SUSE LINUX Enterprise & openSUSE Community
พฤศจิกายน 20, 2019, 12:26:59 AM *
ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน
ส่งอีเมล์ยืนยันการใช้งาน?

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ข่าว:
 
   หน้าแรก   ช่วยเหลือ ค้นหา เข้าสู่ระบบ สมัครสมาชิก  

[Why we need your support] SUSE and openSUSE are trademarks of Attachmate Group, Inc. - WE ARE NOT IN ANY WAY ASSOCIATED WITH SUSE AND ATTACHMATE GROUP. SUSEThailand.com is a SUSE Linux user and community found in Thailand but not limited to other country suse linux user to join in. Currently active contents (How to's, Scripts, Tips, Tricks, Tutorials, Linux Command Line, and Troubleshooting) this suse linux how to's and expert support are SUSE Linux.
หน้า: [1]   ลงล่าง
  พิมพ์  
ผู้เขียน
หัวข้อ: Squid ACL Proxy Authentication with LDAP  (อ่าน 11311 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
Sontaya
Administrator
Expert : ผู้เชี่ยวชาญ
*****

Karma: +1/-0
ออฟไลน์ ออฟไลน์

กระทู้: 1931


Administrator


เว็บไซต์
« เมื่อ: สิงหาคม 03, 2008, 11:02:58 AM »


Note: SLES 10SP1 x86_64 squid-2.6.STABLE14-22

$ ldapsearch -x -b 'dc=susethailand' -h 192.168.1.11 -p 389 -W
$ ldapsearch -x -b dc=susethailand uid=sontaya.photibut -h 192.168.1.11

$ vim /etc/squid/squid.conf


## Authentication with LDAP ##
auth_param basic program /usr/sbin/squid_ldap_auth -b "dc=susethailand" -u "uid" -s sub -f "(uid=%s)" -v 3 -h "192.168.1.11" -p 389
auth_param basic children 5
auth_param basic realm Web-Proxy
auth_param basic credentialsttl 1 minute
acl ldap-auth proxy_auth REQUIRED
http_access allow ldap-auth

$ squid -k reconfigure
« แก้ไขครั้งสุดท้าย: มีนาคม 10, 2012, 01:19:53 PM โดย Sontaya » แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า

ageLOC Technology
trust
บุคคลทั่วไป


อีเมล์
« ตอบ #1 เมื่อ: สิงหาคม 07, 2008, 03:39:22 PM »


ของผมอีกวิธีหนึ่งครับ ใช้ได้ทั้ง LDAP และ AD(Windows)
auth_param ntlm program /usr/sbin/ntlm_auth domain/hostname
ประมาณนี้ครับ
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
Sontaya
Administrator
Expert : ผู้เชี่ยวชาญ
*****

Karma: +1/-0
ออฟไลน์ ออฟไลน์

กระทู้: 1931


Administrator


เว็บไซต์
« ตอบ #2 เมื่อ: สิงหาคม 07, 2008, 08:39:55 PM »


เพิ่มเติมให้อีกก็แล้วกันครับ  ถ้าเป็นระดับ CEO ใช้เขาคงไม่ชอบแน่ที่ต้องมาค่อยมาใส่ Username & Password  เราก็ Bypass Authentication ไปเลยก็เสร็จ คอนฟิกเพิ่มตามนี่เลยครับ (squid not required to authenticate LDAP)

# vim /etc/squid//etc/squid/acl_auth_not_required
พิมพ์ IP Address ที่ต้องการไม่ใส่ Username & Password
192.168.1.99 #CEO1 Notebook
192.168.1.100 #CEO2 Notebook

:wq!


#vim /etc/squid/squid.conf
## Authen LDAP Server
auth_param basic program /usr/sbin/squid_ldap_auth -b "dc=company" -u "uid" -s sub -f "(uid=%s)" -v 3 -h "192.168.1.11" -p 389

# Hosts not required to authenticate
acl auth_not_required src "/etc/squid/acl_auth_not_required"
http_access allow auth_not_required

auth_param basic children 5
auth_param basic credentialsttl 2 hours
auth_param basic realm Squid proxy-caching web server
auth_param basic casesensitive off
acl ldap_auth proxy_auth REQUIRED
http_access allow ldap_auth

# squid -k reconfigure
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า

ageLOC Technology
the killer
บุคคลทั่วไป
« ตอบ #3 เมื่อ: มกราคม 22, 2009, 11:25:08 AM »


ขอสอบถามหน่อยครับ พอดีผมทำ squid ขึ้นมา authen AD โดยใช้ squid_ldap_auth
ข้อมูลของผมมี Child domain อยู่หลาย domain ตัวอย่าง xx1.test.com  xx2.test.com xx3.test.com โดยมี test.com เป็น root

ที่นี้คำถามถามว่า เวลาใช้ squid_ldap_auth มันสามารถระบุได้หลาย child domain หรือป่าวครับ เพราะเวลาใส่ dc ผมใส่แต่ test.com
ส่วนอีกคำถามครับ ถามว่าผมสามารถระบุ เป็น dc test.com แล้วให้มันไปทำการหา user ในแต่ละ child domain ได้หรือป่าวครับ ถ้าได้ต้องกำหนดยังไงครับ

หรือพอมี solution อื่นแนะนำหรือป่าวครับ
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
Sontaya
Administrator
Expert : ผู้เชี่ยวชาญ
*****

Karma: +1/-0
ออฟไลน์ ออฟไลน์

กระทู้: 1931


Administrator


เว็บไซต์
« ตอบ #4 เมื่อ: มกราคม 22, 2009, 05:52:19 PM »


บน AD ไม่เคยทำเหมือนกันครับ จะ authe กับ ldap เท่านั้น ไว้จะหาข้อมูลช่วยนะครับ
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า

ageLOC Technology
siravich
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 5


« ตอบ #5 เมื่อ: ธันวาคม 16, 2009, 02:29:23 PM »


สุดยอดเลยคับ สำหรับความรู้ดีๆ
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
nitchphan
Novice : มือใหม่
*

Karma: +1/-0
ออฟไลน์ ออฟไลน์

กระทู้: 2



« ตอบ #6 เมื่อ: ธันวาคม 30, 2009, 04:44:59 PM »


ขั้นตอนการติดตั้ง  Proxy Squid NTLM authenticate off Active Directory 

ติดตั้งโปรแกรมดังต่อไปนี้
   Squid (2.x)
   yast2-squid
   samba
   samba-winbind
   krb5
   krb5-client

แก้ไขไฟล์ hosts
/etc/hosts

192.168.1.39  PDC.LDAP-SUSE.LOCAl  PDC

แก้ไขไฟล์คอนฟิก krb5.conf
/etc/krb5.conf

[libdefaults]
      default_realm = LDAP-SUSE.LOCAl
   
   [realms]
   LDAP-SUSE.LOCAl  = {
      kdc = PDC.LDAP-SUSE.LOCAl
      default_domain = LDAP-SUSE.LOCAl
      kpasswd_server = pdc.ldap-suse.local
      admin_server = pdc.ldap-suse.local
   }
   
   [domain_relm]
   .ldap-suse.local = LDAP-SUSE.LOCAl
   
   [logging]
       kdc = FILE:/var/log/krb5/krb5kdc.log
       admin_server = FILE:/var/log/krb5/kadmind.log
       default = SYSLOG:NOTICE:DAEMON
   
   [appdefaults]
   pam = {
   ticket_lifetime = 1d
   renew_lifetime = 1d
   forwardable = true
   proxiable = false
   retain_after_close = false
   minimum_uid = 1
   }

แก้ไขไฟล์คอนฟิก smb.conf
/etc/samba/smb.conf

[global]
        netbios name = PROXY
        workgroup = LDAP-SUSE
        realm = LDAP-SUSE.LOCAL
        server string = Domain Proxy Server
        encrypt passwords = yes
        security = ADS
        password server = server.ldap-suse.local
        log level = 3
        log file = /var/log/samba/%m.log
        max log size = 50
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        printcap name = /etc/printcap
        preferred master = No
        dns proxy = No
        ldap ssl = no
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind use default domain = yes
        cups options = raw
        #winbind options per rmgl 03-02-04:
        winbind separator = +
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind cache time = 15
        winbind enum users = yes
        winbind enum groups = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash

stop เซอร์วิส winbind
rcwinbind stop

เริ่มการสร้างไฟล์ krb5 ติดต่อกับ AD แล้วมันจะถามให้ใส่ รัหสผ่าน AD แล้วก็ใส่รหัสผ่าน WINDOWS AD
kinit Administrator@LDAP-SUSE.LOCAL

เริ่มทำการ join domain แล้วมันจะถามให้ใส่ รัหสผ่าน AD แล้วก็ใส่รหัสผ่าน WINDOWS AD
net ads join -U Administrator@LDAP-SUSE.LOCAL

start เซอร์วิส winbind
rcwinbind start

ตรวจสอบว่า linux สามารถติดต่อกับ AD ได้หรือเปล่า
proxy:~ # wbinfo -t
checking the trust secret via RPC calls succeeded

ตรวจสอบ group บน AD
proxy:~ # wbinfo -g
BUILTIN+administrators
BUILTIN+users
helpservicesgroup
telnetclients

ตรวจสอบ Users บน AD
proxy:~ # wbinfo -u
administrator
guest
support_388945a0
iusr_server20-p5lwgz
iwam_server20-p5lwgz
krbtgt
user01

แก้ไขไฟล์คอนฟิก nsswitch.conf
/etc/nsswitch.conf
passwd: compat winbind
group: compat winbind

อันนี้ถึงขั้นตอนสำคัญที่จะเอา users จาก AD มาทำการ Authentication กับ Proxy Squid

เริ่มทำการแก้ไขไฟล์ คอนฟิก squid.conf
/etc/squid/squid.conf
#Background NTLM Authentication (IE when logged in to a windows domain)
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on

#Basic Authentication, users receive a login box (other browsers / not logged in to windows domain)
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_ttl 1 hour
authenticate_cache_garbage_interval 10 minutes

สร้างกฏ ACL สำหรับ Authentication
## acl entries to require authentication:
acl AuthorizedUsers proxy_auth REQUIRED
http_access allow all AuthorizedUsers

Restart เซอร์วิส squid
rcsquid restart

ทดสอบการเปิดเว็บลองดู แล้วจะไม่มี popup ถามให้ใส่ user และ password เพราะ user และ password จะตรวจสอบตอนที่ login เข้า AD และจะพบว่าใน log file squid จะโชว์ users กำลังเข้าเว็บอะไรบ้าง

   เช่น ตัวอย่าง เราใช้ ยูเซอร์ administrator login เข้าเครื่อง คอม แล้วลองเปิดเว็บ www.susethailand.com ก็จะพบว่า ยูเซอร์ administrator กำลังเปิดเว็บ www.susethailand.com

1262164962.520    247 192.168.1.39 TCP_MISS/200 3703 GET http://www.susethailand.com/plugins/system/cdscriptegrator/libraries/highslide/css/cssloader.php? administrator DIRECT/61.19.251.244 text/css
1262164962.523    264 192.168.1.39 TCP_MISS/200 4267 GET http://www.susethailand.com/modules/mod_ice_slideshow/css/ice_slideshow.css administrator DIRECT/61.19.251.244 text/css
1262164962.761  14560 192.168.1.39 TCP_MISS/200 125885 GET http://www.susethailand.com/ administrator DIRECT/61.19.251.244 text/html
1262164963.181    910 192.168.1.39 TCP_MISS/200 60815 GET http://www.susethailand.com/templates/it_veranda/js/mootools.php administrator DIRECT/61.19.251.244 text/javascript
















« แก้ไขครั้งสุดท้าย: ธันวาคม 30, 2009, 07:34:34 PM โดย nitchphan » แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
Nuttapol
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 6


« ตอบ #7 เมื่อ: เมษายน 15, 2010, 01:39:02 PM »


thank you
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
cctv c
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 6


« ตอบ #8 เมื่อ: เมษายน 24, 2010, 11:39:06 PM »


thanks
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
mootong
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 7


« ตอบ #9 เมื่อ: มิถุนายน 26, 2010, 01:45:43 PM »


1
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
mootong
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 7


« ตอบ #10 เมื่อ: มิถุนายน 26, 2010, 01:46:26 PM »


2
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
mootong
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 7


« ตอบ #11 เมื่อ: มิถุนายน 26, 2010, 01:46:37 PM »


3
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
mootong
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 7


« ตอบ #12 เมื่อ: มิถุนายน 26, 2010, 01:46:48 PM »


4
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
mootong
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 7


« ตอบ #13 เมื่อ: มิถุนายน 26, 2010, 01:46:59 PM »


5
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
mootong
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 7


« ตอบ #14 เมื่อ: มิถุนายน 26, 2010, 01:49:02 PM »


6
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
Sontaya
Administrator
Expert : ผู้เชี่ยวชาญ
*****

Karma: +1/-0
ออฟไลน์ ออฟไลน์

กระทู้: 1931


Administrator


เว็บไซต์
« ตอบ #15 เมื่อ: มิถุนายน 26, 2010, 03:42:21 PM »


ท่านจะทำอย่างนี้เพื่ออะไรครับ mootong <babbab_boy@hotmail.com> ผมจะไม่ลบกระทู้ และไม่ block account จะได้รู้ว่านี่แหละครับ คนไทย...

-----------------------------------------------
ขณะที่ post
Logs
-----------------------------------------------

IP address: 203.170.237.194
No host name is associated with this IP address or no reverse lookup is configured.

Error:Host not found

203.170.237.194 is from Thailand(TH) in region Southern and Eastern Asia


TraceRoute to 203.170.237.194
Hop   (ms)   (ms)   (ms)      IP Address   Host name
1   14   7   12      72.249.0.65   -
2   7   15   21      8.9.232.73   xe-5-3-0.edge3.dallas1.level3.net
3   14   30   14      4.69.145.116   ae-73-70.ebr3.dallas1.level3.net
4   58   252   78      4.69.132.77   ae-3-3.ebr2.losangeles1.level3.net
5   43   261   255      202.183.136.81   -
6   53   278   54      4.53.230.10   asia-netcom.edge2.losangeles9.level3.net
7   272   239   239      202.147.32.129   gi2-1-0-912.gw1.sin3.asianetcom.net
8   215   214   277      210.1.45.225   -
9   262   268   246      202.183.136.78   -
10   289   289   249      202.183.136.141   -
11   251   287   248      210.1.45.225   -
12   262   247   239      203.170.200.101   -
13   277   288   260      202.183.161.179   -
14   268   272   271      210.1.0.10   -
15   260   245   281      203.170.237.194   -

Trace complete

Network IP address lookup:


Whois query for 203.170.237.194...

Results returned from whois.arin.net:


OrgName:    Asia Pacific Network Information Centre
OrgID:      APNIC
Address:    PO Box 2131
City:       Milton
StateProv:  QLD
PostalCode: 4064
Country:    AU

ReferralServer: whois://whois.apnic.net

NetRange:   202.0.0.0 - 203.255.255.255
CIDR:       202.0.0.0/7
NetName:    APNIC-CIDR-BLK
NetHandle:  NET-202-0-0-0-1
Parent:     
NetType:    Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: NS-SEC.RIPE.NET
NameServer: DNS1.TELSTRA.NET
Comment:    This IP address range is not registered in the ARIN database.
Comment:    For details, refer to the APNIC Whois Database via
Comment:    WHOIS.APNIC.NET or http://wq.apnic.net/apnic-bin/whois.pl
Comment:    ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment:    for the Asia Pacific region. APNIC does not operate networks
Comment:    using this IP address range and is not able to investigate
Comment:    spam or abuse reports relating to these addresses. For more
Comment:    help, refer to http://www.apnic.net/apnic-info/whois_search2/abuse-and-spamming
RegDate:    1994-04-05
Updated:    2009-10-08

OrgTechHandle: AWC12-ARIN
OrgTechName:   APNIC Whois Contact
OrgTechPhone:  +61 7 3858 3188
OrgTechEmail:  search-apnic-not-arin@apnic.net

# ARIN WHOIS database, last updated 2010-06-25 20:00
# Enter ? for additional hints on searching ARIN's WHOIS database.
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at https://www.arin.net/whois_tou.html
#
# Attention! Changes are coming to ARIN's Whois service on June 26.
# See https://www.arin.net/features/whois for details on the improvements.


Results returned from whois.apnic.net:

% [whois.apnic.net node-1]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:      203.170.237.192 - 203.170.237.255
netname:      TeamConsult-th
country:      TH
descr:        reassign to "Team Consulting 203.170.233.136 /30"
admin-c:      LIA1-AP
tech-c:       LIA1-AP
status:       ASSIGNED NON-PORTABLE
changed:      domaster@loxinfo.co.th 20050308
mnt-by:       LOXINFO-IS
source:       APNIC

role:         Loxinfo IP Admins
remarks:      CS LOXINFO PUBLIC COMPANY LIMITED
address:      90 Cyber World Tower A, 17-20th Floor
address:      Ratchadapisek Road, Huai Khwang, Bangkok 10310
country:      TH
phone:        +66-2263-8000
fax-no:       +66-2263-8790
e-mail:       ip_admin@csloxinfo.net
admin-c:      DL85-AP
tech-c:       DL85-AP
nic-hdl:      LIA1-AP
mnt-by:       LOXINFO-IS
changed:      ip_admin@csloxinfo.net 20060703
changed:      ip_admin@csloxinfo.net 20091125
source:       APNIC



« แก้ไขครั้งสุดท้าย: มิถุนายน 26, 2010, 03:49:12 PM โดย Sontaya » แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า

ageLOC Technology
mootong
Novice : มือใหม่
*

Karma: +0/-0
ออฟไลน์ ออฟไลน์

กระทู้: 7


« ตอบ #16 เมื่อ: มิถุนายน 29, 2010, 11:34:52 AM »


ประทานโทษเถอะครับ ก็มันบอกให้ post 5 post
ไม่แหกตาดูละคับ
แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า
ageLOC Technology
Sontaya
Administrator
Expert : ผู้เชี่ยวชาญ
*****

Karma: +1/-0
ออฟไลน์ ออฟไลน์

กระทู้: 1931


Administrator


เว็บไซต์
« ตอบ #17 เมื่อ: มิถุนายน 29, 2010, 06:04:06 PM »


ประทานโทษเถอะครับ ก็มันบอกให้ post 5 post
ไม่แหกตาดูละคับ


ยังไม่จบอีกครับ...  

post 5 โดยการพิมพ์
1
2
3
4
5

Ban already.
« แก้ไขครั้งสุดท้าย: มิถุนายน 29, 2010, 06:22:12 PM โดย Sontaya » แจ้งลบกระทู้นี้หรือติดต่อผู้ดูแล   บันทึกการเข้า

ageLOC Technology
หน้า: [1]   ขึ้นบน
  พิมพ์  
 
กระโดดไป:  

(@)2007 SUSE Linux user community found in Thailand. This site is not an official openSUSE and SUSE website, and is not in any way affiliated with or endorsed by SUSE Linux GmbH or Novell. openSUSE and SUSE are trademarks of Novell, Inc. in the United States and other countries.
Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!
หน้านี้ถูกสร้างขึ้นภายในเวลา 0.036 วินาที กับ 20 คำสั่ง (Pretty URLs adds 0.01s, 2q)