Подключение к прокси серверу office15client microsoft com как отключить
Перейти к содержимому

Подключение к прокси серверу office15client microsoft com как отключить

Подключение к прокси серверу office15client microsoft com как отключить

(0) Через групповые политики можно настроить политики бранмаузера.
Либо использовать сторонний firewall.

(3) спасибо, извращениями не занимаемся и это не по делу
(4) тупо закрыть адрес? Это можно, но офис-то все равно будет пытаться стучаться .

Еще административных шаблонов групповой политики MS Office, возможно там есть настройки «Разрешить Office подключиться к Интернету».

(7) Пробовал как-то подгружать шаблоны для АД, но не разобрался тогда .

есть где-нибудь толковая статья про это?

Брандмауэр виндовс — Разрешение взаимодействия с приложениями — найти офис и выключить
(0) пропиши в хост все адреса
Все таки хочется повлиять на сам офис, чтобы он не проказничал

ФАЙЛ / Параметры / Центр управления безопасностью / Параметры центра управления безопасностью / Параметры конфиденциальности
Снять галочку «Разрешить Office подключиться к Интернету» 2013
«Разрешить подключение Office к вебслужбам. » 2016

(13) А теперь групповой политикой на 100 клиентов

(13) Увы. Как показывает практика, этого не достаточно. Иногда настройки безопасности офис сам восстанавливает так, как ему нужно.

(5) Ты сам себе противоречишь
а чем вам мешает поход оффиса в интернет? вы сидите в 100 пк через коаксиал?
(19) Да задолбали эже эти гигабайты трафика, к тому же кто его знает, что он там сообщает .
(20) и в (10) не помогло?
или «не шмагла»?
(21) Брандмауер выключен у всех
мдэ и этот человек борется с бегающим в интернет офисом.

(24) «у нас нет забора и козы пасутся в помойке, как им запретить?»
(23) ну запрети на уровне маршрутизатора, хотя бы. они же в интернет через одно место ходят?

+ (25) как то раз видел статью где на роутере ставили эдакий «адблок». зато это работает на всех видах устройств участников сети и без индивидуальной настройки и затрат оперативки\мощности на каждом устройстве.

(25) Так маршрутизатором запретил уже, хочется нормально сделать, ведь клиенты же пытаются стучаться в интернет, хотя их и отбивают.

Включать брандмауер на клиентах в локальной сети — ну его нафиг

(27) ну и пусть стучатся, траффика то нет.
ну смотрите, мы уже обрезали им выход, но и на местах настраивать ничего не хотим. вывод — либо забить, либо настраивать всех ручками, либо учится работать с АД.

(27) У вас же АД, надо настроить то 1 раз и всё, в чем проблема?

(29) Настривать «один раз» брандмауер для винды с ХР по 10 честно говоря не самое приятное занятие .

К тому же всего не предусмотришь, т.к. далеко не все программы предоставляют список портов, которые нужно открыть для их корректной работы.

Поэтому вариант из (13) кажется хорошим, но только если это будет решение через АД .

(26) Это называется Proxy-сервер. Хоть ISA используй от микрософта, хоть squid для Линукса.

(31) ну не. proxy это proxy. а когда вообще весь траффик без настроек со стороны клиента разруливается роутером — это другое дело.

Здесь можно обсудить любую тему при этом оставаясь на форуме для 1Сников, который нужен для работы. Ymryn

Как в Microsoft Office 2016 отключить запросы к интернет ресурсам?

59e99fc3817c9691351597.jpeg

MS Office 2016. Интернет через прокси.
Настройки прокси отдаются через GPO. Не всем пользователям разрешен доступ в интернет.
При запуске любого документа идет обращение к ресурсу officeclient.microsoft.com и появляется запрос

Приходиться много раз закрывать это окно, чтобы начать работать.
Так же из-за обращение к этому ресурсу происходит задержка открытия любых документов.

Как в Microsoft Office 2016 отключить запросы к интернет ресурсам? И в частности к officeclient.microsoft.com

  • Вопрос задан более трёх лет назад
  • 65587 просмотров

Блог Александра Гуревича

Темы в этом разделе, подробности: ответов, просмотров, последнее сообщение.

1 Нумерация рисунков и таблиц по ГОСТу

  • 2 ответов
  • 15,964 просмотров
  • Последнее сообщение 13.08.2021 14:29:14 оставил BugDigger

2 Макросы для работы со стилями в Word

  • 42 ответов
  • 53,145 просмотров
  • Последнее сообщение 01.02.2021 00:50:57 оставил auto-teacher

3 Как быстрее проверить орфографию и грамматику в большом тексте

  • 0 ответов
  • 4,173 просмотров
  • Последнее сообщение 04.09.2019 08:19:41 оставил Alex_Gur

4 Как просмотреть структуру файла DOCX

  • 0 ответов
  • 3,361 просмотров
  • Последнее сообщение 28.02.2019 15:59:35 оставил Alex_Gur

5 Сравнение документов в Word

  • 8 ответов
  • 5,226 просмотров
  • Последнее сообщение 07.02.2019 16:13:00 оставил Alex_Gur

6 Удаление пробелов в выделенном фрагменте текста

  • 0 ответов
  • 1,564 просмотров
  • Последнее сообщение 15.01.2019 15:41:31 оставил Alex_Gur

7 Как убрать фон в картинках с рукописным текстом с помощью MS Word

  • 0 ответов
  • 5,379 просмотров
  • Последнее сообщение 04.12.2018 15:20:00 оставил Alex_Gur

8 Способ ручного удаления лишних абзацев в тексте

  • 1 ответ
  • 2,405 просмотров
  • Последнее сообщение 24.07.2018 16:36:57 оставил Alex_Gur

9 Как проверить в макросе Word, имеется ли выделение в тексте?

  • 0 ответов
  • 3,531 просмотров
  • Последнее сообщение 24.07.2018 10:49:36 оставил Alex_Gur

10 Как нарисовать горизонтальную или вертикальную линию

  • 3 ответов
  • 12,927 просмотров
  • Последнее сообщение 02.03.2018 18:10:15 оставил Alex_Gur

11 Номер активной таблицы

  • 1 ответ
  • 2,209 просмотров
  • Последнее сообщение 28.02.2018 08:14:18 оставил AlexStar

12 Отмена Автосохранения

  • 0 ответов
  • 1,647 просмотров
  • Последнее сообщение 24.02.2018 11:56:19 оставил Alex_Gur

13 Обрезные метки (уголки по краям текстовой части страницы)

  • 0 ответов
  • 6,018 просмотров
  • Последнее сообщение 24.02.2018 10:39:52 оставил Alex_Gur

14 Является ли строковое значение числом

  • 0 ответов
  • 1,803 просмотров
  • Последнее сообщение 02.02.2018 12:57:21 оставил Alex_Gur

15 Находится ли курсор в таблице?

  • 0 ответов
  • 2,041 просмотров
  • Последнее сообщение 02.02.2018 12:36:40 оставил Alex_Gur

16 Выделение текущего абзаца

  • 0 ответов
  • 1,820 просмотров
  • Последнее сообщение 02.02.2018 11:09:46 оставил Alex_Gur

17 Использование кавычек в строковых выражениях

  • 0 ответов
  • 1,766 просмотров
  • Последнее сообщение 01.02.2018 15:10:38 оставил Alex_Gur

18 Ошибка 13 Type mismatch при преобразовании строки в число

  • 0 ответов
  • 2,010 просмотров
  • Последнее сообщение 01.02.2018 14:27:57 оставил Alex_Gur

19 Определение даты конца рабочей недели в Excel

  • 0 ответов
  • 2,519 просмотров
  • Последнее сообщение 10.01.2018 10:03:22 оставил Alex_Gur

20 Использование переключателей и флажков в Word

  • 0 ответов
  • 9,614 просмотров
  • Последнее сообщение 19.12.2017 16:18:37 оставил Alex_Gur

21 Еще один способ форматирования текста, разделенного на строки

  • 0 ответов
  • 2,226 просмотров
  • Последнее сообщение 29.10.2017 08:53:04 оставил Alex_Gur

22 Макрос, назначающий командам и макросам Word «горячие клавиши»

  • 1 ответ
  • 6,481 просмотров
  • Последнее сообщение 27.03.2017 21:19:46 оставил Alex_Gur

23 Макрос для настройки стандартных «горячих клавиш»

  • 0 ответов
  • 2,084 просмотров
  • Последнее сообщение 27.03.2017 14:18:01 оставил Alex_Gur

24 Макрос для изменения папки для сохранения файлов по умолчанию

  • 0 ответов
  • 2,148 просмотров
  • Последнее сообщение 27.03.2017 14:06:49 оставил Alex_Gur

25 Печать карт Яндекса на черно-белом принтере

  • 0 ответов
  • 3,336 просмотров
  • Последнее сообщение 24.03.2017 12:50:32 оставил Alex_Gur

26 Изменение всех рисунков в файле в определенное количество раз

  • 0 ответов
  • 2,778 просмотров
  • Последнее сообщение 26.02.2017 10:41:59 оставил Alex_Gur

27 Сочетания клавиш для вставки специальных знаков и элементов в Ворде

  • 0 ответов
  • 4,082 просмотров
  • Последнее сообщение 16.02.2017 15:45:49 оставил Alex_Gur

28 FineReader — Передача результатов распознавания в Word

  • 1 ответ
  • 7,948 просмотров
  • Последнее сообщение 15.02.2017 09:03:14 оставил shanemac51

29 Рассылка: формирование с помощью программы Word

  • 41 ответов
  • 109,359 просмотров
  • Последнее сообщение 09.01.2017 10:01:44 оставил yshindin

30 Макрос, позволяющий не отрывать абзац от предыдущего

  • 0 ответов
  • 3,185 просмотров
  • Последнее сообщение 29.12.2016 17:13:50 оставил Alex_Gur

31 Замена CP1252 -> CP1251 на кириллические буквы

  • 11 ответов
  • 58,040 просмотров
  • Последнее сообщение 22.10.2016 20:24:55 оставил Alex_Gur

32 Как напечатать макросом файл в 3-х экземплярах

  • 0 ответов
  • 2,661 просмотров
  • Последнее сообщение 03.10.2016 14:40:29 оставил Alex_Gur

33 Редактирование сложных таблиц в Ворде

  • 0 ответов
  • 2,701 просмотров
  • Последнее сообщение 27.09.2016 09:51:46 оставил Alex_Gur

34 Еще раз о ссылках на списки литературы

  • 4 ответов
  • 78,611 просмотров
  • Последнее сообщение 25.09.2016 19:33:57 оставил Suleyman

35 Ошибка при направлении команды приложению

  • 0 ответов
  • 5,863 просмотров
  • Последнее сообщение 23.09.2016 11:33:47 оставил Alex_Gur

36 Что такое: «выровнять по ширине» слабо, средне и сильно?

  • 0 ответов
  • 2,956 просмотров
  • Последнее сообщение 07.09.2016 11:02:20 оставил Alex_Gur

37 Как определить используемую версию Word 2013 и выше

  • 0 ответов
  • 3,372 просмотров
  • Последнее сообщение 07.09.2016 10:51:30 оставил Alex_Gur

38 Discover Jasperactive: The Perfect Solution to Learn Microsoft Office

  • 0 ответов
  • 2,340 просмотров
  • Последнее сообщение 05.09.2016 17:47:08 оставил Alex_Gur

39 Быстрое создание стрелочки для скриншота

  • 0 ответов
  • 2,426 просмотров
  • Последнее сообщение 16.08.2016 17:11:56 оставил Alex_Gur

40 Быстрое создание рамки для скриншота

  • 0 ответов
  • 2,628 просмотров
  • Последнее сообщение 16.08.2016 16:44:06 оставил Alex_Gur

41 20 секретных функций Microsoft Word, которые пригодятся для блога

  • 0 ответов
  • 2,901 просмотров
  • Последнее сообщение 29.07.2016 08:34:03 оставил Alex_Gur

42 Где хранятся настройки автозамены?

  • 2 ответов
  • 11,119 просмотров
  • Последнее сообщение 25.07.2016 20:03:12 оставил МВТ

43 Microsoft Forms — новое средство для тестирования в Office 365

  • 0 ответов
  • 2,223 просмотров
  • Последнее сообщение 01.07.2016 14:19:05 оставил Alex_Gur

44 Вирус ZCryptor в приложениях Office

  • 0 ответов
  • 2,173 просмотров
  • Последнее сообщение 30.05.2016 15:04:01 оставил Alex_Gur

45 Материалы к экзаменам MOS по MS Word

  • 0 ответов
  • 2,381 просмотров
  • Последнее сообщение 27.05.2016 09:10:42 оставил Alex_Gur

46 Макросы для пропорционального изменения выделенного рисунка

  • 9 ответов
  • 11,241 просмотров
  • Последнее сообщение 05.05.2016 17:01:22 оставил sylvio

47 Использование Службы управления правами на доступ к данным (IRM)

  • 9 ответов
  • 20,273 просмотров
  • Последнее сообщение 12.03.2016 10:56:19 оставил Alex_Gur

48 Что делать, если файл стал долго сохраняться

  • 0 ответов
  • 8,678 просмотров
  • Последнее сообщение 02.03.2016 12:06:05 оставил Alex_Gur

49 «Тетрадка в клетку»

  • 0 ответов
  • 3,120 просмотров
  • Последнее сообщение 28.02.2016 06:14:31 оставил Alex_Gur

50 Присоединение строки сверху к рисунку

  • 0 ответов
  • 2,405 просмотров
  • Последнее сообщение 26.02.2016 10:02:46 оставил Alex_Gur

51 Версии Word (Microsoft Office) и их кодовые обозначения

  • 0 ответов
  • 4,688 просмотров
  • Последнее сообщение 21.02.2016 10:43:08 оставил Alex_Gur

52 Нумерация страниц в ячейках штампа

  • 4 ответов
  • 11,662 просмотров
  • Последнее сообщение 25.11.2015 00:18:28 оставил zhuk1234

53 Переменные среды (окружения) Environ

  • 4 ответов
  • 7,396 просмотров
  • Последнее сообщение 06.11.2015 09:17:41 оставил Alex_Gur

54 Обучающие курсы и учебники по Office

  • 0 ответов
  • 2,719 просмотров
  • Последнее сообщение 30.10.2015 12:56:40 оставил Alex_Gur

55 Бесплатные руководства по работе с Office 2016

  • 0 ответов
  • 4,052 просмотров
  • Последнее сообщение 30.10.2015 12:49:26 оставил Alex_Gur

56 Макрос для удаления персональной информации из файла

  • 15 ответов
  • 22,742 просмотров
  • Последнее сообщение 28.09.2015 17:50:26 оставил Alex_Gur

57 Привязка линий к краям фигуры

  • 1 ответ
  • 9,202 просмотров
  • Последнее сообщение 23.09.2015 15:51:30 оставил Alex_Gur

58 Открытие видеофайла из программы Word

  • 0 ответов
  • 2,888 просмотров
  • Последнее сообщение 15.09.2015 12:21:50 оставил Alex_Gur

59 Восстановление поврежденных файлов Word

  • 5 ответов
  • 23,718 просмотров
  • Последнее сообщение 05.09.2015 07:38:09 оставил Alex_Gur

60 Макрос для перехода на первую строку следующей или предыдущей страницы

  • 0 ответов
  • 4,136 просмотров
  • Последнее сообщение 22.08.2015 10:45:18 оставил Alex_Gur

61 CustomDocumentProperties — Пользовательские свойства в документе

  • 0 ответов
  • 3,626 просмотров
  • Последнее сообщение 21.08.2015 12:46:50 оставил Alex_Gur

62 Составление списка файлов из папки

  • 0 ответов
  • 4,030 просмотров
  • Последнее сообщение 19.08.2015 11:01:38 оставил Alex_Gur

63 Вставка переменной в файл

  • 0 ответов
  • 2,776 просмотров
  • Последнее сообщение 11.08.2015 12:45:28 оставил Alex_Gur

64 Запись данных в текстовый файл и из файла с помощью ADODB.Stream

  • 1 ответ
  • 5,992 просмотров
  • Последнее сообщение 11.08.2015 12:34:21 оставил Alex_Gur

65 Объединение группы файлов Word с помощью макроса

  • 0 ответов
  • 5,649 просмотров
  • Последнее сообщение 11.08.2015 11:38:05 оставил Alex_Gur

66 Создание гиперссылки с помощью макроса Word

  • 0 ответов
  • 4,648 просмотров
  • Последнее сообщение 07.08.2015 15:45:12 оставил Alex_Gur

67 Включение дополнительного шаблона с макросами

  • 0 ответов
  • 4,819 просмотров
  • Последнее сообщение 31.07.2015 06:36:43 оставил Alex_Gur

68 Открытие программы Word с помощью скрипта VBS

  • 1 ответ
  • 8,020 просмотров
  • Последнее сообщение 30.07.2015 17:01:51 оставил Alex_Gur

69 Секундомер в Word

  • 1 ответ
  • 4,012 просмотров
  • Последнее сообщение 27.07.2015 12:38:06 оставил Alex_Gur

70 Макросы для рисования прямоугольников и линий заданного размера в Word

  • 1 ответ
  • 5,472 просмотров
  • Последнее сообщение 14.07.2015 17:21:52 оставил Alex_Gur

71 Соотношение пунктов и миллиметров в Word

  • 0 ответов
  • 3,383 просмотров
  • Последнее сообщение 14.07.2015 17:17:44 оставил Alex_Gur

72 Объектная модель Word

  • 0 ответов
  • 3,222 просмотров
  • Последнее сообщение 01.07.2015 14:17:01 оставил Alex_Gur

73 Разделение окна и снятие разделения с помощью макроса

  • 0 ответов
  • 2,703 просмотров
  • Последнее сообщение 25.06.2015 17:10:31 оставил Alex_Gur

74 Получение имени текущего файла без расширения

  • 0 ответов
  • 4,111 просмотров
  • Последнее сообщение 22.06.2015 09:30:40 оставил Alex_Gur

75 Учебные курсы Microsoft по Office 2013

  • 3 ответов
  • 5,997 просмотров
  • Последнее сообщение 29.05.2015 14:15:19 оставил Alex_Gur

76 Открытие файла из неактивной папки с помощью окна Открытие документа

  • 0 ответов
  • 2,934 просмотров
  • Последнее сообщение 25.05.2015 15:01:25 оставил Alex_Gur

77 Количество страниц и выделение текста страницы в активном документе

  • 8 ответов
  • 18,423 просмотров
  • Последнее сообщение 19.05.2015 16:13:22 оставил Alex_Gur

78 Использование коллекции предложений Sentences

  • 0 ответов
  • 3,023 просмотров
  • Последнее сообщение 12.05.2015 17:39:53 оставил Alex_Gur

79 MS Word для программистов

  • 3 ответов
  • 6,521 просмотров
  • Последнее сообщение 22.04.2015 09:31:34 оставил Alex_Gur

80 Как установить несколько версий Word на один компьютер

  • 12 ответов
  • 43,003 просмотров
  • Последнее сообщение 17.04.2015 17:02:45 оставил Alex_Gur

81 Справка о кодах полей в Word

  • 1 ответ
  • 5,755 просмотров
  • Последнее сообщение 16.04.2015 14:56:09 оставил Alex_Gur

82 Пакетный поиск в Яндексе с использованием Word

  • 7 ответов
  • 9,291 просмотров
  • Последнее сообщение 15.04.2015 10:14:47 оставил Alex_Gur

83 Оператор Documents.Open: программа не находит файл в рабочей папке

  • 0 ответов
  • 5,941 просмотров
  • Последнее сообщение 09.04.2015 09:24:22 оставил Alex_Gur

84 Куда еще можно обратиться за консультацией

  • 3 ответов
  • 4,804 просмотров
  • Последнее сообщение 06.04.2015 09:44:37 оставил Alex_Gur

85 Стили в Word

  • 10 ответов
  • 26,062 просмотров
  • Последнее сообщение 03.04.2015 14:24:25 оставил Alex_Gur

86 Как сформировать шаблон формы – делимся опытом

  • 10 ответов
  • 36,465 просмотров
  • Последнее сообщение 26.03.2015 15:54:14 оставил Alex_Gur

87 Полезные подсказки для удобства в работе с компьютером

  • 2 ответов
  • 4,794 просмотров
  • Последнее сообщение 15.03.2015 07:16:02 оставил Alex_Gur

88 Примеры интересных выражений VBA для Word (на английском языке)

  • 0 ответов
  • 3,551 просмотров
  • Последнее сообщение 12.03.2015 17:13:52 оставил Alex_Gur

89 О запуске автомакросов

  • 2 ответов
  • 8,030 просмотров
  • Последнее сообщение 11.03.2015 11:53:45 оставил Alex_Gur

90 Word 2013: Подключение к прокси серверу office15client.microsoft.com

  • 0 ответов
  • 18,599 просмотров
  • Последнее сообщение 04.03.2015 09:38:00 оставил Alex_Gur

91 Двойная нумерация страниц

  • 8 ответов
  • 32,018 просмотров
  • Последнее сообщение 18.02.2015 06:37:36 оставил Alex_Gur

92 Книги по Word и VBA, которые мы рекомендуем

  • 0 ответов
  • 3,195 просмотров
  • Последнее сообщение 26.01.2015 17:58:30 оставил Alex_Gur

93 Имитация нажатия комбинации клавиш в VBA Word

  • 0 ответов
  • 11,828 просмотров
  • Последнее сообщение 23.01.2015 09:50:47 оставил Alex_Gur

94 Макрос для просмотра таблиц

  • 3 ответов
  • 6,251 просмотров
  • Последнее сообщение 19.01.2015 10:28:16 оставил Alex_Gur

95 Макрос для форматирования текста, скопированного из интернета

  • 4 ответов
  • 18,139 просмотров
  • Последнее сообщение 04.12.2014 09:24:39 оставил Alex_Gur

96 Флажок «Сглаживать неровности экранных шрифтов»

  • 0 ответов
  • 5,122 просмотров
  • Последнее сообщение 20.11.2014 11:13:59 оставил Alex_Gur

97 Поворот номера страницы в рамке на листе альбомной ориентации

  • 0 ответов
  • 4,558 просмотров
  • Последнее сообщение 22.10.2014 14:59:36 оставил Alex_Gur

98 Запуск программы Word в безопасном режиме

  • 0 ответов
  • 7,485 просмотров
  • Последнее сообщение 10.10.2014 08:43:45 оставил Alex_Gur

99 Создание презентации PowerPoint в структуре Word

  • 0 ответов
  • 2,844 просмотров
  • Последнее сообщение 02.08.2014 14:42:17 оставил Alex_Gur

100 Как вставить ссылку с изменением падежа («на рисунке»)

  • 3 ответов
  • 18,063 просмотров
  • Последнее сообщение 14.07.2014 08:39:20 оставил Alex_Gur

Темы [ с 1 по 100 из 179 ]

Страницы 1 2 Далее

Чтобы начать тему, нужно войти или зарегистрироваться

страницы

  • полезности word
  • книги и программы
  • о проекте
  • стать автором
  • реклама на сайте
  • правовая информация

авторство

© 2006 — 2016, Word Expert
Авторские права на все материалы, опубликованные на сайте WordExpert.ru (включая текст, иллюстрации, фотографии, подборку, расположение и т.п.), принадлежат администрации Word Expert, если не указано иное.

Установка и настройка прокси-сервера Squid 3 с доменной аутентификацией, разграничением доступа к ресурсам по группам фильтрацией и пр.

Предполагается, что Вы попали сюда из основной статьи блока и понимаете описываемый здесь контекст. За основу этой статьи взят в целом добротный материал отсюда, однако мне потребовалось адаптировать его к моей системе (несколько иному итоговому функционалу) — немного расширить функционал, немного оптимизировать и «вылизать» (не все опции исходных статей заработали в моей системе без доработок).

Устанавливаем SQUID

Приступим к установке Squid 3, если следовать инструкциям основной статьи — сейчас самое время:

apt-get install squid3 ldap-utils

После установки проверим с какими параметрами собран установленный Squid (это формальность если используете дистрибутив Ubuntu 14.04, но в другом репозитории может оказаться менее функциональный пакет), чтобы убедиться в том, что он сможет работать со всеми нужными нам хелперами (вспомогательными утилитами выполняющими аутентификацию и авторизацию пользователей).

squid3 -v
Squid Cache: Version 3.3.8 Ubuntu configure options: '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=$/include' '--mandir=$/share/man' '--infodir=$/share/info' 
'--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=$/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules'
'--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd,rock'
'--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for'
'--enable-auth-basic=DB,fake,getpwnam,LDAP,MSNT,MSNT-multi-domain,NCSA,NIS,PAM,POP3,RADIUS,SASL,SMB' '--enable-auth-digest=file,LDAP' '--enable-auth-negotiate=kerberos,wrapper'
'--enable-auth-ntlm=fake,smb_lm' '--enable-external-acl-helpers=file_userip,kerberos_ldap_group,LDAP_group,session,SQL_session,unix_group,wbinfo_group'
'--enable-url-rewrite-helpers=fake' '--enable-eui' '--enable-esi' '--enable-icmp' '--enable-zph-qos' '--enable-ecap' '--disable-translation' '--with-swapdir=/var/spool/squid3'
'--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter'
'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall'
'LDFLAGS=-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2'
'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security'

Обратите внимание на выделенные опции и их значения — должно быть примерно так.

Далее, в рамках подготовки Ubuntu Server к работе с механизмами аутентификации Kerberos и NTLM из Squid, донастроим их.

Донастраиваем Kerberos

Встречается два основных варианта настройки Kerberos на Linux. Первый — использование утилиты MSKTUTIL для создания в домене отдельной учетной записи компьютера, которая будет использоваться для аутентификации пользователей домена, а также для периодического изменения пароля этой учетной записи и регенерации keytab файла. Второй — упрощенный вариант (несколько страдает безопасность системы, т.к. необходимо запретить смену пароля для учетки которой авторизуется в домене Kerberos нашего сервера, или проделывать все перечисленные ниже операции вручную с нужной периодичностью) получения и использования keytab-файла. Далее мы создадим в домене AD служебную учетную запись пользователя (для авторизации нашего Kerberos в домене), отключим в свойствах учетной записи устаревание пароля и необходимость смены пароля, сгенерируем на контроллере домена для этой учетной записи keytab-файл, который затем скопируем на наш прокси сервер и будем использовать его для аутентификации Kerberos на постоянной основе.

Создаем в домене учетную запись пользователя для службы SQUID. В нашем примере это будет учетная запись DOMAIN\smbsrv01-SQUIDkrb (она будет использована для двух целей, что не очень хорошо для безопасности, но оптимизирует систему, для аутентификации Kerberos и для выполнения запросов в LDAP).

Отключим для учетной записи требование периодической смены пароля (Password never expires):

Для созданной учетной записи нам нужно сгенерировать keytab-файл на контроллере домена AD (в нашем случае на базе Windows Server 2008) с помощью утилиты ktpass (кроме того, этой операцией мы заменим принципала учетной записи на специальную строку которой представляется Squid , WindowsNT имя записи останется прежним и его можно будет использовать для аутентификации):

ktpass -princ HTTP/smbsrv01.domain.lan@DOMAIN.LAN -mapuser DOMAIN\smbsrv01-SQUIDkrb -pass PasSw0rd -crypto All -ptype KRB5_NT_PRINCIPAL -out C:\Temp\smbsrv01-SQUIDkrb.keytab
Targeting domain controller: smbsrv01.domain.lan Successfully mapped HTTP/smbsrv01.domain.lan to smbsrv01-SQUIDkrb. Password successfully set! Key created. Key created. Key created. Key created. Key created. Output keytab to C:\Temp\smbsrv01-SQUIDkrb.keytab: Keytab version: 0x502 keysize 83 HTTP/smbsrv01.domain.lan@DOMAIN.LAN ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x1 (DES-CBC-CRC) keylength 8 (0x. ) keysize 83 HTTP/smbsrv01.domain.lan@DOMAIN.LAN ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x3 (DES-CBC-MD5) keylength 8 (0x. ) keysize 91 HTTP/smbsrv01.domain.lan@DOMAIN.LAN ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x17 (RC4-HMAC) keylength 16 (0x. ) keysize 107 HTTP/smbsrv01.domain.lan@DOMAIN.LAN ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x12 (AES256-SHA1) keylength 32 (0x. ) keysize 91 HTTP/smbsrv01.domain.lan@DOMAIN.LAN ptype 1 (KRB5_NT_PRINCIPAL) vno 4 etype 0x11 (AES128-SHA1) keylength 16 (0x. )

Обратите внимание на то, что в параметре –princ мы указали имя сервера (HOSTNAME), для которого мы собираемся настроить аутентификацию Kerberos (в нашем случае это smbsrv01.domain.lan) используя выше-обозначенную учетную запись пользователя. Однако вместо этого, можно использовать другое имя, если например в перспективе есть задача использовать служебную учетную запись пользователя сразу для нескольких серверов SQUID с единой точкой входа для пользователей. Разумеется для каждого измененного имени в DNS должна быть создана статическая A-запись (PTR-запись не нужна) и эта запись должна указывать на IP-адрес нашего Linux-сервера (192.168.0.2). Кроме этого в настройках Squid нужно указать новое имя сервера (которым будет представляться Squid в AD).

В процессе генерации keytab-файла в домене в свойствах учетной записи пользователя изменится имя для входа а также будет изменён атрибут servicePrincipalName (будет добавлено значение из параметра -princ)

Теперь нам нужно безопасным способом передать получившийся файл smbsrv01-SQUIDkrb.keytab с компьютера под управлением Windows на Linux-сервер smbsrv01 в каталог /etc/squid3/. Сделать это можно например по протоколу SSH (ранее мы уже запустили службу сервера OpenSSH на smbsrv01) с помощью утилиты WinSCP или PSCP.

Передадим файл сначала в каталог /home/user/ (или ~ для краткости):

C:\Tools\PuTTy>pscp -scp C:\Temp\smbsrv01-SQUIDkrb.keytab user@smbsrv01:~/smbsrv01-SQUIDkrb.keytab

Теперь из каталога /home/user/ нам нужно будет переместить файл в в каталог /etc/squid3/

sudo mv /home/user/smbsrv01-SQUIDkrb.keytab /etc/squid3/smbsrv01-SQUIDkrb.keytab

Далее выставляем разрешения на keytab-файл таким образом, чтобы в дальнейшем служба Squid могла получить к нему доступ:

sudo chgrp proxy /etc/squid3/smbsrv01-SQUIDkrb.keytab sudo chmod 640 /etc/squid3/smbsrv01-SQUIDkrb.keytab
ls -la /etc/squid3/smbsrv01-SQUIDkrb.keytab
-rw-r----- 1 user proxy 477 May 31 20:45 /etc/squid3/smbsrv01-SQUIDkrb.keytab

Проверяем возможность аутентификации в AD с помощью Kerberos. Сначала выполняем команду, которая должна отработать без ошибок:

kinit -k HTTP/smbsrv01.domain.lan

Затем проверим наличие полученного билета Kerberos командой klist

klist Ticket cache: FILE:/tmp/krb5cc_1000 Default principal: HTTP/smbsrv01.domain.lan@DOMAIN.LAN Valid starting Expires Service principal 05/31/2014 21:22:14 06/01/2014 07:22:14 krbtgt/DOMAIN.LAN@DOMAIN.LAN renew until 06/01/2014 21:22:14

Как видим, билет успешно получен. Теперь можем удалить его командой kdestroy

Для того чтобы SQUID однозначно знал где искать keytab-файл, создадим файл настроек по умолчанию и откроем его на редактирование:

sudo touch /etc/default/squid3 sudo nano /etc/default/squid3

Впишем в файл следующие сроки:

KRB5_KTNAME=/etc/squid3/smbsrv01-SQUIDkrb.keytab export KRB5_KTNAME

На этом базовую поддержку Kerberos в рамках нашей задачи можно считать законченной, переходим к NTLM.

Донастройка NTLM

Проверяем статус доверительных отношений с доменом:

sudo wbinfo -t checking the trust secret for domain KOM via RPC calls succeeded

Проверяем аутентификацию пользователя в домене:

sudo wbinfo -a DOMAIN\\user Enter DOMAIN\user's password: plaintext password authentication succeeded Enter DOMAIN\user's password: challenge/response password authentication succeeded

Включим пользователя от имени которого будет работать Squid (proxy) в группу доступа для чтения каталога /var/run/samba/winbindd_privileged

sudo gpasswd -a proxy winbindd_priv Adding user proxy to group winbindd_priv

Забегая вперёд могу сказать, что проделанной настройки Samba4 оказалось недостаточно. Когда дело дошло до тестирования хелперов Squid, хелпер NTLM аутентификации из состава Samba4 (/usr/bin/ntlm_auth) при вызове Squid-ом для любой попытки аутентификации пользователей приводил к одной и той же ошибке:

ERROR: NTLM Authentication validating user. Error returned 'BH NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL'

Идея решения этой проблемы была найдена здесь [Bug 1304953] Re: ntlm_auth reports Broken Helper: BH NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL. Как я понял, суть проблемы заключается в том, что Squid версии 3.3.8 при работе с хелпером NTLM аутентификации пытается использовать содержимое каталога /var/run/samba/winbindd_privileged, в то время как в Samba4 его месторасположение изменено на /var/lib/samba/winbindd_privileged. Оказалось, что в системе присутствуют оба каталога:

sudo ls -la /var/run/samba/winbindd_privileged total 0 drwxr-x--- 2 root winbindd_priv 40 Jun 6 18:38 . drwxr-xr-x 7 root root 460 Jun 6 18:38 ..
sudo ls -la /var/lib/samba/winbindd_privileged total 8 drwxr-x--- 2 root root 4096 Jun 6 18:38 . drwxr-xr-x 6 root root 4096 Jun 6 18:38 .. srwxrwxrwx 1 root root 0 Jun 6 18:38 pipe

Для решения проблемы неработающей NTLM аутентификации в Squid пришлось настроить разрешения на каталог /var/lib/samba/winbindd_privileged аналогично тому, как они настроены для каталога /var/run/samba/winbindd_privileged…

sudo chgrp winbindd_priv /var/lib/samba/winbindd_privileged sudo ls -la /var/lib/samba/winbindd_privileged total 8 drwxr-x--- 2 root winbindd_priv 4096 Jun 6 18:38 . drwxr-xr-x 6 root root 4096 Jun 6 18:38 .. srwxrwxrwx 1 root root 0 Jun 6 18:38 pipe

…а также слинковать подкаталог ../pipe из старого месторасположения в новое…

sudo ln -s /var/lib/samba/winbindd_privileged/pipe /var/run/samba/winbindd_privileged/pipe sudo ls -la /var/run/samba/winbindd_privileged total 0 drwxr-x--- 2 root winbindd_priv 60 Jun 6 18:41 . drwxr-xr-x 7 root root 460 Jun 6 18:38 .. lrwxrwxrwx 1 root root 39 Jun 6 18:41 pipe -> /var/lib/samba/winbindd_privileged/pipe

После этих изменений можно перезапустить Squid3 и Samba4 (или систему целиком).

Теперь относительно того, что для учетной записи компьютера (не путать с сервисной учетной записью пользователя для поддержки Kerberos) нашего Linux-сервера в домене AD рекомендуется выполнять периодическую смену пароля. Судя по документу Samba manpages — smb.conf.5 параметр machine password timeout отвечает за то, насколько часто процесс smbd будет пытаться выполнить смену пароля учетной записи компьютера в домене. По умолчанию это значение равно 604800 секунд, то есть 7 дней. Таким образом добавлять в планировщик заданий CRON отдельную задачу смены пароля командой “net rpc changetrustpw” мы не станем.

На этом минимальную настройку поддержки Kerberos и NTLM в Ubuntu Server 14.04 LTS для использования механизмов аутентификации пользователей домена Active Directory в Squid 3 будем считать законченной.

Настройка SQUID

Проделаем ряд подготовительных манипуляций по созданию доменных групп безопасности, которые будут использоваться для ограничения доступа к Интернет, а также созданию вспомогательных файлов, ссылки на которые будут включены в основной конфигурационный файл Squid 3.3.8. Затем отредактируем основной конфигурационный файл Squid и проверим работу нашего прокси-сервера с новыми настройками.

Создаём доменные группы доступа

Ранее по условиям нашей задачи было определено, что для разграничения доступа пользователей к Интернет мы будем использовать группы безопасности в домене Active Directory (AD). Создадим несколько таких групп:

  • smbsrv01-Internet-Blocked — Пользователи которым запрещён любой доступ в Интернет. Проверка членства в этой группе в Squid будет осуществляться в первую очередь. Поэтому, даже если получиться так, что пользователь по ошибке включён в какие-то другие группы доступа, в доступе к Интернет ему всё равно будет отказано.
  • smbsrv01-Internet-WhiteList — Пользователи Интернет с доступом к ограниченному списку сайтов. В большинстве случаев есть ряд пользователей, которым для выполнения служебных обязанностей требуется доступ к определённым Интернет-ресурсам, а к любым другим внешним ресурсам доступ нужно ограничить.
  • smbsrv01-Internet-BlackList — Пользователи Интернет с доступом к любым сайтам за исключением списка блокированных сайтов (настройка такого списка будет выполнена в отдельном файле). В эту группу входит основная масса пользователей.
  • smbsrv01-Internet-FullAccess — Пользователи Интернет с доступом ко всем сайтам без исключений. В такую группу может входить например руководство организации, которое хочет ограничить доступ к некоторым Интернет-ресурсам своим сотрудникам, а само при этом желает иметь полный доступ без ограничений.
  • smbsrv01-Internet-FullAnonym — Пользователи Интернет с доступом ко всем сайтам без исключений. Отличие этой группы от предыдущей заключается в том, что доступ в Интернет для членов этой группы не будет записываться в лог и поэтому не будет фигурировать в отчетности использования ресурсов Интернет. То есть данная группа предназначена для возможных сценариев требования анонимности некоторых пользователей.

Как видим, группы перечислены в порядке расширения прав доступа. И именно в таком порядке мы будем обрабатывать эти группы в конфигурационном файле Squid.

smbsrv01-Internet-All – Это ещё одна служебная группа, которую мы создадим. Она будет включать в себя все вышеперечисленные группы. Эта группа потребуется нам в дальнейшем для настройки отчетности использования ресурсов Интернет.

Наполним созданные группы доменными пользователями. Помимо прямого членства пользователей в эти группы можно включать другие доменные группы доступа, так как членство в группах будет проверяться с учетом возможной вложенности.

Настраиваем вспомогательные файлы параметров

Настраиваемая нами в Squid система аутентификации пользователей будет иметь три типа: Negotiate, NTLM, Basic. Первый тип будет представлять собой согласование с клиентом, где Kerberos будет использоваться как приоритетный протокол аутентификации а NTLM как альтернативный. Второй тип будет аутентифицировать клиентов, которые имеют явное желание использовать протокол NTLM. Третий тип рассматривается как исключительный (в силу его небезопасности) и нужен лишь для поддержки приложений, которые умеют работать только с Basic аутентификацией. Минимальные подготовительные процедуры для обеспечения функциональности Kerberos и NTLM мы уже проделали . Если же говорить о Basic аутентификации, то здесь нам потребуется дополнительно создать в домене отдельную учетную запись пользователя, от имени которого будет выполняться подключение к AD, как к LDAP-каталогу для выполнения Basic-аутентификации а также авторизации (проверке членства в доменных группах). Лучше всего, чтобы это была отдельная учетная запись пользователя с минимальным набором прав в домене, однако в нашем примере для упрощения будет использоваться та же учетная запись, которая ранее нами была создана для поддержки Kerberos-аутентификации (smbsrv01-SQUIDkrb).

Создадим отдельный файл ldappass.conf в котором будет храниться пароль этой учетной записи для дальнейшего использования на него ссылок из конфигурационного файла Squid.

sudo sh -c "echo 'PasSw0rd' > /etc/squid3/ldappass.conf" sudo chmod o-r /etc/squid3/ldappass.conf sudo chgrp proxy /etc/squid3/ldappass.conf ls -la /etc/squid3/ldappass.conf -rw-r----- 1 root proxy 17 Jun 5 19:19 /etc/squid3/ldappass.conf

Далее создадим дополнительные конфигурационные файлы в которых будут записаны ранее созданные нами доменные группы безопасности. Разумеется этого можно и не делать и напрямую в дальнейшем включить названия групп в основной конфигурационный файл Squid, однако подход с модульностью параметров (когда данные параметров подключаются из дополнительных внешних файлов) в некоторых случаях может быть удобен и полезен.

sudo sh -c "echo 'smbsrv01-Internet-Blocked' > /etc/squid3/grps_blocked.conf" sudo sh -c "echo 'smbsrv01-Internet-WhiteList' > /etc/squid3/grps_whitelist.conf" sudo sh -c "echo 'smbsrv01-Internet-BlackList' > /etc/squid3/grps_blacklist.conf" sudo sh -c "echo 'smbsrv01-Internet-FullAccess' > /etc/squid3/grps_fullaccess.conf" sudo sh -c "echo 'smbsrv01-Internet-FullAnonym' > /etc/squid3/grps_fullanonym.conf"

Создаём дополнительные конфигурационные файлы для хранения разных списков сайтов (доменов).

sudo touch /etc/squid3/dom_whitelist.conf sudo touch /etc/squid3/dom_blacklist.conf sudo touch /etc/squid3/dom_allaccess.conf

Файл dom_allaccess.conf будет содержать перечень сайтов к которым нужно предоставить всем без исключения пользователям организации без аутентификации и авторизации на прокси. То есть доступ к этим Интернет-сайтам будет разрешён для пользователей, даже если они не включены ни в одну из доменных групп доступа. К таким сайтам может относиться например внешний Интернет-сайт организации. Или например есть на компьютерах пользователей такое приложение как Microsoft Office 2013, которое может вести себя неадекватно при использовании требующего аутентификацию прокси-сервера отличного от Microsoft ISA/TMG. В частности при открытии приложений типа Word 2013 или Excel 2013 пользователь может получать многократные запросы авторизации, так как эти приложения пытаются получить доступ к внешним веб-узлам Microsoft, при этом сами эти приложения ни в какую не хотят представлять прокси серверу данные для аутентификации пользователя (проверено на дампе сетевого трафика). Поэтому для того, чтобы не ущемлять функциональность Microsoft Office, было решено включить используемые им URL в файл dom_allaccess.conf. Пример такого файла:

### How to add domains to this file
#
# 1. Use only the domain name EXCLUDING the protocol prefix, i.e.
# don't put "http://" at the start.
#
# 2. Do not append a directory to the domain name, i.e. don't put
# /index.php/path/blah.html at the end of the name.
#
# 3. Prefix each entry with a single dot ".", this ensures a match of
# example.com and www.example.com.
#
# 4. If you need to match different top level domains like .com,
# .net, .com.au for sites that have multiple top level domains to
# the same website then add a seperate entry for each e.g.
# .example.com
# .example.com.au
#
###
#
# Corp.sites
#
.organization.ru
#
# Learning sites
#
.cdo.academlp.ru
.tests24.ru
#
# Microsoft Office sites
#
.officeimg.vo.msecnd.net
.office.microsoft.com
.office15client.microsoft.com
.officeapps.live.com

Файл dom_whitelist.conf будет содержать перечень сайтов, к которым нужно предоставить доступ ограниченной категории пользователей, прошедшим аутентификацию и авторизацию на прокси. Пользователи которым разрешается доступ только к этому списку сайтов должны быть включены в доменную группу доступа smbsrv01-Internet-WhiteList. Ко всем другим сайтам Интернет доступ для данной категории пользователей будет запрещён. Примером из жизни могут стать пользователи которым нужно дать доступ к определённым Интернет-сайтам компаний партнёров по бизнесу, а к Интернету в целом доступ должен быть заблокирован. Или учащиеся СОШ, которым законом запрещено посещение сайтов не образовательного характера (в рамках учебного процесса). Пример такого файла (без закомментированных строк в шапке файла по аналогии с предыдущим примером):

.app1.partner1.ru .arm.sub.partner2.ru

Файл dom_blacklist.conf будет содержать перечень сайтов, доступ к которым необходимо запретить всем пользователям Интернет (не относиться к пользователям включённым в группы smbsrv01-Internet-Full*). Примером таких сайтов могут быть сайты, содержимое которых по мнению руководства может отрицательно влиять на трудовую дисциплину сотрудников организации, типа социальных сетей, развлекательных сайтов и т.п.. Другим кандидатом в попадание в такой список могут стать сайты, доступ к которым необходимо ограничить согласно писем Роскомнадзора. Пример такого файла:

.fourthreich.com .nssukr.com

В дополнение к фильтру по доменным именам добавим фильтрацию по URL (в Squid3 за это отвечает отдельный механизм, поэтому и настройки будут отдельными). Добавим «черный» и «белый» списки URL:

sudo touch /etc/squid3/url_blacklist.conf sudo touch /etc/squid3/url_whitelist.conf

Содержимое этих файлов отличается по форме от файлов доменного фильтра. В «черный список логично добавить «запретные» URL, примерно так:

### How to add urls to this file
#
# 1. Из файла Squid читает регулярные выражения для фильтра URL построчно.
#
# 2. Начало строки (начало URL) обозначается символом ^.
#
# 3. Конец строки (конец URL) обозначается символом $.
#
# 4. Строка должна включать полный URL с кодом протокола (например http://) и конечным слэшем (если требуется).
#
# 5. Если требуется указать только вхождение подстроки в больший URL -
# используйте символ ^ (в начале строки) - для указания вхождения подстроки от начала URL;
# используйте символ $ (в конце строки) - для указания вхождения подстроки в конце URL;
# не используйте ограничивающие символы для указания вхождения подстроки в середине URL;
# дополнительные сведения смотрите в справке по SQUID и регулярным выражениям POSIX.
#
# Примеры:
# ^http://example.com$
# ^http://www.example.com.au/$
#
###
#
# Extremism
#
^http://0chan.hk/h/$
^http://0chan.hk/h/res/214.html$
^http://2013star.org/component/k2/itemlist/tag/%d0%98%d0%b6%d0%b5%d0%b2%d1%81%d0%ba.html$

А в «белый» список добавим разрешенные всем пользователям адреса:

###
#
# Educational
#
^http://www.n-t.org/nl/$
^http://sites.google.com/site/obsestvo02/$
^http://www.un.org/russian/$

Отдельно обозначим создание двух дополнительных конфигурационных файлов для обеспечения доступа определённых компьютеров сети к определённым сайтам со службой Windows Update

sudo touch /etc/squid3/dom_wsus.conf sudo touch /etc/squid3/computers_wsus.conf

Создание таких файлов может понадобиться тем, кто использует сервер System Center 2012 R2 Configuration Manager (SCCM) занимающийся автоматической загрузкой обновлений из Интернет-службы Microsoft Windows Update который не умеет аутентифицироваться на прокси и поэтому ему нужно организовать прямой доступ к соответствующим веб-ресурсам.

Файл dom_wsus.conf будет содержать список сайтов Microsoft к которым соответствующим компьютерам локальной сети нужно организовать прямой доступ. Пример такого файла:

# .download.windowsupdate.com #

Файл computers_wsus.conf соответственно будет содержать список IP-адресов серверов SCCM. Пример такого файла:

# # wsus.domain.lan 192.168.0.100 #

Настаиваем основной конфигурационный файл squid.conf

Перед тем как начать редактирование основного конфигурационного файла /etc/squid3/squid.conf хорошим тоном будет создать его резервную копию, чтобы на всякий случай иметь под рукой возможность восстановления конфигурации по умолчанию, после чего можно со спокойной душой открыть исходный файл на редактирование:

sudo cp /etc/squid3/squid.conf /etc/squid3/squid.conf.default

Открываем squid.conf на редактирование (в вашем любимом редакторе).

Далее мы рассмотрим пример конфигурационного файла, разбив его содержимое на основные логические секции и предварительно в трёх словах описав ту или иную часть настроек.

Аутентификация и авторизация пользователей в Squid выполняется вспомогательными программами, так называемыми хелперами. В первой части конфигурации выполняется описание вызовов этих хелперов с передачей им необходимых параметров и в порядке их приоритетности. Как ранее уже было отмечено, в нашем примере будет использоваться три схемы аутентификации. Сначала идёт описание приоритетного метода аутентификации – Согласование выбора Kerberos или NTLM. Затем если клиент по какой-то причине не может использовать аутентификацию Kerberos и при этом готов работать с NTLM – выполняется обработка настроек NTLM. Ну и в последнюю очередь описывается работа метода Basic.

Для процедур согласования будет использоваться специальный хелпер negotiate_wrapper_auth доступный в составе Squid3. Он отвечает за вызов аутентификации Kerberos с помощью хелпера negotiate_kerberos_auth (из состава Squid) либо аутентификации NTLM c помощью хелпера ntlm_auth (из состава Samba). При этом в качестве важных параметров Kerberos-хелпера указывается SPN служебной учетной записи, для которой ранее мы генерировали keytab-файл.

Для процедуры Basic-аутентификации будет использоваться хелпер basic_ldap_auth из состава Squid3.

Возможные значения параметров auth_param для разных методов аутентификации довольно подробно расписаны в комментариях конфигурационного файла squid.conf. Возможные значения ключей хелперов расположенных по умолчанию в каталоге /usr/lib/squid3/, как правило, можно узнать при самостоятельном вызове этих хелперов к ключами –h или –-help.

# SQUID 3.3.8 Configuration # ----------------------------------------------------------------------------- # # OPTIONS FOR AUTHENTICATION # ----------------------------------------------------------------------------- # # Negotiate Kerberos and NTLM authentication
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s "HTTP/smbsrv01.domain.lan@DOMAIN.LAN" --ntlm /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=DOMAIN
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off

# Only NTLM authentication
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=DOMAIN
auth_param ntlm children 100 startup=20 idle=5
auth_param ntlm keep_alive off

# Basic authentication via ldap for clients not authenticated via kerberos/ntlm
auth_param basic program /usr/lib/squid3/basic_ldap_auth -v 3 -P -R -b "dc=domain,dc=lan" -D "smbsrv01-SQUIDkrb@domain.lan" -W /etc/squid3/ldappass.conf -f "sAMAccountName=%s" -h dc.domain.lan
auth_param basic children 20
auth_param basic realm "smbsrv01 SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours

Далее идёт секция описания списков контроля доступа (ACL). Сначала опишем основной ACL внешнего типа, который будет вызывать хелпер LDAP-авторизации ext_ldap_group_acl (из состава Squid3), который в свою очередь фактически будет выполнять проверку членства уже аутентифицированного на прокси пользователя в доменных группах безопасности, чтобы понять какой этому пользователю в дальнейшем нужно предоставить доступ. Обратите внимание на то, что в LDAP-фильтре используемом для поиска к атрибуту memberOf добавлен ключ :1.2.840.113556.1.4.1941:, который объясняет LDAP-серверу (контроллеру домена AD), что поиск членства в группах нужно выполнять с учётом вложенности групп. Обратите внимание, что я создавал группы доступа в контейнере Users в корне дерева LDAP домена, что и указано в строке поиска как параметр CN=Users .

# ACCESS CONTROLS # ----------------------------------------------------------------------------- # # LDAP authorization external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -S -b "dc=domain,dc=lan" -D "smbsrv01-SQUIDkrb@domain.lan" -W /etc/squid3/ldappass.conf -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,CN=Users,DC=domain,DC=lan))" -h dc.domain.lan

Далее идёт секция описания всех основных ACL, которые по сути являются переменными содержащими некие значения, которыми в дальнейшем будут оперировать правила доступа.

Сначала идет объявление сетей которые смогут работать через наш шлюз (переменная localnet будет использована (где это возможно) для ограничения доступа по принадлежности к сегменту сети. Однако если в вашей локальной сети единственный сегмент и нужно дать работать только из него, то оптимальнее будет просто запускать демон Squid только на интерфейсе в эту сеть и не делать дополнительных обработок.

Следующий ACL нужен для объявления в дальнейшем в некоторых правилах обязательного требования аутентификации пользователя.

Следующие пять ACL нужны для вызова описанного ранее внешнего ACL для проверки членства в той или иной доменной группе описанной в подключаемых файлах.

Следующие три ACL описывают разные списки сайтов из соответствующих подключаемых файлов. Следующие два списка нужны чтобы задействовать дополнительную фильтрацию по URL. И еще два ACL потребуются нам в дальнейшем для описания правил для Windows Update.

Затем идёт ряд ALC используемых в конфигурации по умолчанию. ACL описывающие разрешённые для проксирования порты вполне можно принять в предлагаемом по умолчанию составе.

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network

acl auth proxy_auth REQUIRED

acl BlockedUsers external memberof -i "/etc/squid3/grps_blocked.conf"
acl WhiteListUsers external memberof -i "/etc/squid3/grps_whitelist.conf"
acl BlackListUsers external memberof -i "/etc/squid3/grps_blacklist.conf"
acl FullAccessUsers external memberof -i "/etc/squid3/grps_fullaccess.conf"
acl AnonymousAccessUsers external memberof -i "/etc/squid3/grps_fullanonym.conf"

acl WhiteList dstdomain -i "/etc/squid3/dom_whitelist.conf"
acl BlackList dstdomain -i "/etc/squid3/dom_blacklist.conf"
acl AllAccess dstdomain -i "/etc/squid3/dom_allaccess.conf"

acl WhiteListURL url_regex -i "/etc/squid3/url_whitelist.conf"
acl BlackListURL url_regex -i "/etc/squid3/url_blacklist.conf"

acl WUServers src "/etc/squid3/computers_wsus.conf"
acl WUSites dstdomain -i "/etc/squid3/dom_wsus.conf"

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

Далее идёт одна из самых важных секций, описывающая сами правила доступа к ресурсам Интернет. Сначала идёт ряд правил из конфигурации по умолчанию, затем идут правила использующие описанные нами ранее ACL. Очередность расположения правил играет важную роль и поэтому правила расположены в такой последовательности, которая позволит задействовать все созданные нами ACL в соответствии с их предназначением. Самым последним правилом запрещается любой доступ в Интернет, то есть действует принцип, при котором всё, что явно не разрешено ранее идущими правилами – запрещено.

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# Only allow cachemgr access from localhost, localnet
http_access allow localhost manager
http_access allow localnet manager
http_access deny manager

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
http_access deny to_localhost

# Allow direct access to Windows Update
http_access allow WUSites WUServers

# Allow unrestricted access to allaccessed sites
http_access allow AllAccess

# Enforce authentication, order of rules is important for authorization levels
http_access deny !auth

# Prevent access to basic auth prompt for BlockedAccess users
http_access deny BlockedUsers all
http_access allow WhiteList
http_access allow WhiteListURL
http_access deny WhiteListUsers all
http_access allow AnonymousAccessUsers all
http_access allow FullAccessUsers all
http_access deny BlackList
http_access deny BlackListURL
http_access allow BlackListUsers all

# And finally deny all other access to this proxy
http_access deny all

Далее идёт не менее важная секция описывающая то, на каких сетевых интерфейсах Squid будет принимать подключения. Ограничим возможность подключения рамками локальной сети, чтобы наш прокси сервер не отвечал на запросы из Интернет (именно эта секция имелась ввиду, когда шел разговор о списке localnet).

# NETWORK OPTIONS # ----------------------------------------------------------------------------- # http_port 192.168.0.10:3128

Увеличение значения параметра forward_max_tries может оказаться полезно в ситуациях, когда на запрос прокси на разрешение имени какого-либо Интернет-ресурса возвращено большое количество внешних IP адресов, часть из которых не отвечает на запросы.

# OPTIONS WHICH AFFECT THE NEIGHBOR SELECTION ALGORITHM # ----------------------------------------------------------------------------- # hierarchy_stoplist cgi-bin ? forward_max_tries 25 #

Далее идут параметры кэширования веб-контента. Кэш Squid делится на оперативный кэш в ОЗУ и дисковый кэш. Если нужна высокая скорость работы кэша при большом количестве ОЗУ на сервере, то можно отказаться от использования дискового кэша вообще. Если же объём ОЗУ не велик, то при необходимости можно значительно увеличить общий объем кэша перенеся его бОльшую массу да диск. В нашем случае именно так и сделано, то есть используется гибридная конфигурация кэширования с 4GB кэша в ОЗУ и 7GB кэша в указанной директории (у меня она расположена в ветке /var которая смонтирована отдельным быстрым разделом файловой системы).

# MEMORY CACHE OPTIONS # ----------------------------------------------------------------------------- # cache_mem 4096 MB maximum_object_size_in_memory 4048 KB memory_replacement_policy heap GDSF # DISK CACHE OPTIONS # --------------------------------------------------------------------------- # cache_replacement_policy heap LFUDA cache_dir ufs /var/spool/squid3 7000 16 256 maximum_object_size 32768 KB

Далее идут параметры логирования (напомню, что пользователи из ACL AnonymousAccess не логируются) и траблшутинга. Затем идёт конфигурация по умолчанию для тюнинга кэширования и ряд других параметров. Отдельное внимание стоит обратить на то, что весьма желательно с помощью параметра cachemgr_passwd ограничить паролем доступ к менеджеру кэша Squid, который доступен через URL http://smbsrv01.domain.lan:3128/squid-internal-mgr/menu из локальной сети согласно настроенного нами ранее правила “http_access allow localnet manager”. Если этого не сделать то все желающие из локальной сети как минимум смогут получить доступ к информации о паролях пользователей используемых в схемах Basic-аутентификации.

# LOGFILE OPTIONS # ----------------------------------------------------------------------------- # # don't log AnonymousAccess access_log daemon:/var/log/squid3/access.log squid !AnonymousAccess # OPTIONS FOR TROUBLESHOOTING # ----------------------------------------------------------------------------- # cache_log /var/log/squid3/cache.log coredump_dir /var/spool/squid3
# Этот параметр следует использовать только для отладки - очень большой объем логов
#debug_options ALL,1 33,5 28,5 29,5

# OPTIONS FOR TUNING THE CACHE # ----------------------------------------------------------------------------- # refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern -i (/cgi-bin/|\?) 0 0% 0 refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880 refresh_pattern . 0 20% 4320 # ADMINISTRATIVE PARAMETERS # ----------------------------------------------------------------------------- #
# Email of cache admin
cache_mgr admin@domain.lan httpd_suppress_version_string on visible_hostname KREVEDKO-01 # ERROR PAGE OPTIONS # ----------------------------------------------------------------------------- # error_directory /usr/share/squid3/errors/ru error_default_language ru # DNS OPTIONS # ----------------------------------------------------------------------------- # dns_v4_first on # MISCELLANEOUS # ----------------------------------------------------------------------------- # forwarded_for delete cachemgr_passwd StrOnG_PaZsZw0rD all

Разумеется приведённый пример конфигурационного файла squid.conf не отражает всего множества доступных параметров, позволяющих гибко тюнинговать функции Squid, а лишь является примером рабочей базовой конфигурации.

После того как мы закончили с редактированием конфигурационного файла, выполним его проверку на наличие синтаксических ошибок:

sudo squid3 -k parse

Если парсер не обнаружил никаких явных ошибок, то можем применить новую конфигурацию Squid:

sudo squid3 -k reconfigure

После этого можно приступать к проверке настроенных нами правил доступа на клиентских компьютерах локальной сети. Корректность работы схем аутентификации желательно проверить на разных браузерах.

В случае проблем в реальном режиме времени смотрим логи:

sudo tail -f /var/log/squid3/cache.log
sudo tail -f /var/log/squid3/access.log

На данном этапе можно считать, что наш прокси-сервер функционирует и способен обслуживать клиентов локальной сети. Далее рассмотрим пример авто-настройки браузеров на клиентских компьютерах сети с помощью механизмов Proxy Auto Configuration (WPAD) на базе веб-сервера Apache2.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *