Win10 SSO squid proxy-s Net eléréssel

 ( rattila | 2018. április 5., csütörtök - 22:26 )

Sziasztok!

Van egy W10-es gép, amin van kb. 10 user.
Pechemre teljes magyar névvel vettem fel őket. :-(
A squid basic auth nem tud UTF8-as karaktereket, ill. a squid mindig elutasítja az ilyen nevű felhasználót.

A feladat, hogy user belép a W10-en és ellenőrzötten használja a Netet a squid-en keresztül.

Erre jött az NTLM, amihez ennek a gépnek kellene csinálni egy Win domaint, amibe beléptetve ezt az 1 db. gépet, mehetne az NTLM.

A dolog ott bukik, hogy Ubuntu 16.04 alatt, notebook-on, LXD-ben akartam megcsinálni tesztre és már a Samba 4 AD DC nem akar menni. Az install-nál minden OK, aztán valami a DNS-sel nem gömbölyű a Win10 oldalán. (Érdekes, hogy a DHCP-n kapott DNS szerverrel hibátlanul felodja a neveket, a Samba AD DC-t megadva viszont kb. semmit, holott van dns forwarder beállítva.)

Az LXD_ben a DNS-t és a DHCP-t dnsmasq csinálja. Kb. megy is. Van squidserver, webserver, smbserver, smbclient, ldapserver gép és van 1-1 VBox-ban és VMware WS-ben Win10 Prof.
A háló működik, a gépek látják a Netet is - LXD NAT módban -, de W10 már nem tud belépni a domain-be, DNS hiba miatt a hibaüzenete szerint.

Összehozható ez így?

Sajnos sokkal több sikert LXD nélkül, de bind9-es DNS sec. szerverrel se sikerült összehoznom, kivéve, hogy a gépek belépnek a domain-be, de az admin user-re már hibaüzenet jön.

Kb. 90%, hogy DNS+Samba baj van, mert a DNS-ben nincsenek benne azok az M$ cuccok, amik kellenek és a Samba szolgáltatná. Nagyon nem is szeretném összebarmolni ezért az egy gépért, a dnsmasq-ot pedig még nehezebben lehet rávenni a kívánt rekordok felvételére, bár nem lehetetlen.

Eddig a legtöbb leírás nem foglalkozott DNS konfiggel a Sambához, csak az ellenőrzés van megkövetelve, viszont azért találtam olyanokat, ahol látszik, hogy a sima samba-tool domain provision parancs nem elég a DNS beállításához.

Lenne erre a feladatra kisebb kaliberű megoldás is annál, mint hogy a 10 usernevet visszavenni a teljes névről és squid-hez basic auth-ot használni? Így bukom az SSO-t, de már megoldottam volna a feladatot, a Nethasználat kontrollált elérését.

Köszi:
Ruzsi

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Szerintem ne add fel, érdemes azt a domaint összerakni, utána egyszerűbb lesz managelni a gépeket (bár ha csak egy gép van, akkor kb. mindegy :) ).

Idézet:
LXD NAT módban

A kliensek/router tudják, hogy a NAT-olt háló felé merre kell route-olni? (LXC-ben én bridge-el tettem ki a hálóra DC-t, nem tudom, de gondolom LXD-vel is lehet)

Bind be tudja tölteni a dinamikus zónákat? (a samba csinált neked a saját private könytárába egy bind konfig részletet, amit be kell vele töltetned, utána még érdemes ránézni a bind naplóira, hogy sikerült-e neki)

Idézet:
dnsmasq-ot rávenni a kívánt rekordok felvételére,

Ne. Egészséges AD infrához kell az, hogy a DC-k menedzselhessék a rekordjaikat.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Szia!

Köszi a biztatást! Kb. 2 hete foglalkozom vele, de kezdem elveszteni a fonalat. Jönnek a Win-től előkerülő hibaüzenetek, amik már nekem sokat nem segítenek, de alapvetően a Samba logjaival se tudok mit kezdeni, mert vannak dolgok, amiket kilószámra hajtogat és ebben keresgélni ... A másik: Ubuntu 16.04 alatt indítani/leállítani se tudom egyértelműen, hiába adom ki a services/systemctl start/stop parancsokat.

Az LXD-ben futó "gépek" látják egymást, a dnsmasq szépen teszi a dolgát. Bridzs van természetesen, de a bridzs (lxdbr0) NAT-tal látja a világot. A világra itt csak azért van szükség, hogy apt-vel fel tudjam tenni a hiányzó csomagokat, ill. ugye majd a squidserver kilásson a Netre.

Gyanítom, hogy a dnsmasq nem a legjobb erre a célra, de én eddig abban a hiszemben voltam, hogy az AD maga elvan a gépivel és amit nem tud feloldani, azt a dns forward-ban megadott géptől lekérdezi.

Bind semmilyen módon nem tud az AD-ről, lévén nincs is (a teszt LXD-s rendszerben), a valós, de még mindig csak teszt rendszerben van 2 DNS szerver (primary és egy sec. - a sec-en futott volna az AD) semmit se tud az AD-ről.
A DC maga miért nem oldja meg saját maga azokat a gázos SRV bejegyzésit, amit egyébként létrehoz "magában", de ha a W10 kliens-en az nslookup-ot átállítom az AD IP-jére, már semmit se lát (LXD). Még azokat se, amiket egyébként a DHCP-n kapott DNS szervertől kapott. A dns forwarder egyébként pont ez a gép.

Azt látom, hogy az AD nemigazán tud mit kezdeni azokkal a gépekkel, amik több lábasak és van már rajtuk valami, ami az 53-as portot fogja (pl. dnsmasq, named).

Úgy tűnik, a DNS része a konfignek nincs eléggé kihangsúlyozva. Az ellenőrzés le van írva, ami vagy elbukik, vagy hibátlanul lefut, de ettől még messze nem biztos, hogy a kliens megtalálja anyukáját és hiba nélkül tud dolgozni az AD-jével.

Találtam egy ilyet:
http://onway.ws/dok/ubuntu-16.04/lxd_bind9_dhcp_samba4_ad_dc

Mennyire jó? Nekem az eddigi pofára esések után használhatónak tűnik, de még nem próbáltam.
Megpróbálom a notebook-on "lejátszani" és aztán ez alapján adaptálni az ott tapasztaltakat.

Üdv:
Ruzsi

Ahelyett, hogy nulláról építkezel, miért nem drótozol össze egy Zentyal-t (DC) egy IPFire-vel vagy PFSense-vel. Tököljön a sok kis csomaggal, akinek Imre az anyja.

PS: Régen volt a Zen-ben proxy is, de lehet már azt is kiherélték belőle, viszont elvileg a legegyszerűbb DC alternatíva.

Fúúú, erről erről a "Zoliról" eddig csak hallomásból olvastam. Biztos, hogy ez egyszerűbb lenne?

Sajna arról se vagyok meggyőződve, hogy a Squid-hez az NTLM a számomra a legjobb.
Van oldal terv is, LDAP-vel, de ahhoz is kb. ennyit értek, a phpLDAPadmin-nál ott megakadtam, hogy nem ette az ékezetes neveket.

Üdv:
Ruzsi

Azért jobb egy DC mert az már kapásból LDAP szerver is. Legalább is hitelesítésre és címtár lekérésre tudod használni. Az hogy egy Squid-et vagy egy azt használó PFSense-t vagy IPFire-t hogy kötsz hozzá, a te dolgod.