0 / 0 / 1
Регистрация: 26.01.2016
Сообщений: 10
1

Squid ssl-bump + ntlm + sams2

09.09.2018, 22:35. Показов 2789. Ответов 1
Метки нет (Все метки)

Author24 — интернет-сервис помощи студентам
Исходные данные:
CentOS 7
Squid Cache: Version 4.1
Service Name: squid
This binary uses OpenSSL 1.0.2k-fips 26 Jan 2017.
Sams2

Задача в целом:
1. понимать https трафик
2. управлять доступами пользователей
3. лимитировать доступы
4. читать логи

Выполнение:
1. https трафик squid отлично понимает за счет ssl-bump, пишет в acces.log ну и sams его читает. Т.е. задача на 100% решена.
2. Не все так однозначно, запись в squid происходит не внешними acl, а перечислением непосредственно в conf. Плюс ко всему этому, acl denyd прописываются через раз... не понял пока зависимости. Задача на 30%
3. Задача на 0%. Sams2 имеет свой редирект, и если его включить он на ssl-bump отправляет запросы какие то совсем дикие. Т.е. прокся тупо не работает.
4. Задача на 100%.

И вот вопрос....
Как подружить редирект Sams2 со Squid4 ssl-bump + ntlm ??? Если у кого уже работает, киньте squid.conf
0
Лучшие ответы (1)
Programming
Эксперт
94731 / 64177 / 26122
Регистрация: 12.04.2006
Сообщений: 116,782
09.09.2018, 22:35
Ответы с готовыми решениями:

SQUID+SAMS +Rejik (NTLM) Не пропускает трафик
Прошу прощения если не в том разделе. Ситуация такова, делал по мануалу лисяры шлюз, с авторизацией...

WCF: Запрос HTTP не разрешен для схемы аутентификации клиента "Ntlm". От сервера получен заголовок аутентификации "NTLM ."
Добрый день! Борюсь с WCF. Цель- подключиться и работать с вебсервисом от Битрикса....

Iptables + Squid (пустить юзера в обход squid'a)
Имеем: eth1 - смотрит наружу 1.2.3.4 eth0 - смотрит в локалку 192.168.0.0/24 Шлюз debian 8.3 ...

Javax.net.ssl.SSLException: Unrecognized SSL message, plaintext connection?
Всем доброго времени суток, подскажите, пожалуйста, из-за чего ошибка? import java.io.*;...

1
0 / 0 / 1
Регистрация: 26.01.2016
Сообщений: 10
10.09.2018, 20:42  [ТС] 2
Лучший ответ Сообщение было отмечено Marinero как решение

Решение

И так, вести с полей:
1. 100%
2. 100% зависимость от значений настройки sams \ какой редирект использовать. Если установить значение - не использовать редирект, то TAG https_access deny USER нормально прописывается. Это хорошо. Итого, задача выполнена.
3. *
4. 100%

* - и так, основная проблема в редиректах. Так как самс2 не может со squid 4… решено реализовать редирект непосредственно через acl - http_access.

Что имеем - Sams автоматом по достижение порога лимита записывает в squid :
acl userblock auth_proxy user
http_acces deny userblock

Казалось бы, пользователь заблокирован и все хорошо. Но не до конца хорошо - данному пользователю всплывает окно авторизации на сервере. Что есть не гуд - так как пользователь не понимает, что происходит - кончился трафик, кончалась прокся или пользователь отвалился из АД.

Есть замечательная директива TAG deny_info, да вот только не могу победить ее.
Эту директиву используют для редиректа с "плохого" сайта на "хороший", а мне надо просто userblock отправить на "локальную" страницу, где будет написана причина блокировки.

Как вижу я, но не работает в squid:
acl blockuser auth_proxy user
http_acces deny blockuser
deny_info http://local.host blockuser

не робит такая запись... Помогите! Уже что то совсем мысли кончались....

Добавлено через 7 часов 22 минуты
всем спасибо за помощь!

Для жаждущих (пишу по памяти, синтаксис может отличаться +-)
где то у вас в acl уже есть пользователь в блок - пусть это будет: acl block proxy_auth ваш бедный юзер
создаем acl нашей прокси, куда наши пользователи долбятся:
acl proxy dst ваш айпи прокси (192,168,1,1)
теперь пишим http_access :
http_access allow proxy !block
deny_info тут куда вы его посылаете proxy


возможно, нужно подработать.... по принципу, через что обыграть deny или allow.... но я рад и пошел спать!!!!

Удачи!
0
10.09.2018, 20:42
IT_Exp
Эксперт
87844 / 49110 / 22898
Регистрация: 17.06.2006
Сообщений: 92,604
10.09.2018, 20:42
Помогаю со студенческими работами здесь

SSL vs Fiddler (в рамках Silverlight) - объясните нужно ли иметь SSL?
Доброго времени суток. Я разрабатываю бизнес-приложение, которое работает с БД. Для...

Bump Mapping
Здравствуйте Вот опять Ваня запостил хорошие ссылочки, заинтересовала эта, про bump. Ну что он...

Bump Mapping
народ есть у когонить рабочий пример простого бампа на C++, в универе задали, что-то ваще не могу...

Bump mapping GLUquadricObj
Всем добрый вечер! Есть задание, используя bump mapping отобразить конус, который создается как ...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
2
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin
Copyright ©2000 - 2024, CyberForum.ru