Zentyal Forum, Linux Small Business Server
International => Russian => Topic started by: Bulat on February 11, 2014, 10:41:46 am
-
Доброго времени суток!
Помогите новичку, поставил zentyal 3.3 настроил домен, создал пользователей, групповые политики. Это все работает.
Вопрос как сделать так что бы пользователь который авторизовался в домене(samba4), имел доступ в интернет согласно профилям фильтра в proxy сервере.
Имеется ввиду если пользователь авторизовался в домене, то он может заходить в инет через браузеры, запускать аськи, скайпы и прочие программы без дополнительных авторизации на самой проксе.
-
По идее, за это должно отвечать - Enable Single Sign-On (Kerberos)
-
данную функцию включил, но инета как хотелось бы нету. Может еще какие то манипуляции нужно сделать со стороны сервера и пользователя?(со стороны пользователя только авторизовался в домене)
-
Задам глупый вопрос - а "инета как хотелось бы нету" что под собой подразумевает?
Инета нет вообще? - тогда надо в политиках прописать прокси. При старте браузера требует авторизацию? - тогда не работает SSO. Инет есть без авторизации, но не работают фильтры? - тогда ограничивать в фаерволле...
-
сори, инета нет вообще. ни какие сайты не грузятся, пробовал запустить майл агент тоже отказывается соединяться. В правилах доступа указываю определенной группе "разрешить все". После чего авторизуюсь в домене. При открытие в браузере ни каких авторизации не требует. Может со стороны пользователя нужно еще какие манипуляции произвести? где то указать этот прокси сервер?
-
где то указать этот прокси сервер?
Если прокси не прозрачный, то конечно нужно в настройка браузера указать адрес и порт прокси.
-
Настройки прокси в IE задаются примерно как на скриншоте в атаче (зависит от версии операционной системы и самого IE).
Можно задавать в политиках домена, но за неимением под рукой доменной сети с Windows-клиентами, не подскажу - это надо искать на других форумах (http://yandex.ru/yandsearch?text=настройка прокси через групповые политики)
-
спасибо товарищи. так оно работает если браузерам и и софту типа майл агенту указать что он бы он подключался через прокси. Причем исправно просит авторизацию, я думал что просто при помощи функции Enable Single Sign-On (Kerberos) пользователю домена не нужно будет прописывать дополнительный настройки прокси.
-
Вообщем ситуация решилась частично, на win7 после получение билета командой klist все работает. а вот на win xp такого не происходит. Причем самой утилиты klist в winxp нет, надо ставить отдельно. В логах squida пишет следующие:
cat /var/log/squid3/access.log
1392204010.019 2 192.168.11.115 TCP_DENIED/407 22967 CONNECT 193.95.154.38:443 - NONE/- text/html
1392204011.684 2 192.168.11.115 TCP_DENIED/407 22964 CONNECT 157.56.53.50:443 - NONE/- text/html
1392204011.717 2 192.168.11.115 TCP_DENIED/407 22973 CONNECT 109.233.235.145:443 - NONE/- text/html
1392204013.006 2 192.168.11.115 TCP_DENIED/407 22964 CONNECT 92.51.85.246:443 - NONE/- text/html
1392204014.852 49 192.168.11.115 TCP_DENIED/407 23184 CONNECT apps.skype.com:443 - NONE/- text/html
1392204016.320 2 192.168.11.115 TCP_DENIED/407 22970 CONNECT 134.170.24.128:443 - NONE/- text/html
cat /var/log/squid3/cache.log
2014/02/12 14:38:13| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. '
2014/02/12 14:38:13| squid_kerb_auth: INFO: User not authenticated
2014/02/12 14:38:13| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. '
2014/02/12 14:38:13| squid_kerb_auth: INFO: User not authenticated
2014/02/12 14:38:13| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. '
Может кто сталкивался с таким?
-
спасибо товарищи. так оно работает если браузерам и и софту типа майл агенту указать что он бы он подключался через прокси. Причем исправно просит авторизацию, я думал что просто при помощи функции Enable Single Sign-On (Kerberos) пользователю домена не нужно будет прописывать дополнительный настройки прокси.
Что мешает политиками задать?
На IE и Google Chrome есть шаблоны.
IE - встроенные в винду
Google Chrome - http://www.oszone.net/16219/chrome-gpo
Ну и дальше в том же духе подобрать ПО, использующее GPO и отказаться от не умеющего GPO.
-
кто ни будь решил данную проблему?
выставил тоже галку использовать sso, прописал в свойствах прокси на клиенте имя dc.test.loc указал порт 3128. Далее при открытие в мозилле любых страниц пишет доступ к кэшу запрещен. В логах сквида:
root@dc:/var/log/squid3# cat /var/log/squid3/cache.log
2014/08/08 11:21:43| negotiate_kerberos_auth: INFO: User not authenticated
2014/08/08 11:21:43| ERROR: Negotiate Authentication validating user. Error retuprovide more information. '
2014/08/08 11:21:45| negotiate_kerberos_auth: INFO: User not authenticated
2014/08/08 11:21:45| ERROR: Negotiate Authentication validating user. Error retuprovide more information. '
2014/08/08 11:21:49| negotiate_kerberos_auth: INFO: User not authenticated
2014/08/08 11:21:49| ERROR: Negotiate Authentication validating user. Error retuprovide more information. '
2014/08/08 11:21:50| negotiate_kerberos_auth: INFO: User not authenticated
2014/08/08 11:21:50| ERROR: Negotiate Authentication validating user. Error retuprovide more information. '
cat /var/log/squid3/access.log
1407482574.799 3 192.168.1.234 TCP_DENIED/407 22869 CONNECT 81.19.104.96:443 - HIER_NONE/- text/html
1407482574.799 2 192.168.1.234 TCP_DENIED/407 22869 CONNECT 81.19.104.84:443 - HIER_NONE/- text/html
1407482574.808 4 192.168.1.234 TCP_DENIED/407 22869 CONNECT 81.19.104.99:443 - HIER_NONE/- text/html
1407482574.815 1 192.168.1.234 TCP_DENIED/407 23021 CONNECT 81.19.104.84:443 - HIER_NONE/- text/html
1407482574.816 1 192.168.1.234 TCP_DENIED/407 23021 CONNECT 81.19.104.96:443 - HIER_NONE/- text/html
1407482574.818 2 192.168.1.234 TCP_DENIED/407 23021 CONNECT 81.19.104.54:443 - HIER_NONE/- text/html
1407482574.823 1 192.168.1.234 TCP_DENIED/407 23021 CONNECT 81.19.104.99:443 - HIER_NONE/- text/html
-
в мозилле
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/5/html/Deployment_Guide/sso-config-firefox.html
первые 5 пунктов делали?
-
попробывал, не помогло. но если открыть IE то почему выскакивает окно об авторизации на проксе
-
1) Вы пробовали в мазиле открывать не шифрованные страницы?
2) Пожалуйста по пункта опишите все произведённые вами действия!
-
1. Разницы нет, не шифрованные и шифрованные не открывает. Пишет доступ к кэшу запрещен.
2. Установил в zentyalе модуль прокси, настроил профили что бы пользователи не могли заходить на всякие соц.сети и т.д. Далее на клиенте в свойствах прокси прописал имя прокси(не ip). На всякий случай ребутнул тачку клиента. Далее открываю браузер(мозиллу) и получаю ошибку(доступ к кэшу запрещен). Далее пробывал сделать то что посоветовал logdog. Результат тот же. Проверяю командой klist получил ли пользователь билеты.
Пишет мол Кэшированные билеты 7 шт. И далее уже хз что не так.
-
У меня была та же фигня. Ладу так и не смог дать (суть заключается в том что прокся не понимает под каким ты пользователем ломишься) там чета с кереброс тикетами не то было. Спасло тока то что лошадка была не рабочая сне все нафиг и поставил занова =) все пашет. Тока вот теперь другая беда возникает, щас у меня переодический разные пользователи отваливаются от интернета и самбы =( в чем причина пока не разобрался
-
в моем случае это не решение проблемы, пришлось поднимать отдельную проксю которая авторизовывает пользователей через керберос.