- Squid как обратный прокси, omnomnim, 16:30 , 04-Дек-15 (1) +2
- Squid как обратный прокси, keir, 20:22 , 05-Дек-15 (2)
- Squid как обратный прокси, Sandman_VO, 07:09 , 07-Дек-15 (3)
>> Добрый день. >> Стоит сервер SLES 11 SP4. Подключен один конец в инет, другой в >> локальную сеть. На сервере установлена Zimbra. Если подключаться из локальной сети >> или из инета напрямую все хорошо. Но нужна LDAP авторизация из >> инета > Подождите, а почему ldap-авторизация невозможна сейчас? И по каким критериям было решено, > что squid поможет ldap-авторизации?В zimra авторизация через ldap есть и настроена. Планируется использование исключительно web интерфейса для почты. Проблема в том, что в zimbra можно либо включить, либо выключить web интерфес. А нужно ограничить доступ с внешки до zimbra. Поэтому и возникла идея обратного прокси. В составе zimbra есть обратный прокси на базе nginx. Беглый просмотр документации показал, что nginx (из коробки) не поддерживает ldap авторизацию, только через внешний модуль, поэтому и возникла идея использовать для этих целей squid.
- Squid как обратный прокси, Sandman_VO, 14:38 , 07-Дек-15 (4)
И так наковырял кучу информации. Мозг кипит, но немного прояснилось. 1. Разобрался с OpenSSL оказывается стояла версия 0.9.8, которая не поддерживает TLS 1.2 Обновил. Теперь команда openssl s_client - connect ip:8443 отрабатывает нормально и ошибку не дает. 2. В системе продолжает работать также старая версия OpenSSL и удалить ее не могу. 3. Squid 3.5.10 упорно использует библиотеку из старой версии, т.е. libcrypto.so.0.9.8Ну и вопрос как заставить squid использовать для ssl более новую библиотеку.
- Squid как обратный прокси, Sandman_VO, 07:40 , 11-Дек-15 (7)
Добрый день. Всем спасибо. Разобрался. Основная проблема все таки была в OpenSSL. Обновил все библиотеки и squid (пакет rpm) сам подцепил нужную версию, а дальше просто правила в squid правильно настроил и все заработало как надо. Сейчас сначала запрашивается пароль при обращении к сайту, а дальше идет перенаправление на соответствующий этому сайту внутренний сервер, включая zimbra.Остался только 1 вопрос(не столь важный, но для самообразования интересно): В директиве cache-peer есть опция login=PASS. Добиться ее работы мне не удалось. Возможно причина опять же в шифровании. Схема получилась следующая. https://mail.examle.ru -> запрос пароля squid -> если все хорошо, проброс на https://localnetip:8443 -> страница с авторизацией zimbra. Т.е. сейчас необходимо 2 раза вводить свои учетные данные. Можно ли как то это подправить, чтобы данные первой авторизации пробрасывались дальше?
|