Статья squid+AD

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.

Ответить


Этот вопрос предназначен для предотвращения автоматической отправки форм спам-ботами.
Смайлики
:smile: :( ;-) :roll: :pardon: 8) :x :oops: :shock: :cz2: :-D :ROFL: :Yahoo!: :cry: :Search: :Bravo: :good: :bad: :sorry: :no: :unknown: :evil: :crazy: :"": :fool: :-o :drinks: :st: :bn:
Ещё смайлики…

BBCode ВКЛЮЧЁН
[img] ВКЛЮЧЁН
[flash] ОТКЛЮЧЕН
[url] ВКЛЮЧЁН
Смайлики ВКЛЮЧЕНЫ

Обзор темы
   

Если вы не хотите добавлять вложения, оставьте поля пустыми.

Развернуть Обзор темы: Статья squid+AD

Re: Статья squid+AD

Сообщение kaig » 2013-12-24 8:44:30

список запрещенных сайтов - бесполезен, если пользователь введет в адресной строке https://сайт.ру, то с легкостью сможет зайти, т.к squid собран без поддержки ssl, без сертификатов.

Re: Статья squid+AD

Сообщение luckyy » 2013-10-24 14:02:17

St@yt писал(а):привет.... поднял эту связку на основе статьи.... работает....
тут в постах несколько раз всплывает вопрос что сквид не реагирует на переводы юзеров домена из одной группы в другую.... я сам над этим попарился..... :cz2:
да, обьяснение этого вопроса конечно стоило бы добавить в статью....
я решал его след образом:
оперативность реагирования зависит от времени хранения кеша как в SAMBA, так и в Sqwuid....

Код: Выделить всё

smb.conf
winbind cache time = 5 (к примеру)

на 0 у меня winbind просто вис....
в squid.conf важны 2 параметра:
ttl=n (Time-To-Live, время жизни) в секундах для хранения результатов отработки внешнего ACL.(По умолчанию установлено в 3600 т.е. 1 час).
negative_ttl=n TTL в секундах для хранения отрицательных результатов отработки внешнего ACL. (По умолчанию, установлено значение такое же как ttl)

Код: Выделить всё

squid.conf
external_acl_type nt_group ttl=5 negative_ttl=5 %LOGIN  /usr/local/libexec/squid/wbinfo_group.pl

естественно такие заначения приемлемы на этапе тестов, при большой загрузке этого делать не соит....
но обновления кеша можно добиться и ничего не перегружая.... просто после изменения в группах AD необходимо в ручную авторизовать юзера:

Код: Выделить всё

# wbinfo --authenticate=domain+user%user_pass

у меня так работает....

и в догонку...
veles писал(а):у меня получаться, что если есть юзер в домене то его авторизация происходит в сквиде по любому и БЕЗ АВТОРИЗАЦИИ ЕГО В ДОМЕНЕ, это значит то что юзеру не обязательно регистрироваться в домена ему просто достаточно числиться в нём ... А это очень плохо !!! Короче может кто знает как сделать так что юзер без авторизации не сможет пользоваться интернетом ?


как вариант..... помоему можно через политики или скриптом, чтобы при заходе в систему юзер помещался в нужную руппу.... ну и время кеширования соответственное сделать....

Отличное замечание, тоже интересует этот вопрос, как можно рулить временем обновления, при переходе пользователя из группы в группу?!

Re: Статья squid+AD

Сообщение Michael /780 » 2013-01-18 21:33:58

Доброго времени суток!

Настроил авторизацию сквида в домене Windows 2008 по статье. Не хочет авторизовать ntlm, запрашивает пароль, воожу доменный - не принимает. Проблем с вводом в домен не было, пользователи и группы нормально отрабатываются wbinfo. Как бороться? Надо настроить без ввода пароля.
offtopBSD 9.1 AMD64, Squid 2.7
Авторизуюсь клиентом Windows 7 x64, IE

Re: Статья squid+AD

Сообщение time12345 » 2013-01-05 0:49:37

а чего тема в разделе OpenBSD ?

Re: Статья squid+AD

Сообщение burder » 2012-12-26 9:39:10

Так эта чудесная связка на данный момент работает?
Не чего не поменялось ?

Re: Статья squid+AD

Сообщение ZvookieJoo » 2012-11-26 16:40:36

Почему-то не могу разобраться с работой хелпера:
ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMKNIGI\Domain Users" -d10 -I /tmp

ничего не выводит. Пробовал менять winbind separator, дальше просто не знаю, куда крутить.

Re: Статья squid+AD

Сообщение TheDeadOne » 2012-05-21 12:16:13

Пришлось обезьяничать дальше. После рестарта winbind /var/run/samba/winbindd_privileged/pipe снова имел права root:root, с которыми сквид работать отказывается. Добавил в /etc/init.d/winbind после строки
start-stop-daemon --start --quiet --oknodo --exec $DAEMON -- $WINBINDD_OPTS
строки
sleep 2
chgrp proxy $PIDDIR/winbindd_privileged/pipe


Работает. Но это не наши методы! Меня это угнетает. Как сделать правильно?

Re: Статья squid+AD

Сообщение TheDeadOne » 2012-05-21 6:14:44

TheDeadOne писал(а):
CrashBoom писал(а):Товарищи попал в ситуацию, имееться у меня сервант с samba-3.0.28 и squid-2.6.17 всё это дело под FreeBSD 8.0-CURRENT. По статье всё настроил и появилась у меня непонятная мне проблемка по ntlm_auth --helper-protocol=squid-2.5-basic авторизация проходит а вот по ntlm_auth --helper-protocol=squid-2.5-ntlmssp нет. Подскажите куда мне копнуть чё почитать.


Аналогичная ситуация. ntlmssp не работает, basic работает.

Debian 6.0.3
Squid 3.1.19
Samba 3.6.5

Сервер в домене. Тикеты kerberos получает, wbinfo всё показывает. Клиент тоже в домене. Исправно работает со стоящим рядом сквидом 2.6 на фряхе. Проверял с клиента и IE, и FF, и Chrome.

В access.log

Код: Выделить всё

1337322196.918      8 192.168.1.100 TCP_DENIED/407 4292 GET http://www.yandex.ru/ - NONE/- text/html


Помогла замена в /etc/init.d/winbind строки
chgrp winbindd_priv $PIDDIR/winbindd_privileged/ || return 1
на
chgrp proxy $PIDDIR/winbindd_privileged/ || return 1

Обезьяний метод, но работает.

Re: Статья squid+AD

Сообщение TheDeadOne » 2012-05-18 9:56:36

wary писал(а):Не отрабатывается команда id на пользователя домена. Делал все как в статье:

Код: Выделить всё

squid$ id akeda
uid=10000(akeda) gid=10000(domain users) groups=10000(domain users)


Вот что вылазиет:

Код: Выделить всё

inetgate# id medvedev
id: medvedev: no such user


Предыдущие тесты по статье - отрабатываются без проблем (билет керберос получил, машина внеслась в домен, вижу группы/пользователей домена)

Подскажите что делать ?????


Аналогичная ситуация. Оно вообще надо? У меня на этом же серваке успешно автаризуют доменных пользователей OTRS и OpenFire.

Код: Выделить всё

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         files winbind compat
group:          files winbind compat
shadow:         files winbind compat

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Re: Статья squid+AD

Сообщение TheDeadOne » 2012-05-18 9:56:08

CrashBoom писал(а):Товарищи попал в ситуацию, имееться у меня сервант с samba-3.0.28 и squid-2.6.17 всё это дело под FreeBSD 8.0-CURRENT. По статье всё настроил и появилась у меня непонятная мне проблемка по ntlm_auth --helper-protocol=squid-2.5-basic авторизация проходит а вот по ntlm_auth --helper-protocol=squid-2.5-ntlmssp нет. Подскажите куда мне копнуть чё почитать.


Аналогичная ситуация. ntlmssp не работает, basic работает.

Debian 6.0.3
Squid 3.1.19
Samba 3.6.5

Сервер в домене. Тикеты kerberos получает, wbinfo всё показывает. Клиент тоже в домене. Исправно работает со стоящим рядом сквидом 2.6 на фряхе. Проверял с клиента и IE, и FF, и Chrome.

В access.log

Код: Выделить всё

1337322196.918      8 192.168.1.100 TCP_DENIED/407 4292 GET http://www.yandex.ru/ - NONE/- text/html

Re: Статья squid+AD

Сообщение reanimat0r » 2012-03-28 18:07:32

разобрался уже сам
спасибо

Re: Статья squid+AD

Сообщение reanimat0r » 2012-03-13 20:09:42

предыдущем посте немножко ошибся /usr/local/libexec/squid/wbinfo_group.pl запускаю

Re: Статья squid+AD

Сообщение reanimat0r » 2012-03-13 19:56:44

здравствуйте
FreeBSD8.0
squid squid-3.1.19 HTTP Caching Proxy
samba36-3.6.3
все делал по статье и такая проблема
есть пользователи temp1 и temp2 они оба входят в группу inet_users
команда echo temp1 inet_users | /usr/local/libexec/squid/wbinfo.pl дает ОК
echo temp2 inet_users | /usr/local/libexec/squid/wbinfo.pl дает ERR
причем вчера все нормально работало а сегодня уже только одного пользователя из этой группы видит
сквид и самбу перегружал не пойму в чем загвоздка
да еще и с пользователем admin тоже входит в группу inet_users но также выдает ERR
помогите плиз

Re: Статья squid+AD

Сообщение vadim64 » 2011-11-27 20:38:26

вроде не в том разделе тема

Re: Статья squid+AD

Сообщение e1teck » 2011-07-07 18:26:00

Всем привет! Товарищи подскажите пожалуйста решение в ситуации. Имеем сквид+ад. Все работает по пользователям. Имеется авторизация через ад и basic. Но при обработке аксес лога сквида саргом появляются ип адреса в отчете, хотя пользователь в таком отчете уже присутствует. Еще момент при вложениях в письмо на мэйлру запрашивает имя пользователя и пароль. При соединении с любимой радиостанцией опять же логин и пароль подскажите пожалуйста что тут можно сделать как пролечить?! Заранее благодарен!

Re: Статья squid+AD

Сообщение St@yt » 2011-06-29 19:28:53

привет.... поднял эту связку на основе статьи.... работает....
тут в постах несколько раз всплывает вопрос что сквид не реагирует на переводы юзеров домена из одной группы в другую.... я сам над этим попарился..... :cz2:
да, обьяснение этого вопроса конечно стоило бы добавить в статью....
я решал его след образом:
оперативность реагирования зависит от времени хранения кеша как в SAMBA, так и в Sqwuid....

Код: Выделить всё

smb.conf
winbind cache time = 5 (к примеру)

на 0 у меня winbind просто вис....
в squid.conf важны 2 параметра:
ttl=n (Time-To-Live, время жизни) в секундах для хранения результатов отработки внешнего ACL.(По умолчанию установлено в 3600 т.е. 1 час).
negative_ttl=n TTL в секундах для хранения отрицательных результатов отработки внешнего ACL. (По умолчанию, установлено значение такое же как ttl)

Код: Выделить всё

squid.conf
external_acl_type nt_group ttl=5 negative_ttl=5 %LOGIN  /usr/local/libexec/squid/wbinfo_group.pl

естественно такие заначения приемлемы на этапе тестов, при большой загрузке этого делать не соит....
но обновления кеша можно добиться и ничего не перегружая.... просто после изменения в группах AD необходимо в ручную авторизовать юзера:

Код: Выделить всё

# wbinfo --authenticate=domain+user%user_pass

у меня так работает....

и в догонку...
veles писал(а):у меня получаться, что если есть юзер в домене то его авторизация происходит в сквиде по любому и БЕЗ АВТОРИЗАЦИИ ЕГО В ДОМЕНЕ, это значит то что юзеру не обязательно регистрироваться в домена ему просто достаточно числиться в нём ... А это очень плохо !!! Короче может кто знает как сделать так что юзер без авторизации не сможет пользоваться интернетом ?


как вариант..... помоему можно через политики или скриптом, чтобы при заходе в систему юзер помещался в нужную руппу.... ну и время кеширования соответственное сделать....

Re: Статья squid+AD

Сообщение veles » 2011-03-23 10:05:47

Статья понравилась, написана толково!!! Теперь вопрос - у меня получаться, что если есть юзер в домене то его авторизация происходит в сквиде по любому и БЕЗ АВТОРИЗАЦИИ ЕГО В ДОМЕНЕ, это значит то что юзеру не обязательно регистрироваться в домена ему просто достаточно числиться в нём ... А это очень плохо !!! Короче может кто знает как сделать так что юзер без авторизации не сможет пользоваться интернетом ?

Re: Статья squid+AD

Сообщение wk » 2010-08-01 0:38:17

вопрос. можно ли использовать fakeauth в basic аутентификации?
проблема такая: есть програмы которые не поддерживают ntlm. использую basic, но тут возникают сложности - русские пароли не работают. думаю, что fakeauth это поправит.
или может быть проблема не в свквиде, а в самбе? очень не хочется запрещать русские пароли.
кстати - все поднято на rhel. лишь некоторые моменты заимствовал из статьи.

Re: Статья squid+AD

Сообщение Alex Keda » 2010-05-09 13:50:19

а если в AD группа с подчёкриванием будет?

Re: Статья squid+AD

Сообщение kama » 2010-05-07 9:12:29

Как я пофиксил проблему использования групп AD с пробелами:
1. В ACL пишу группу заменяя пробелы на _,т.е. Full_Internet_Access
2. Добавил одну строчку в wbinfo_group.pl:

Код: Выделить всё


#
# Main loop
#
while (<STDIN>) {
        chop;
        &debug ("Got $_ from squid");
        ($user, @groups) = split(/\s+/);
        $user =~ s/%([0-9a-fA-F][0-9a-fA-F])/pack("c",hex($1))/eg;
        # test for each group squid send in it's request
        foreach $group (@groups) {
                $group =~ s/%([0-9a-fA-F][0-9a-fA-F])/pack("c",hex($1))/eg;
                $group =~ s/_/ /g;
                $ans = &check($user, $group);
                last if $ans eq "OK";
        }
        &debug ("Sending $ans to squid");
        print "$ans\n";
}




Добавил эту строку $group =~ s/_/ /g;

Re: Статья squid+AD

Сообщение click80 » 2010-03-18 12:07:22

m0ps писал(а):
click80 писал(а):
lissyara писал(а):в дистрибутиве сквида

что имеешь ввиду?

наверное то, что пакет, из которого ты устанавливал сквид не содержит скрипта wbinfo_group.pl

тогда вопрос как его прикрутить чтобы он работал?

Re: Статья squid+AD

Сообщение m0ps » 2010-03-18 9:49:15

click80 писал(а):
lissyara писал(а):в дистрибутиве сквида

что имеешь ввиду?

наверное то, что пакет, из которого ты устанавливал сквид не содержит скрипта wbinfo_group.pl

Re: Статья squid+AD

Сообщение click80 » 2010-03-18 7:32:48

lissyara писал(а):в дистрибутиве сквида

что имеешь ввиду?

Re: Статья squid+AD

Сообщение Alex Keda » 2010-03-17 23:41:20

в дистрибутиве сквида

Re: Статья squid+AD

Сообщение click80 » 2010-03-17 14:33:43

всем привет
сразу же скажу что ОС у меня не BSD, а Linux(Slackware13)
почитал конфиги в данном топике.
настраивал сквид сам. появилась проблема.
в инет пропускает всех хотя указано название группы

Код: Выделить всё

auth_param ntlm program /usr/bin/ntlm_auth \
    --helper-protocol=squid-2.5-ntlmssp \
    --require-membership-of=S-1-5-21-2112778685-1447859232-1343371117-3669
auth_param ntlm children 10
#
auth_param basic program /usr/bin/ntlm_auth \
    --helper-protocol=squid-2.5-ntlmssp \
    --require-membership-of=S-1-5-21-2112778685-1447859232-1343371117-3669
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

пробовал указывать как SID, так и название самой группы

Код: Выделить всё

DOMAIN+Access_Internet

Вчем может быть проблема?
у себя в ОС не смог найти wbinfo_group.pl. его где брать? или это фича только для ОС основанных на BSD
может конечно прочитал не внимательно :smile:. ткните носом если так))

========================================================
ЗЫ: почитал остальные ветки форума :-D . У мну такое чуство что меня забанят, тк я с Linux'ом залез в ветку BSD.
ЗЗЫ: Хотя эти ОС'ы почти ровесники. даже стартовые скрипты одинаковые используют(сам не знаюю с БСД дел не имел, но если верить Википедии............ :-D ). правда на этом сходства наверное заканчиваются.

Вернуться к началу