Squid Proxy und Active Directory Group

[schnuggie]

Hallo,
habe das ganze Wochenende verbracht, einen Squid Proxy dazu zu bringen, Mitglieder einer Active Directory Sicherheitsgruppe das Surfen im Internet zu "erlauben".
Ich muß diesen Weg leider gehen, da nicht alle Benutzer in einer SBS 2011 Domäne im Internet surfen sollen/dürfen.
Die zahlreichen Anleitungen zu diesem Thema haben mir leider nicht weitergeholfen, aber vielleicht ist es nur ein kleiner Denk- bzw. Konfigurationsfehler.
In der Squid Conf habe ich folgendes gesetzt:
auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAENE+Gruppe-Internet" ,
in der smb conf als winbind separator "+" (ohne Anführungszeichen), die sonst notwendigen Configs wie workgroup, realm , etc in der smb.conf und krb5.conf habe ich durchgeführt.
Der Squid Proxy funktioniert grundsätzlich schon, solange ich nicht die Domänengruppen Abfrage mit einbaue. Domain Join habe ich erfolgreich umgesetzt, ein Zugriff vom Squid auf die AD Objekte ist ebenfalls möglich.

Der Browser am Client fragt nach Benutzername und Paßwort, was ja eigentlich nicht passieren soll und wenn ich die Anmeldedaten eines "erlaubten" Benutzerkontos eingebe, kommt das PopUp immer wieder.

Der Squid Proxy läuft auf Debian 8 x64, auf dem SBS2011 läuft Windows Server 2008 R2 x64, auf den Clients ist Windows 10 Pro x64 installiert. Am Browser liegt es nicht. Sowohl IE, Edge als auch Firefox zeigen das gleiche Verhalten.

Jemand eine Idee, woran es liegt bzw. was ich ggf. nicht richtig umgesetzt habe?

Viele Grüße,

[rendegast]

auth_param ntlm program /usr/bin/ntlm_auth –helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAENE+Gruppe-Internet"

Muß das nicht '--helper-protocol=...' sein?




Hier ist da noch etwas weiter gefaßt, https://wiki.squid-cache.org/ConfigExam ... icate/Ntlm

squid.conf Settings

Add the following to enable both the winbind basic and ntlm authenticators. IE will use ntlm and everything else basic:

Code: Alles auswählen

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

# warning: basic authentication sends passwords plaintext
# a network sniffer can and will discover passwords
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

And the following acl entries to require authentication:

Code: Alles auswählen

acl AuthorizedUsers proxy_auth REQUIRED
..
http_access allow all AuthorizedUsers

Auch in einem anderen Beispiel wird nicht nur die "program"-Zeile benutzt:

Code: Alles auswählen

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=lesmills.net.au
auth_param ntlm children 5
auth_param ntlm keep_alive on

(so auch im Beispiel in der squid.conf oder der .conf.documented)



Noch einer

Code: Alles auswählen

#NTLM
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on

acl ntlm proxy_auth REQUIRED
http_access allow ntlm

[schnuggie]

Hallo rendegast,
Danke für die schnelle Antwort.

Muß das nicht '--helper-protocol=...' sein?: ja, habe ich korrigiert.
Squid Proxy Dienst läuft weiterhin nach Neustart des Dienstes.
Dennoch bleibt es dabei, daß der Browser am Client nach Benutzername und Paßwort fragt.

acl AuthorizedUsers proxy_auth REQUIRED und http_access allow all AuthorizedUsers sind und waren eingetragen.

Bin echt ratlos

Viele Grüße,

[BenutzerGa4gooPh]

Mithilfe von Samba, welches unter Linux Windows Active Directory Funktionen zur Verfügung stellt wird der Proxy Server der Domäne hinzugefügt. Der große Vorteil ist, dass sich der Benutzer nicht selbst am Proxy Server anmelden muss. Beim Öffnen des Browsers geschieht die Authentifizierung automatisch im Hintergrund. Dieses Verfahren wird als NTLM Authentifizierung bezeichnet. Diese Funktion wird von allen gängigen Browsern unterstützt. Bei Computern welche nicht in der Domäne sind, erscheint ein Anmeldefenster.

https://mntechblog.de/domaenen-benutzer ... ifizieren/
https://blog.cscholz.io/squid3-active-d ... tlm-basic/

Ein (Windows-) RADIUS-Server (ohne Squid und Samba) mit Verbindung zum Router/Firewall und Bezug auf AD-Datenbank könnte einfacher sein. Nur so ein Gedanke, nicht weiter recherchiert.

[schnuggie]

Hallo Jana66,
dann scheint der domain join nicht einwandfrei gelaufen zu sein.
Das Computer Konto vom squid wurde im AD angelegt, Anfragen an das AD per Wbinfo liefern korrekte Ergebnisse.
Wenn es hilft poste ich mal die squid-, smb- und krb5.conf, als Anlage beifügen kann ich die wohl nicht , oder doch?

Viele Grüße,

[BenutzerGa4gooPh]

Wenn es hilft poste ich mal die squid-, smb- und krb5.conf, als Anlage beifügen kann ich die wohl nicht , oder doch?

Konkrete Fehlermeldungen (Authentifizierung) aus Logs wären derzeit wohl sinnvoller. Lange Ausgaben nach pastebin/ und Link im Beitrag.
Vorher prüfe deine Konfigs gegen https://wiki.squid-cache.org/ConfigExam ... eDirectory
Ich habe dazu keine Lust, du wirst dafür bezahlt.

[schnuggie]

Hi,
magst Du mir sagen, welche Logs ich posten soll?
Bin kein Linux Guru.
Keytab Konfiguration mit msktutil habe ich nicht durchgeführt.
Sofern es daran liegt, muß ich das noch nachholen.

[BenutzerGa4gooPh]

Bin kein Linux Guru.

Ich auch nicht, habe deshalb Google installiert und der/die/das verrät:

magst Du mir sagen, welche Logs ich posten soll?

/var/log/squid/access.log usw.
oder/und

Debug Modus¶
Sollte der Squid Proxy nicht korrekt starten, kann Squid im Debug Modus gestartet werden. Fehlermeldungen werden so auf dem Terminal ausgegeben.

squid -NCd1
Alternativ erteilt Squid mit der Konfigurationseinstellung

debug_options ALL,1 33,2 28,9
eine detaillierte Fehlerauskunft. Im Protokoll steht, welche Regel bei welchem Request angewandt wurde und warum es zum Scheitern/Erfolg gekommen ist.

https://wiki.ubuntuusers.de/Squid/
Das Windows-Ereignisprotokoll eines Clients verrät vielleicht, wie falsch oder nicht authentifiziert wird.

Warum setzt du nicht einen Windows-Proxy (IIS) ein, der vereinfacht Verwaltung/Konfig, Clickibunti?
https://msdn.microsoft.com/de-de/librar ... s.11).aspx
Wenn man schon Windows-Server und AD hat ...

[schnuggie]

Im squid cache.log wird folgendes protokolliert:
2018/01/15 21:09:19.152 kid1| WARNING: ntlmauthenticator #Hlpr0 exited
2018/01/15 21:09:19.152 kid1| Too few ntlmauthenticator processes are running (need 1/30)
2018/01/15 21:09:19.152 kid1| Starting new helpers
2018/01/15 21:09:19.152 kid1| helperOpenServers: Starting 1/30 'ntlm_auth' processes
2018/01/15 21:09:19.152 kid1| ERROR: NTLM Authentication Helper '0x5571911ec448/0x5571911ec448' crashed!.

Das squid access .log meldet jede Menge TCP_DENIED/407 und TCP_MISS/200

Im Event.log vom Windows 10 Client habe ich keine Einträge, die darüber Auskunft geben könnten.

Übrigens: bezahlt werde ich dafür nicht. Ich betreue ehrenamtlich ein Altenpflegeheim.

[BenutzerGa4gooPh]

Da würde ich mir die Konfigs für NTLM genau anschauen. Wikis bereits verlinkt.

Übrigens: bezahlt werde ich dafür nicht. Ich betreue ehrenamtlich ein Altenpflegeheim.

In meiner Heimat vermehren sich Altenheime (neuerdings "Seniorenresidenzen" genannt) wie der Löwenzahn in meinem Garten. Scheint sich wirtschaftlich zu lohnen - für den Betreiber/Investor. Lass dich nicht ausnutzen, organisiere einen Dienstleister und schaue dem auf die Finger beim Einrichten oder Microsoft-Proxy (IIS) mit Clickibunti. Hinter Firewall.

Edit: Für Linux gibts auch Clickibunti, Univention Corporate Server (UCS) / Bremen usw. Bsetimmt mit kostenloser "Evaluierung".
http://www.admin-magazin.de/Das-Heft/20 ... -Vergleich

[MSfree]

2018/01/15 21:09:19.152 kid1| ERROR: NTLM Authentication Helper '0x5571911ec448/0x5571911ec448' crashed!.

Und warum crasht der Authentication Helper? Falsch konfiguriert?
Kein Wunder, daß es danach nicht weiter geht.

[schnuggie]

Hallo,
auf Basis eines funktionierenden Squid Proxy habe ich mir die Konfigurationsdateien angeschaut und übernommen.
Nun läuft's.

Aber dennoch Danke für Eure Hilfe und Anregungen.

VG.