autenticacion nsca_auth en squid con Suse 10.1
Estimados, no se si a alguno de ustedes les paso lo mismo, he instalado el squid que viene con suse 10.1, y todo funciona bien excepto cuando quiero que mis usuarios se autentifiquen con password, para lo cual pongo la siguiente linea: auth_param basic program /usr/sbin/ncsa_auth /etc/squid/claves luego de eso, cuando le doy a squid un restart, en pocos segundos se cae el servicio, el log se los muestro a continuacion: 2006/08/02 15:02:56| Starting Squid Cache version 2.5.STABLE12 for i686-pc-linux-gnu... 2006/08/02 15:02:56| Process ID 9806 2006/08/02 15:02:56| With 4096 file descriptors available 2006/08/02 15:02:56| DNS Socket created at 0.0.0.0, port 1054, FD 6 2006/08/02 15:02:56| Adding nameserver 192.168.4.3 from squid.conf 2006/08/02 15:02:56| Adding nameserver 200.48.0.37 from squid.conf 2006/08/02 15:02:56| Adding nameserver 200.48.0.38 from squid.conf 2006/08/02 15:02:56| helperOpenServers: Starting 5 'ncsa_auth' processes 2006/08/02 15:02:56| ipcCreate: /usr/sbin/ncsa_auth: (1) Operation not permitted 2006/08/02 15:02:56| ipcCreate: /usr/sbin/ncsa_auth: (1) Operation not permitted 2006/08/02 15:02:56| ipcCreate: /usr/sbin/ncsa_auth: (1) Operation not permitted 2006/08/02 15:02:56| User-Agent logging is disabled. 2006/08/02 15:02:56| Referer logging is disabled. 2006/08/02 15:02:56| ipcCreate: /usr/sbin/ncsa_auth: (1) Operation not permitted 2006/08/02 15:02:56| ipcCreate: /usr/sbin/ncsa_auth: (1) Operation not permitted 2006/08/02 15:02:56| Unlinkd pipe opened on FD 16 2006/08/02 15:02:56| Swap maxSize 102400 KB, estimated 7876 objects 2006/08/02 15:02:56| Target number of buckets: 393 2006/08/02 15:02:56| Using 8192 Store buckets 2006/08/02 15:02:56| Max Mem size: 32768 KB 2006/08/02 15:02:56| Max Swap size: 102400 KB 2006/08/02 15:02:56| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec 2006/08/02 15:02:56| Rebuilding storage in /var/cache/squid (DIRTY) 2006/08/02 15:02:56| Using Least Load store dir selection 2006/08/02 15:02:56| Set Current Directory to /var/cache/squid 2006/08/02 15:02:56| Loaded Icons. 2006/08/02 15:02:57| Accepting HTTP connections at 0.0.0.0, port 3128, FD 18. 2006/08/02 15:02:57| Accepting ICP messages at 0.0.0.0, port 3130, FD 19. 2006/08/02 15:02:57| HTCP Disabled. 2006/08/02 15:02:57| Accepting SNMP messages on port 3401, FD 20. 2006/08/02 15:02:57| WCCP Disabled. 2006/08/02 15:02:57| Ready to serve requests. 2006/08/02 15:02:57| WARNING: basicauthenticator #1 (FD 8) exited 2006/08/02 15:02:57| WARNING: basicauthenticator #2 (FD 9) exited 2006/08/02 15:02:57| WARNING: basicauthenticator #3 (FD 10) exited 2006/08/02 15:02:57| Too few basicauthenticator processes are running FATAL: The basicauthenticator helpers are crashing too rapidly, need help! Squid Cache (Version 2.5.STABLE12): Terminated abnormally. CPU Usage: 0.024 seconds = 0.016 user + 0.008 sys Maximum Resident Size: 0 KB Page faults with physical i/o: 0 Memory usage for squid via mallinfo(): total space in arena: 2112 KB Ordinary blocks: 2032 KB 2 blks Small blocks: 0 KB 0 blks Holding blocks: 820 KB 1 blks Free Small blocks: 0 KB Free Ordinary blocks: 79 KB Total in use: 2852 KB 135% Total free: 79 KB 4% espero sus comentarios para poder encontrarle una solucion, gracias a todos de antemano. Saludos JCarlos
El Viernes, 4 de Agosto de 2006 22:31, Juan Carlos Bravo Celis escribió:
Estimados, no se si a alguno de ustedes les paso lo mismo, he instalado el squid que viene con suse 10.1, y todo funciona bien excepto cuando quiero que mis usuarios se autentifiquen con password, para lo cual pongo la siguiente linea:
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/claves
* Verifica que el soporte para autentificacion ncsa este incluido, si no instala el paquete *.src.rpm y compila.
On 05/08/06, jose maria
El Viernes, 4 de Agosto de 2006 22:31, Juan Carlos Bravo Celis escribió:
Estimados, no se si a alguno de ustedes les paso lo mismo, he instalado el squid que viene con suse 10.1, y todo funciona bien excepto cuando quiero que mis usuarios se autentifiquen con password, para lo cual pongo la siguiente linea:
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/claves
* Verifica que el soporte para autentificacion ncsa este incluido, si no instala el paquete *.src.rpm y compila.
disculpen si la pregunta es tonta, pero donde y como verifico esto..? Saludos JCarlos
On 05/08/06, jose maria
wrote: El Viernes, 4 de Agosto de 2006 22:31, Juan Carlos Bravo Celis escribió:
Estimados, no se si a alguno de ustedes les paso lo mismo, he instalado el squid que viene con suse 10.1, y todo funciona bien excepto cuando quiero que mis usuarios se autentifiquen con password, para lo cual pongo la siguiente linea:
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/claves
* Verifica que el soporte para autentificacion ncsa este incluido, si no instala el paquete *.src.rpm y compila.
disculpen si la pregunta es tonta, pero donde y como verifico esto..?
Saludos ...a menos que tu hayas compilado squid de las fuentes.. cosa poco probable..
El Sábado, 5 de Agosto de 2006 11:56, Juan Carlos Bravo Celis escribió: pero totalmente posible (porque de ser así sabrías si el soporte esta incluido...) creo que te falta algo (por lo menos con ldap que no es lo mismo pero es igual) te falta una linea mas (donde pide password) acl password proxy_auth REQUIRED (bueno esto es para ldap no se si con ncsa_noseque es así) Jaime V
On 05/08/06, Jaime Andres Velez Osorio
On 05/08/06, jose maria
wrote: El Viernes, 4 de Agosto de 2006 22:31, Juan Carlos Bravo Celis escribió:
Estimados, no se si a alguno de ustedes les paso lo mismo, he instalado el squid que viene con suse 10.1, y todo funciona bien excepto cuando quiero que mis usuarios se autentifiquen con password, para lo cual pongo la siguiente linea:
auth_param basic program /usr/sbin/ncsa_auth /etc/squid/claves
* Verifica que el soporte para autentificacion ncsa este incluido, si no instala el paquete *.src.rpm y compila.
disculpen si la pregunta es tonta, pero donde y como verifico esto..?
Saludos ...a menos que tu hayas compilado squid de las fuentes.. cosa poco probable..
El Sábado, 5 de Agosto de 2006 11:56, Juan Carlos Bravo Celis escribió: pero totalmente posible (porque de ser así sabrías si el soporte esta incluido...) creo que te falta algo (por lo menos con ldap que no es lo mismo pero es igual) te falta una linea mas (donde pide password) acl password proxy_auth REQUIRED (bueno esto es para ldap no se si con ncsa_noseque es así)
tambien probe activando el acl password, para descartar puse un archivo de claves en blanco, y tambien se caia, los permisos del archivo de claves es 644, no se si necesita permisos adicionales. Saludos JCarlos
El Sábado, 5 de Agosto de 2006 18:56, Juan Carlos Bravo Celis escribió:
disculpen si la pregunta es tonta, pero donde y como verifico esto..?
* No es una pregunta tonta, simplemente es inapropiada, evidentemente has de ponerte en contacto con Novell/SuSE , en su defecto, por si andas corto de "pasta" puedes intentarlo con gente de dudoso credito, por ejemplo el tal Camaleon .......... que me da en la nariz que no es trigo limpio, puesto que no hace vacaciones como "nosotros", aquellos que somos portadores de Valores Eternos ......... * P.D. No verfiques, instala el src.rpm de fuentes, edita y aplica tus opciones para el soporte con autentificacion ncsa, en /usr/src/packages/SPECS/fichero_jamonero_que_Fidel_nos_Cuida * Ejecuta rpmbuild -opciones fichero_jamonero_que_Fidel_nos_Cuida (basicamente -ba) y posteriormente instala el fichero rpm resultante (generalmente ubicado) en /usr/src/packages/RPMS/fichero_jamonero_que_Fidel_nos_Cuida.rpm con la orden, rpm -Uvh ../I**/fichero_jamonero_que_Fidel_nos_Cuida.rpm * Si se resiste apliquese --force --nodeps (a mayor abundamiento)
On 05/08/06, jose maria
El Sábado, 5 de Agosto de 2006 18:56, Juan Carlos Bravo Celis escribió:
disculpen si la pregunta es tonta, pero donde y como verifico esto..?
* No es una pregunta tonta, simplemente es inapropiada, evidentemente has de ponerte en contacto con Novell/SuSE , en su defecto, por si andas corto de "pasta" puedes intentarlo con gente de dudoso credito, por ejemplo el tal Camaleon .......... que me da en la nariz que no es trigo limpio, puesto que no hace vacaciones como "nosotros", aquellos que somos portadores de Valores Eternos .........
* P.D. No verfiques, instala el src.rpm de fuentes, edita y aplica tus opciones para el soporte con autentificacion ncsa, en /usr/src/packages/SPECS/fichero_jamonero_que_Fidel_nos_Cuida
* Ejecuta rpmbuild -opciones fichero_jamonero_que_Fidel_nos_Cuida (basicamente -ba) y posteriormente instala el fichero rpm resultante (generalmente ubicado) en /usr/src/packages/RPMS/fichero_jamonero_que_Fidel_nos_Cuida.rpm con la orden, rpm -Uvh ../I**/fichero_jamonero_que_Fidel_nos_Cuida.rpm
* Si se resiste apliquese --force --nodeps (a mayor abundamiento)
Un amigo me comento que el problema era de Apparmor, asi que lo actualice a la version 2.0-34.9 y seguia con problemas, finalmente funciono el squid haciendo: mv /etc/apparmor/profiles/extras/usr.sbin.squid /root/bkp/ y luego rcapparmor restart rcsquid restart y como dijo mi amigo Jimmy Montano, magia, el squid funciona. ahora la pregunta es como editar el perfil para squid de tal manera que funcione bajo un ambiente seguro..? conocen de docuementacion clara que ayude a hacerlo..? Saludos JCarlos
El Martes, 8 de Agosto de 2006 23:01, Juan Carlos Bravo Celis escribió:
Un amigo me comento que el problema era de Apparmor, asi que lo actualice a la version 2.0-34.9 y seguia con problemas, finalmente funciono el squid haciendo:
mv /etc/apparmor/profiles/extras/usr.sbin.squid /root/bkp/
y luego
rcapparmor restart rcsquid restart
y como dijo mi amigo Jimmy Montano, magia, el squid funciona.
ahora la pregunta es como editar el perfil para squid de tal manera que funcione bajo un ambiente seguro..? conocen de docuementacion clara que ayude a hacerlo..?
* El manual de AppArmor esta en la distribucion y en https://doc.usernix.org en la seccion suse/manuales. invitado invitado para entrar. * Prueba editando el perfil, /usr/sbin/squid con yast mismamente y añade una entrada para el binario /usr/sbin/ncsa_auth , con rx en principio, ves probando recargando subdomain. * Tambien a manopla en /etc/subdomain.d/usr.sbin.squid * O crea un perfil para /usr/sbin/ncsa_auth , lanza un ldd -v a /usr/sbin/ncsa_auth , ten en cuenta que sus bibliotecas dependientes tambien pueden estar afectadas por AppArmor comparalo con el listado de perfiles.
participants (3)
-
Jaime Andres Velez Osorio
-
jose maria
-
Juan Carlos Bravo Celis