.

Also Vorweg: Board-Suche und Goolge habe ich schon befragt und noch nichts passendes gefunden.

Ich würde dieses Problem gerne mit euch lösen. Falls Ihr andere Vorschläge habt, wie man das Problem lösen kann, bin ich auch offen.

Also Zusammengefasst, was will ich erreichen: Eine Bestimmte Nutzergruppe darf über den Prxy ins Internet, sonst keiner.

Danke euch schon mal.
Mitglied: aqui
03.01.2013, aktualisiert um 18:14 Uhr
Diese Tutorials sollten dir helfen, denn sie beschreiben die generelle Integration in eine Windows Domain.
http://www.administrator.de/contentid/85403
http://www.administrator.de/contentid/191718
und
http://www.administrator.de/contentid/196140
Sie beschreiben mehr oder weniger die gleichen Schritte. Den Rest erklärt:
http://www.squid-handbuch.de/hb/
Für die Einbindung von Squid mit ntlm_auth findest du unzähliche Infos im Netz:
http://www.webseite-n.de/2010/02/ubuntu-anleitung-squid-proxy-server-mi ...
usw.
Es ist mehr oder weniger exakt die gleiche Prozedur wie bei der Einbindung von FreeRadius das auch ntlm_auth benutzt:
http://deployingradius.com/documents/configuration/active_directory.htm ...
Das debian Tutorial erklärt es eigentlich umfassend. Die Schritte sind recht einfach und dort im Deatil erklärt:
  • Kerberos User Paket installieren und krb5.conf customizen
  • Samba und Samba Binaries installieren und smb.conf anpassen
  • nsswitch.conf anpassen
  • hosts Datei und DNS anpassen
  • Squid Server in die Domain aufnehmen
Her kannst du dann einen Vortest machen mit dem ntlm_auth Modul indem du es auf der Konsole direkt ausführst:
$ ntlm_auth --request-nt-key --domain=WINDOMAIN --username=user --password=password
Das sollte dann eine "SUCESS" ergeben wenn du einen gültigen Usernamen verwendest.
Dann musst du nur noch die squid.conf anpassen und los gehts !
Ist eigentlich recht einfach und schnell gemacht !
Bitte warten ..
Mitglied: killtec
04.01.2013 um 11:32 Uhr
Danke aqui für den link zum Tutorials.
Ich habe den Server nun in der Domain und die Auth funktioniert auch (direkt am Server und SSH).

wbinfo zeigt mir alle Benutzer an.

Nun habe ich das Problem, dass ich an der Stelle nicht weiter weiß, wo ich den Squid gegen eine AD-Gruppe Authentifizieren kann.

Ich habe in meiner squid.conf folgendes hinzu gefügt:
### Windows Auth ###
auth_param ntlm program /usr/bin/ntlm_auth -helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/bin/ntlm_auth -helper-protocol=squid-2.5-basic
auth_param ntlm children 10
auth_param basic children 5
auth_param basic realm pvg-proxy01
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds

Mit der Einstellung funktioniert Squid leider nicht. Er startet den Dienst nicht mit den Einstellungen.
Weiß leider auch aus dem Kopf nicht, welche log-File mir einen Hinweis geben kann.

Die AD-Gruppe die ich Authentifizieren möchte hat folgenden DN:
CN=Internetnutzer,OU=Allgemein,OU=Gruppen,OU=PVG,DC=pvg,DC=lan

kannst du mir bitte hier nochmal einen Hinweis geben?
Habe mir den Link von webseite-n angeschaut, kann aber da leider nich auseinander halten, was ich mit meinen eigenen Variablen/Namen in der squid.conf ersetzen muss und was nicht.

Ohne Auth funktioniert squid.

Gruß
Bitte warten ..
Mitglied: aqui
04.01.2013 um 11:57 Uhr
Ja, das ist ein bekannter Fehler oder besser Problem, da es eigentlich kein Fehler ist... Es lässt sich aber leicht fixen.
Leider teilst du uns nicht mit welche Distro du benutzt aber anhand einen klassischen Debian Installation ist das Prinzip erklärt, denn es tauscht bei einigen Distros analog auch bei der FreeRadius Installation auf.
Der Output von ntlm_auth und vermutlich auch ntlm_param wird über eine Pipe Datei in /run/samba/winbindd_privileged übergeben auf das der User "freerad" und bei dir vermutlich der User "squid" unter dem der FreeRadius bzw. Squid als Daemon rennt keinen Zugriff hat. Du musst also checken mit welchem User und Group dein Squid rennt.
FreeRadius und Squid Abfragen mit ntlm_auth und vermutlich auch ntlm_param scheitern also deshalb an den Userrechten für das Pipe verzeichnis obwohl ein einzellner ntlm_auth Aufruf mit Abfrage des AD fehlerfrei funktioniert.
Mit einem "adduser freerad winbindd_priv" fügt man den User freerad der Gruppe winbindd_priv zu die alle Rechte in diesem Pipe Verzeichnis hat und damit klappt die FreeRadius und Squid Abfrage aus dem AD dann fehlerlos !
Also checke mal mit welchem Usernamen und Gruppe der Squid Daemon ausgeführt wird und suche in deiner Distro dieses Üvergabeverzeichnis. Dr. Google hilft dir dabei wenn du gezielt danach suchst.
Bitte warten ..
Mitglied: killtec
04.01.2013 um 13:00 Uhr
Hi Aqui,
sorry, das ist ein SLES 11 SP2. Werde das nachher mal testen.
Gruß
Bitte warten ..
Mitglied: killtec
14.01.2013 um 10:22 Uhr
Hi Aqui,
habe jetzt mal geschaut wo die Datei liegt und denke mal, das da der Fehler dran liegt:

proxy10:~ # ls -lai /var/lib/samba/winbindd_privileged
total 8
1778743 drwxr-x--- 2 root root 4096 Jan 8 10:09 .
1778495 drwxr-xr-x 9 root root 4096 Jan 8 14:27 ..
1778740 srwxrwxrwx 1 root root 0 Jan 8 10:09 pipe
proxy10:~ #

So wie es aussieht darf da nur root als Gruppe und User drauf schreiben. Ist es denn jetzt sinnvoll, den Benutzer "squid" der Gruppe root hinzuzufügen? Dann hätte dieser ja von hause aus root-Zugriff auf dem System oder?
Was wäre hier denn eine sinnvolle Lösung?
Bitte warten ..
Mitglied: aqui
14.01.2013 um 10:44 Uhr
Jau, das ist das Problem ! Wenn du natürlich den user squid in die root Group packst fixt das das Problem reisst aber ein Sicherheitsloch auf denn der squid User bekommt dann root Rechte. Besser wäre es wenn die Gruppenrechte andersrum aufgezäumt wären wie bei der Debian Distro.
Bitte warten ..
Mitglied: killtec
14.01.2013, aktualisiert um 10:48 Uhr
Also meinst du lieber die Gruppenberechtigungen ändern, bzw. die Datei per chgrp auf squid setzen und den root squid hinzufügen?
Suche gaerade parallel noch nach der config, mit ntlm_auth gegen eine Gruppe zu authentifizieren. Geht das überhaupt oder müsste das dann via LDAP laufen?

[EDIT]
Habe nochwas gefunden. Recht es aus, denPfad so anzupassen?:
auth_param ntlm program /usr/bin/ntlm_auth -helper-protocol=squid-2.5-ntlmssp --domain=TEST --require-membership-of=Internetnutzer
[/EDIT]
Bitte warten ..
Mitglied: aqui
14.01.2013, aktualisiert um 11:42 Uhr
Das musst du mal ausprobieren wie das bei SuSE ist. Bei Debian reichte es den Squid/FreeRadius Daemon User einfach in die Gruppe aufzunehmen.
Dort sieht es dann so aus:
root@raspberry:/run/samba# ls -l
total 1000
(...der Übersicht halber ein paar Dateieinträge gelöscht !)
srwxrwxrwx 1 root root 0 Jan 14 11:36 unexpected
-rw-r--r-- 1 root root 5 Jan 14 11:36 winbindd.pid
drwxr-x--- 2 root winbindd_priv 60 Jan 14 11:36 winbindd_privileged
root@raspberry:/run/samba#

Du kannst das ja erstmal testen den Squid User damit in root aufzunhemen. Wichtig ist ja erstmal die Funktion zu testen damit es rennt. Wenns klappt kann man das Rechte Finetuning später machen..
Bitte warten ..
Mitglied: killtec
16.01.2013 um 12:28 Uhr
Hi Aqui,
so, habe mal wieder weiter getestet . Bei folgender config schmiert der Squid nach kurzer Zeit ab. Seitenaufrufe gehen jedoch von anfang an nicht. (also sobald er sagt, dass Squid gestartet ist).
Durch das abschmieren kommt auch immer die Meldung:
Starting WWW-proxy squid - Warning: /var/run/squid.pid exists ! done

-- squid.conf auszug --

auth_param ntlm program /usr/bin/ntlm_auth -helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/bin/ntlm_auth -helper-protocol=squid-2.5-basic
auth_param ntlm children 10
auth_param basic children 10
auth_param basic realm proxy
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds
Bitte warten ..
Mitglied: killtec
23.01.2013 um 13:53 Uhr
Hi Aqui,
habe mal geschaut, winbindd_privileged gehört der Gruppe winbind.
Squid sind auch beide in der Gruppe root.

1778743 drwxr-x--- 2 root winbind 4096 Jan 9 19:12 winbindd_privileged

selbst, wenn ich die Gruppenzugeörigkeit testweise auf root ändere, schmiert Squid weg.
Hast du hier noch eine Idee?
Bitte warten ..
Mitglied: killtec
23.01.2013, aktualisiert 24.01.2013
So,
habe nun einen Fehler gefunden, anscheind authentifiziert er sich. Nur wie bekomme ich es hin, dass er nur eine bestimmte Gruppe zulässt?
meine Zusatzconfig sieht so aus:

  1. eigene Regeln

### Windows Auth ###
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=PVG --require-membership-of="internetnutzer"
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --domain=PVG --require-membership-of="internetnutzer"
auth_param ntlm children 10
auth_param basic children 10
auth_param basic realm proxy
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds

acl ntlm_users proxy_auth REQUIRED
http_access allow ntlm_users
http_access deny all

Problem: das Require-Membership-of wird anscheind nicht beachtet. Habe mich aus der Gruppe gelöscht und kann trotzdem surfen??

Gruß
Bitte warten ..
Mitglied: killtec
24.01.2013 um 15:59 Uhr
Lässt sich feststellen, ob der NTLM überhaupt mit dem Squid authentifiziert? Mir kommt es so vor, als ob er das nicht tut...
Bitte warten ..
Mitglied: aqui
24.01.2013 um 17:34 Uhr
Ja, das kannst du ganz einfach machen mit einem 2ten Terminal wo du mal "tcpdump -host <ip_server>" laufen lässt, das zeigt dir dann den Traffic an.
Ohne ntlm Authentisierung gibt ntlm eine Fehlermeldung aus ! Wenn du ein "Success" bekommst dann klappt es !
http://www.administrator.de/contentid/191718 --> "FreeRadius mit AD"

Das mit der Einschränkung auf Gruppen ist irgendwo dokumentiert...muss nochmal suchen
Bitte warten ..
Mitglied: killtec
25.01.2013, aktualisiert um 12:22 Uhr
Hi Aqui,
wenn ich mit wbinfo -a administrator%<adminpassword> die Anmeldung teste, kommt ein OK zurück.

plaintext password authentication succeeded
challenge/response password authentication succeeded

Mache ich das mit meinem Benutzer passiert folgendes:

plaintext password authentication failed
Could not authenticate user myuser with plaintext password
challenge/response password authentication failed
error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
error message was: Wrong Password
Could not authenticate user myuser with challenge/response

Wenn jedoch wbinfo -u | grep "myuser" eingebe, zeigt er mir meinen Benutzer an.

Das Kennwort habe ich korrekt eingegeben. Habe es mehrfach versucht.

Hast du eine Idee, was hier nicht korrekt funktioniert?

Wegen dem Befehl tcpdump > die -host Option hat meine Version nicht

Gruß
Bitte warten ..
Mitglied: aqui
25.01.2013 um 21:18 Uhr
Sorry ohne das "-" bei host ! Siehe auch:
http://danielmiessler.com/study/tcpdump/

Das mit dem Passwort ist nicht normal. Generell werden alle User sauber authentisiert. Hast du Umlaute oder Sonderzeichen im Passwort ?
Bitte warten ..
Mitglied: killtec
26.01.2013 um 11:42 Uhr
Hi aqui,
ja, im Kennwort sind Umlaute und Sonderzeichen. Wobei bei dem Admin-Kennwort auch Sonderzeichen enthalten sind. Ich kann das ja mal testen, indem ich ein anderes Kennwort vergebe. Gebe dir Montag Rückmeldung. P.S.: Bei dem tcpdump muss ich den DC wo er authentifizieren soll angeben, richtig?

Schönes Wochenende
Bitte warten ..
Mitglied: aqui
26.01.2013 um 13:05 Uhr
Ja, richtig !
Bitte warten ..
Mitglied: killtec
06.02.2013 um 15:58 Uhr
Hi Aqui,
der scheint keine NTLM Pakete zu übertragen. Mit Buchstaben wie äöüß im Kennwort scheint er auch nicht klar zu kommen.

Hast du evtl. auch eine andere Idee, wie man einen Proxy mit SSO realisieren kann?

Danke.
Bitte warten ..
Mitglied: aqui
06.02.2013 um 16:14 Uhr
Eigentlich sollte das transparent sein. Es würde ja bedeuten das die AD Integration mit winbind und NTLM keine Umlaute könnte, was die halbe Welt von der Funktion ausschliesst. Kann eigentlich nicht sein...
Teste das doch einfach mal mit einem User OHNE Umlaute !
Klappt das denn da ??
Ansonsten gehst du einfach strategisch vor, das du den Proxy Host erstmal ganz klassisch in die AD Domain integrierst, User Authentisierung usw. wasserdicht testest.
Dann das NTLM Modul testen.
Wenn das alles rennt muss das nochmalerweise wasserdicht funktionieren.
Bitte warten ..
Mitglied: killtec
07.02.2013 um 08:54 Uhr
Hi Aqui,
folgendes Phänomen:
Direkt an der Konsole kann ich mich mit meinen Benutzernamen udn Kennwort anmelden, über SSH jedoch nicht.
Mit dem Administrator geht es sowohl in der Konsole als auch per SSH.

Zur integration in die AD: Der Proxyserver ist in dei AD aufgenommen, so wie du es weiter oben als Anleitungslink gepostet hattest.

Der NTLM-Auth über die Konsole funktioniert auch, jedoch nicht über SSH.

Alles ein bisschen komisch...

Gruß
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
gelöst WebDav unter Windows 2008R2 (1)

Frage von BPeter zum Thema Windows Server ...

Windows Server
Windows 2008R2 Raid1 Installiert wie Prüfen ! (2)

Frage von serguni zum Thema Windows Server ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...