News:

Монстры реальны, и привидения тоже. Они живут внутри нас и иногда побеждают. Стивен Кинг

Main Menu

SQUID + AD + Skype

Started by lotus.x, 19 April 2017, 16:58

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

lotus.x

Добрый день.
Спасибо за статьи по настройке SQUID+AD

Настроил авторизацию в SQUID через Kerberos.
Если смотреть странички через IE - все нормально от XP до 8.1

Решил выйти в Skype - получаю - Skype не удаётся установить подключение.
Пробовал прописывать руками настройки прокси - имя_прокси и порт с/без логин_пользователя и пароль.
Не помогает.
 
в access.log появляются чередующиеся строки (на разные ip и адреса)
... TCP_MISS/200 .... логин_пользователя@ДОМЕН ....
и
... TCP_DENIED/407 ......

Чего не хватает для работы?

Виталий.

Уваров А.С.

Ну так чего вы хотите от Skype  ;)

В строках с TCP_DENIED/407 будут имена узлов, куда он коннектится. Их надо добавить в отдельный ACL и разрешить его раньше аутентификации и авторизации (либо вообще пустить их мимо прокси).

lotus.x

Но это получиться брешь в системе... любой сможет не авторизуясь пользоваться Skype и др. программами которые аналогично себя поведут (пока еще не дошли руки, но испробую на другом ПО необходимом для работы пользователям через интернет). На данный момент авторизация испытывается на отдельных машинах - дополнительный прокси-сервер на виртуалке со своим squid без привязки к старому  и отдельной подопытной рабочей станцией).

Можно ли используя Kerberos авторизацию, а точнее вытягивать с ее помощью пользователей из домена Windows, запрашивать логин и пароль "по старинке" для авторизации на прокси? Т.к. авторизация происходит незаметно для пользователя. Тут может даже появилась бы "психологическая преграда" для пользователя, т.к. требуется ввести свой логин и пароль авторизации и значит кто-то смотрит за ним (не обязательно конечно :) )

Кстати нашел еще один не приятный момент, если компьютер не в домене, но прописываешь прокси, на запрос несколько раз приходиться вводить логин/пароль или же ставить галочку сохранить пароль, т.к. не всегда ввод помогает ... соответственно пока не удалишь руками сохраненный пароль интернет остается после закрытия браузера. Почему не хватает одного ввода данных для авторизации на машине не включенной в домен?

ПС. Squid использую давно в обычном режиме (не прозрачном!) (уже несколько поколений/версий Debian и ревизий squid-а сменил), в основном как фильтрацию не желательных сайтов (squidGuard). Разграничение скорости средствами linux по ip с помощью tc (с пулами squid-а были не понятные проблемы по самому ограничению скорости и добавлялись первичные огромные задержки (начало загрузки странички доходил до 15-30 секунд), может это уже исправлено в свежих версиях squid-а). Проблем со Skype не было (видел поднятую тему).

lotus.x

#3
Поставил pidgin для ICQ - результат - не работает..... пишет прокси блокирует туннель.
Убираю в squid проверку на авторизацию, ставлю доступ для всей рабочей сети - и Skype и Pidgin спокойно соединились со своими серверами.

#http_access allow auth
http_access allow localnet

Данная авторизация только работает только с IE и браузерами, так получается?

Уваров А.С.

Quote from: lotus.x on 20 April 2017, 08:42Но это получиться брешь в системе... любой сможет не авторизуясь пользоваться Skype и др. программами которые аналогично себя поведут

Если программа не умеет Kerberos, то или так, или разрешать NTLM или Basic, что будет еще большей брешью.


Quote from: lotus.x on 20 April 2017, 08:42Можно ли используя Kerberos авторизацию, а точнее вытягивать с ее помощью пользователей из домена Windows, запрашивать логин и пароль "по старинке" для авторизации на прокси?

Нет, аутентификация через Kerberos построена на билетах и не предусматривает явного указания учетных данных: https://interface31.ru/tech_it/2016/07/autentifikaciya-v-sistemah-windows-2-kerberos.html


Quote from: lotus.x on 20 April 2017, 08:42Кстати нашел еще один не приятный момент, если компьютер не в домене, но прописываешь прокси, на запрос несколько раз приходиться вводить логин/пароль или же ставить галочку сохранить пароль, т.к. не всегда ввод помогает ... соответственно пока не удалишь руками сохраненный пароль интернет остается после закрытия браузера.

Потому что браузер открывает сразу несколько соединений - отсюда несколько запросов, зато потом можно закрывать браузер и даже перезагружать ПК, пока не кончится срок билета все будут ходить в интернет.

Quote from: lotus.x on 20 April 2017, 08:42Проблем со Skype не было (видел поднятую тему).

Проблем у Skype не было с NTLM и Basic, c Kerberos у него отношения весьма напряженные.


Quote from: lotus.x on 20 April 2017, 11:20Поставил pidgin для ICQ - результат - не работает..... пишет прокси блокирует туннель.

Ну вы еще что-нибудь не менее древнее найдите, ICQ, насколько я помню, c NTLM не очень-то дружило. Выход тут один, выявлять сервера авторизации и разрешать их без аутентификации или в обход прокси.

А вообще, наше мнение, что все сторонние менеджеры в сети есть зло, внутри сети должны быть внутренние средства коммуникации, а если надо наружу - шлюзы на уровне сервера.