Debian Squid 3.5.8 sll_bump с авторизацией LDAP как?

Question

[Евгений Денисов]

Добрый день!
Настроен squid 3.5.8 с авторизацией Active Directory и использованием хелперов, тут все понятно работает.
На выходных решил попробовать опираясь на данную статью:
habrahabr.ru/post/272733
Так как вопрос с инспектированием SSL давно стоит.
По статье все получилось, огромное спасибо её создателю. Но ssl_bump работает только в прозрачном режиме, заставить его работать с авторизацией не получилось. Может кто подскажет куда копать? В прозрачном режиме не устраиваем работа так как есть ряд серверов терминального доступа(то есть даже по IP создать правила не получится).
Нужно чтобы была авторизация на основе групп Active Directory прозрачная для пользователя( по http пользователь даже не понимает что видны все его действия на прокси).
Забыл добавить браузеры настроены с использованием wpad.dat либо статически указан прокси сервер!
Может кто пытался запустить данную конфигурацию?

Answer 1

[Евгений Денисов]

Поискал да действительно такое возможно, такое издавна было возможно когда еще использовали динамическую генерацию сертификатов. То есть инспектирование SSL средствами подмены сертификата.
Опробую отпишусь что вышло!

Comments

[Никита Парфенович]

ок, только вот Вам придется сертификаты всем юзерам ставить) иначе будет ругань в браузерах. Хотя видал на буржуйских сайтах отписки, что у людей получилось заставить браузеры не ругаться на сертификаты, при этом подменяя их на стороне Кальмара, и при этом всем не устанавливая сертификат сервера на клиентские ПК

[Евгений Денисов]

Никита Парфенович: Да это то я уже понял! Раскидать сертификаты не проблема через ГПО. Вопрос в другом в такой схеме инспектирования видел отписки людей, что сайты особенно банковские корректно не работают:(
Хотелось бы конечно по Вашей схеме без подмены сертификатов. Я отписывался на Вашем сайте по поводу именно авторизации и https_port без опций intercept Вы обещали пообщаться с разработчиками получится?

[Никита Парфенович]

Евгений Денисов: разработчики пока молчат.... Про https_port без intercept где-то тут на тостере я уже отписывался. В общем, судя по оф.документации, можно ssl_bump возложить на http_port директиву, указав в параметрах нужные опции, и соответственно направлять 80 и 443 порты на него.

Answer 2

[Никита Парфенович]

Да, Кальмар в директиве HTTPS_PORT требует параметр intercept. Я не проверял, но судя по документации на оф.сайте можно ssl_bump переложить на плечи HTTP_PORT, указав нужные параметры именно в ней

Comments

[Евгений Денисов]

То есть в итоге получается что http и https мы будем пускать через один порт 3128 (по-умолчанию)?

[Никита Парфенович]

Евгений Денисов: да