Author Topic: авторизация poroxy в домене самба.  (Read 43189 times)

Bulat

  • Zen Apprentice
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
авторизация poroxy в домене самба.
« on: February 11, 2014, 10:41:46 am »
Доброго времени суток!
Помогите новичку, поставил zentyal 3.3 настроил домен, создал пользователей, групповые политики. Это все работает.
Вопрос как сделать так что бы пользователь который авторизовался в домене(samba4), имел доступ в интернет согласно профилям фильтра в proxy сервере.
Имеется ввиду если пользователь авторизовался в домене, то он может заходить в инет через браузеры,  запускать аськи, скайпы и прочие программы без дополнительных авторизации на самой проксе.

logdog

  • Zen Hero
  • *****
  • Posts: 623
  • Karma: +29/-2
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #1 on: February 11, 2014, 10:49:16 am »
По идее, за это должно отвечать - Enable Single Sign-On (Kerberos)

Bulat

  • Zen Apprentice
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #2 on: February 11, 2014, 10:59:37 am »
данную функцию включил, но инета как хотелось бы нету. Может еще какие то манипуляции нужно сделать со стороны сервера и пользователя?(со стороны пользователя только авторизовался в домене)

bubnov-pi

  • Zen Samurai
  • ****
  • Posts: 425
  • Karma: +27/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #3 on: February 11, 2014, 12:35:46 pm »
Задам глупый вопрос - а "инета как хотелось бы нету" что под собой подразумевает?
Инета нет вообще? - тогда надо в политиках прописать прокси. При старте браузера требует авторизацию? - тогда не работает SSO. Инет есть без авторизации, но не работают фильтры? - тогда ограничивать в фаерволле...

Bulat

  • Zen Apprentice
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #4 on: February 11, 2014, 01:15:53 pm »
сори, инета нет вообще. ни какие сайты не грузятся, пробовал запустить майл агент тоже отказывается соединяться. В правилах доступа указываю определенной группе "разрешить все". После чего авторизуюсь в домене. При открытие в браузере ни каких авторизации не требует. Может со стороны пользователя нужно еще какие манипуляции произвести? где то указать этот прокси сервер?

logdog

  • Zen Hero
  • *****
  • Posts: 623
  • Karma: +29/-2
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #5 on: February 11, 2014, 01:38:41 pm »
где то указать этот прокси сервер?

Если прокси не прозрачный, то конечно нужно в настройка браузера указать адрес и порт прокси.

bubnov-pi

  • Zen Samurai
  • ****
  • Posts: 425
  • Karma: +27/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #6 on: February 11, 2014, 02:28:20 pm »
Настройки прокси в IE задаются примерно как на скриншоте в атаче (зависит от версии операционной системы и самого IE).
Можно задавать в политиках домена, но за неимением под рукой доменной сети с Windows-клиентами, не подскажу - это надо искать на других форумах (http://yandex.ru/yandsearch?text=настройка прокси через групповые политики)
« Last Edit: February 11, 2014, 02:33:08 pm by bubnov-pi »

Bulat

  • Zen Apprentice
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #7 on: February 12, 2014, 05:26:05 am »
спасибо товарищи. так оно работает если браузерам и и софту типа майл агенту указать что он бы он подключался через прокси. Причем исправно просит авторизацию, я думал что просто при помощи функции Enable Single Sign-On (Kerberos) пользователю домена не нужно будет прописывать дополнительный настройки прокси.

Bulat

  • Zen Apprentice
  • *
  • Posts: 11
  • Karma: +0/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #8 on: February 12, 2014, 12:29:49 pm »
Вообщем ситуация решилась частично, на win7 после получение билета командой klist все работает. а вот на win xp такого не происходит. Причем самой утилиты klist в winxp нет, надо ставить отдельно. В логах squida пишет следующие:
 cat /var/log/squid3/access.log
1392204010.019      2 192.168.11.115 TCP_DENIED/407 22967 CONNECT 193.95.154.38:443 - NONE/- text/html
1392204011.684      2 192.168.11.115 TCP_DENIED/407 22964 CONNECT 157.56.53.50:443 - NONE/- text/html
1392204011.717      2 192.168.11.115 TCP_DENIED/407 22973 CONNECT 109.233.235.145:443 - NONE/- text/html
1392204013.006      2 192.168.11.115 TCP_DENIED/407 22964 CONNECT 92.51.85.246:443 - NONE/- text/html
1392204014.852     49 192.168.11.115 TCP_DENIED/407 23184 CONNECT apps.skype.com:443 - NONE/- text/html
1392204016.320      2 192.168.11.115 TCP_DENIED/407 22970 CONNECT 134.170.24.128:443 - NONE/- text/html

 cat /var/log/squid3/cache.log
2014/02/12 14:38:13| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2014/02/12 14:38:13| squid_kerb_auth: INFO: User not authenticated
2014/02/12 14:38:13| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2014/02/12 14:38:13| squid_kerb_auth: INFO: User not authenticated
2014/02/12 14:38:13| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '

Может кто сталкивался с таким?

rnd71

  • Zen Apprentice
  • *
  • Posts: 14
  • Karma: +0/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #9 on: February 19, 2014, 04:31:08 am »
спасибо товарищи. так оно работает если браузерам и и софту типа майл агенту указать что он бы он подключался через прокси. Причем исправно просит авторизацию, я думал что просто при помощи функции Enable Single Sign-On (Kerberos) пользователю домена не нужно будет прописывать дополнительный настройки прокси.
Что мешает политиками задать?
На IE и Google Chrome есть шаблоны.
IE - встроенные в винду
Google Chrome - http://www.oszone.net/16219/chrome-gpo
Ну и дальше в том же духе подобрать ПО, использующее GPO и отказаться от не умеющего GPO.
« Last Edit: February 19, 2014, 04:34:38 am by rnd71 »

orpat

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #10 on: August 08, 2014, 09:27:30 am »
кто ни будь решил данную проблему?
выставил тоже галку использовать sso, прописал в свойствах прокси на клиенте имя dc.test.loc указал порт 3128.  Далее при открытие в мозилле любых страниц пишет доступ к кэшу запрещен. В логах сквида:
root@dc:/var/log/squid3# cat /var/log/squid3/cache.log
2014/08/08 11:21:43| negotiate_kerberos_auth: INFO: User not authenticated
2014/08/08 11:21:43| ERROR: Negotiate Authentication validating user. Error retuprovide more information. '
2014/08/08 11:21:45| negotiate_kerberos_auth: INFO: User not authenticated
2014/08/08 11:21:45| ERROR: Negotiate Authentication validating user. Error retuprovide more information. '
2014/08/08 11:21:49| negotiate_kerberos_auth: INFO: User not authenticated
2014/08/08 11:21:49| ERROR: Negotiate Authentication validating user. Error retuprovide more information. '
2014/08/08 11:21:50| negotiate_kerberos_auth: INFO: User not authenticated
2014/08/08 11:21:50| ERROR: Negotiate Authentication validating user. Error retuprovide more information. '
cat /var/log/squid3/access.log
1407482574.799      3 192.168.1.234 TCP_DENIED/407 22869 CONNECT 81.19.104.96:443 - HIER_NONE/- text/html
1407482574.799      2 192.168.1.234 TCP_DENIED/407 22869 CONNECT 81.19.104.84:443 - HIER_NONE/- text/html
1407482574.808      4 192.168.1.234 TCP_DENIED/407 22869 CONNECT 81.19.104.99:443 - HIER_NONE/- text/html
1407482574.815      1 192.168.1.234 TCP_DENIED/407 23021 CONNECT 81.19.104.84:443 - HIER_NONE/- text/html
1407482574.816      1 192.168.1.234 TCP_DENIED/407 23021 CONNECT 81.19.104.96:443 - HIER_NONE/- text/html
1407482574.818      2 192.168.1.234 TCP_DENIED/407 23021 CONNECT 81.19.104.54:443 - HIER_NONE/- text/html
1407482574.823      1 192.168.1.234 TCP_DENIED/407 23021 CONNECT 81.19.104.99:443 - HIER_NONE/- text/html



orpat

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #12 on: August 10, 2014, 09:35:01 pm »
попробывал, не помогло. но если открыть IE то почему выскакивает окно об авторизации на проксе

Rekfuby

  • Zen Monk
  • **
  • Posts: 81
  • Karma: +2/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #13 on: August 11, 2014, 02:07:40 am »
1) Вы пробовали в мазиле открывать не шифрованные страницы?
2) Пожалуйста по пункта опишите все произведённые вами действия!

orpat

  • Zen Apprentice
  • *
  • Posts: 6
  • Karma: +0/-0
    • View Profile
Re: авторизация poroxy в домене самба.
« Reply #14 on: August 11, 2014, 06:48:23 am »
1. Разницы нет, не шифрованные и шифрованные не открывает. Пишет доступ к кэшу запрещен.
2. Установил в zentyalе модуль прокси, настроил профили что бы пользователи не могли заходить на всякие соц.сети и т.д. Далее на клиенте в свойствах прокси прописал имя прокси(не ip). На всякий случай ребутнул тачку клиента. Далее открываю браузер(мозиллу) и получаю ошибку(доступ к кэшу запрещен). Далее пробывал сделать то что посоветовал logdog. Результат тот же. Проверяю командой klist получил ли пользователь билеты.
Пишет мол Кэшированные билеты 7 шт. И далее уже хз что не так.