https://www.opennet.ru/openforum/vsluhforumID12/7231.html Добрый день.<br>Стоит сервер SLES 11 SP4. Подключен один конец в инет, другой в локальную сеть. На сервере установлена Zimbra. Если подключаться из локальной сети или из инета напрямую все хорошо. Но нужна LDAP авторизация из инета, поэтому решил установить на эту же машину Squid 3.5.10 и настроить его как Reverse Proxy.<br>Настроил сквид как реверсивный для https. Пробовал разные варианты настроек. Как экcперимент пробрасывал на другой компьютер в локальной сети на webmin все прекрасно. Никак не получается пробросить запросы на zimbra ругается на сертификат.<br>Вот тестовый конфиг сквида без авторизации и с мусором.<br>visible_hostname mail.external.ru<br>https_port 444 accel key=/etc/squid/server.key cert=/etc/squid/server.crt defaultsite=mail.external.ru vhost<br>cache_peer 192.168.100.10 parent 8443 0 proxy-only no-query originserver ssl sslflags=NO_DEFAULT_CA sslflags=DONT_VERIFY_PEER name=webmin1<br>acl localnet src 10.0.0.0/8# RFC1918 possible internal network<br>acl localnet src 172.16.0.0/12# RFC1918 possible inte https://www.opennet.ru/openforum/vsluhforumID12/7231.html#8 Sat, 12 Dec 2015 16:00:01 GMT &gt; Т.е. сейчас необходимо 2 раза вводить свои учетные данные. Можно ли как <br>&gt; то это подправить, чтобы данные первой авторизации пробрасывались дальше?<br><br>я ранее и спрашивал про авторизацию на SQUID, вы на нее хотели повесить авторизацию?. да в итоге по вашей выбранной схеме у вас две разные независимые точки авторизации, то что хотели то и получили= типа некая двух-факторная авторизация :) :)<br><br>в Zimbra можно настроить Preauth или внедрять решения типа SSO/SAML Service Provider/IdP для SQUID и Zimbra<br>можно было так же поднять nginx для проксирования и передавать нужные ZM_AUTH_TOKEN заголовки для Zimbra. смотрите в сторону Zimbra Proxy<br><br>&gt;В директиве cache-peer есть опция login=PASS. Добиться ее работы мне не удалось. <br><br>не знаю какая версия у вас Zimbra и были ли изменения авторизации в последних версиях Zimbra, если обычная Bacid Form авторизация то нужно использовать в cache_peer login=PASSTHRU<br><br>&gt;Проблема в том, что в zimbra можно либо включить, либо выключить web интерфес. А нужно &gt;ограничить доступ https://www.opennet.ru/openforum/vsluhforumID12/7231.html#7 Fri, 11 Dec 2015 04:40:01 GMT Добрый день.<br>Всем спасибо. Разобрался. Основная проблема все таки была в OpenSSL. Обновил все библиотеки и squid (пакет rpm) сам подцепил нужную версию, а дальше просто правила в squid правильно настроил и все заработало как надо. Сейчас сначала запрашивается пароль при обращении к сайту, а дальше идет перенаправление на соответствующий этому сайту внутренний сервер, включая zimbra.<br><br>Остался только 1 вопрос(не столь важный, но для самообразования интересно):<br><br>В директиве cache-peer есть опция login=PASS. Добиться ее работы мне не удалось. Возможно причина опять же в шифровании. Схема получилась следующая.<br><br>https://mail.examle.ru -&gt; запрос пароля squid -&gt; если все хорошо, проброс на https://localnetip:8443 -&gt; страница с авторизацией zimbra.<br><br>Т.е. сейчас необходимо 2 раза вводить свои учетные данные. Можно ли как то это подправить, чтобы данные первой авторизации пробрасывались дальше?<br> https://www.opennet.ru/openforum/vsluhforumID12/7231.html#6 Wed, 09 Dec 2015 18:14:04 GMT щас у вас тупо со Squid 444 https порта трафик заворачивается на Zimbra порт 8443(это и есть вебмайл интерфейс Zimbra). вы дальше собираетесь на Squid вешать LDAP авторизацию?<br> https://www.opennet.ru/openforum/vsluhforumID12/7231.html#5 Wed, 09 Dec 2015 18:05:45 GMT &gt; И так наковырял кучу информации. Мозг кипит, но немного прояснилось.<br>&gt; 1. Разобрался с OpenSSL оказывается стояла версия 0.9.8, которая не поддерживает TLS <br>&gt; 1.2 Обновил. Теперь команда openssl s_client - connect ip:8443 отрабатывает нормально <br>&gt; и ошибку не дает.<br>&gt; 2. В системе продолжает работать также старая версия OpenSSL и удалить ее <br>&gt; не могу.<br>&gt; 3. Squid 3.5.10 упорно использует библиотеку из старой версии, т.е. libcrypto.so.0.9.8 <br>&gt; Ну и вопрос как заставить squid использовать для ssl более новую библиотеку. <br><br>то что вы обновляли, вы обновляли openssl и только. касательно библиотеки openssl, то нужно обновлять libopenssl1(или openssl1) чтобы приложения могли пользоваться библиотеками openssl<br><br>в SLES да используется 0.9.8j если не ошибаюсь версия. если у вас есть SUSE Linux Enterprise Server subscription то можете воспользоваться официальным методом по установки 1.0.X версии этих библиотек: https://www.suse.com/communities/blog/introducing-the-suse-linux-enterprise-11-security-module/<br><br>н https://www.opennet.ru/openforum/vsluhforumID12/7231.html#4 Mon, 07 Dec 2015 11:38:58 GMT И так наковырял кучу информации. Мозг кипит, но немного прояснилось.<br>1. Разобрался с OpenSSL оказывается стояла версия 0.9.8, которая не поддерживает TLS 1.2 Обновил. Теперь команда openssl s_client - connect ip:8443 отрабатывает нормально и ошибку не дает.<br>2. В системе продолжает работать также старая версия OpenSSL и удалить ее не могу. <br>3. Squid 3.5.10 упорно использует библиотеку из старой версии, т.е. libcrypto.so.0.9.8<br><br>Ну и вопрос как заставить squid использовать для ssl более новую библиотеку.<br> https://www.opennet.ru/openforum/vsluhforumID12/7231.html#3 Mon, 07 Dec 2015 04:09:03 GMT &gt;&gt; Добрый день.<br>&gt;&gt; Стоит сервер SLES 11 SP4. Подключен один конец в инет, другой в <br>&gt;&gt; локальную сеть. На сервере установлена Zimbra. Если подключаться из локальной сети <br>&gt;&gt; или из инета напрямую все хорошо. Но нужна LDAP авторизация из <br>&gt;&gt; инета <br>&gt; Подождите, а почему ldap-авторизация невозможна сейчас? И по каким критериям было решено, <br>&gt; что squid поможет ldap-авторизации?<br><br>В zimra авторизация через ldap есть и настроена. Планируется использование исключительно web интерфейса для почты. Проблема в том, что в zimbra можно либо включить, либо выключить web интерфес. А нужно ограничить доступ с внешки до zimbra. Поэтому и возникла идея обратного прокси. В составе zimbra есть обратный прокси на базе nginx. Беглый просмотр документации показал, что nginx (из коробки) не поддерживает ldap авторизацию, только через внешний модуль, поэтому и возникла идея использовать для этих целей squid.<br> https://www.opennet.ru/openforum/vsluhforumID12/7231.html#2 Sat, 05 Dec 2015 17:22:56 GMT &gt; Добрый день.<br>&gt; Стоит сервер SLES 11 SP4. Подключен один конец в инет, другой в <br>&gt; локальную сеть. На сервере установлена Zimbra. Если подключаться из локальной сети <br>&gt; или из инета напрямую все хорошо. Но нужна LDAP авторизация из <br>&gt; инета<br><br>Подождите, а почему ldap-авторизация невозможна сейчас? И по каким критериям было решено, что squid поможет ldap-авторизации?<br> https://www.opennet.ru/openforum/vsluhforumID12/7231.html#1 Fri, 04 Dec 2015 13:30:28 GMT автоген-&gt;ж*па-&gt;гланды<br>google:// nginx proxy_pass https<br>