ipmanyak
Platinum Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть SQUID 3.5.25 с SSLBUMP и Samba 3.6.23
Настроена доменная авторизация и basic с winbind для машин не в домене, но с учетками юзеров в домене, то есть всё на основе доменных групп. Доменконтроллеры Windows server 2016
Конфиг сквида такой:
Код:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 25
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_ttl 1 hour
external_acl_type NT_Group children-max=75 children-startup=5 protocol=2.5 %LOGIN /usr/local/squid/libexec/ext_wbinfo_group_acl
acl password proxy_auth REQUIRED
acl FastInternetUT external NT_Group fast_internet
http_access allow password FastInternetUT
|
Поставлена задача поднять доменконтроллеры Windows server 2019, что было сделано.
И тут выяснилось, что авторизация при смене контроллера в Самбе на новый, доменная авторизация перестает работать. Разборки показали , то ли winbind от самбы, то ли ext_wbinfo_group_acl использует протокол SMB1, который был включен на старом доменконтроллере и выключен на новом. Боссы сказали SMB1 включать крайне нежелательно, ищите варианты.
На тестовой машине был поднял RED HAT 8.4 , SQUID 4.15
Настроил Kerberos и Basic авторизацию без Самбы и селения сервера в домен.
Как бы всё отлично, но нет. Вместе они не работают.
По отдельности - работает.
При запросе от машины вне домена керберос перехватывает запрос первым, сообщает, что
negotiate_kerberos_auth.cc(673): pid=35534 negotiate_kerberos_auth: WARNING: received type 1 NTLM token
12:15:27 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
и на этом всё заканчивается. И это логично, судя по всему.
Включение в smb.conf строки
min protocol = SMB2
не помогает.
В общем нужна прозрачная доменная авторизация для машин в домене и по логину паролю для машин не в домене, на основе доменных групп. Без использования SMB1. Лучше вообще без Самбы.
Какие есть варианты решения проблемы?
----------
В сортире лучше быть юзером, чем админом... |
|
Всего записей: 11735 | Зарегистр. 10-12-2003 | Отправлено: 12:42 04-05-2022 | Исправлено: ipmanyak, 12:57 04-05-2022 |
|
