rejik и squid с авторизацией в AD

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

rejik и squid с авторизацией в AD

Непрочитанное сообщение dvg_lab » 2007-09-13 16:40:37

народ, а как режик воспримет ситуаию когда сквид авторизует юзеров в AD и соотв. нужно юзерам nachalnik и director разрешить ходить на все сайты, а остальным обрезать скачивание mp3, avi и тд... вроде у режика в доке есть пункт allow_id <login> и типа можно прописать юзеров, но как он отреагирует на доменный префикс? Тестового сервака просто нету не могу попробовать... :(
FreeBSD the power to serve.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение Alex Keda » 2007-09-13 16:45:56

а откуда преффикс?

Код: Выделить всё

nnvsrv# id akeda
uid=10000(akeda) gid=10000(domain users) groups=10000(domain users)
nnvsrv#
Убей их всех! Бог потом рассортирует...

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение -cat- » 2007-09-13 21:54:26

Никак не воспримет, режику юзеры AD по барабану, он-режик получит только то что передаст ему сквид, а сквид представления об AD также не имеет, этим занимается winbind.
work_id в режике это логины пользователей которые получил сквид, а id это то что присвоил winbind, который со сквидом такой информацией не делится.
Технология такая сквид получил логин и пароль, затем передал это ntlm_auth, последний через winbind залез в AD проверил и ответил либо OK либо ERR, далее сквид если OK все что имеет (логин, IP-адрес, запрос, и еще чего-то) передаст на обработку режику, а соответственно если ERR - отразит.
И последнее в squidGuard прикрутили ldap авторизацию, вот здесь наверное можно поиграться.

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение dvg_lab » 2007-09-13 22:31:11

а меня вот что беспокоит

Код: Выделить всё

%id druginin
id: druginin: no such user
%id TJ\\druginin
uid=10000(TJ\druginin) gid=10000(TJ\domain users) groups=10000(TJ\domain users), 10005(TJ\domain admins), 10007(TJ\office), 10009(TJ\ost), 10020(TJ\it), 10036(TJ\ostproxyusers)
Кругом доменный префикс и я боюсь что сквид будет отдавать режику юзера не как druginin, а как TJ\druginin из-за чего у режика может съехать крыша, вобщем наверное надо пробовать по любому.

2lis: как ты избавился от доменного префикса?
FreeBSD the power to serve.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение -cat- » 2007-09-13 22:36:43

Доменного префикса может и не быть все зависит от настроек sambы

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение Alex Keda » 2007-09-13 23:18:49

его и небыло...
специально ничё не дела.
конфиг могу выложить завтра
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение dvg_lab » 2007-09-14 8:18:03

lissyara писал(а):его и небыло...
специально ничё не дела.
конфиг могу выложить завтра
давай самбовый конфиг, явно оно где-то там астраиваецо
FreeBSD the power to serve.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение -cat- » 2007-09-14 8:30:52

2dvg_lab

Код: Выделить всё

winbind use default domain = yes 
имеется в smb.conf

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение Alex Keda » 2007-09-14 8:31:08

Код: Выделить всё

[global]
        workgroup = MYDOMAIN
        security = ADS
        password server = MYDOMAIN.LOCAL
        realm = MYDOMAIN.LOCAL
        netbios name = PRMSRV
        server string = SAMBA shares server
#       log level = 10
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        # for mail
        template homedir = /shares/mail/%U
        # added by lissyara 2007-06-21 in 10:36
        #magic script = /root/scripts/create_user_dir.sh %U
#[printers]
#       comment = All Printers
#       path = /var/spool/samba
#       printable = Yes
#       browseable = No
#       use client driver = yes
#       public = No

я насколько помню

Код: Выделить всё

winbind use default domain = yes
дело в этом
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение Alex Keda » 2007-09-14 8:31:37

20 сек разницы :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение dvg_lab » 2007-09-14 9:18:28

lissyara писал(а):20 сек разницы :)
такое впечатление что ты живешь на этом сайте :)
действительно юзе дефаулт было то что надо, но зато поимел опять непонятный секис с winbindd. Нетрадиционный я бы сказал.
Вобщем эта падла есс-но отвалилась когда я поменял эту строчку в smb.conf, винбинд перестал запускацо, грит нет прав на winbindd_privileged, я уже знаю эту фишку - убиваю его, винбинд запусаецо. теперь выставляю права 777 почему-то только с ними оно нормально работает. Но эта дира winbindd_privileged явно какая-то левая потому что входишь в нее миднайт командиром и он снизу ругаецо шо типа

Код: Выделить всё

Warning: Cannot change to /var/db/samba/winbindd_privileged.
вобщем после шаманств по перезапуску винбинда, удалению диры и установке прав на нее, оно опять работает. Найти бы только корень зла :evil:
пелефон блин добрая сотня юзеров оборвала не раздумывая, так и не дав спокойно понять шо ж то було...
FreeBSD the power to serve.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение Alex Keda » 2007-09-14 10:19:05

дык - надо вечером или утром пораньше....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение dvg_lab » 2007-09-14 12:14:16

lissyara писал(а):дык - надо вечером или утром пораньше....
да я и так мля домой в 10 прихожу, задолбало уже...
тут такой вот вопрос

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
работает, а

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=office
ниработаит. Хотя до того как поубирал доменные префиксы оно работало, то есть с TJ\\office работало без вопросов. Что это может быть?
Прям блин все что связано с виндавсом ниработаед :)
FreeBSD the power to serve.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение Alex Keda » 2007-09-14 13:01:08

а от х.з...
я эту тему ещё не рыл
Убей их всех! Бог потом рассортирует...

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение -cat- » 2007-09-14 13:19:07

А что выдает

Код: Выделить всё

wbinfo -n office
В данном случае как раз надо четко прописать

Код: Выделить всё

 -requare-membership-of=TJ\\office

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение dvg_lab » 2007-09-14 13:28:12

-cat- писал(а):А что выдает

Код: Выделить всё

wbinfo -n office
выдает

Код: Выделить всё

%wbinfo -n office
S-1-5-21-1630827352-86845883-526660263-2412 Domain Group (2)
я вот че думаю, раньше был префикс домена теперь я его типа убрал, а соответствие юзеров и групп в tdbsam осталось? он же сам автоматом им всем присвоил эти id выше 10000 как прописано в smb.conf... мож тут собака порылась?
FreeBSD the power to serve.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение -cat- » 2007-09-14 13:38:35

Технически можешь конечно перезапустить winbind и squid, но опция должна быть с указанием домена.

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение dvg_lab » 2007-09-14 17:30:37

-cat- писал(а):Технически можешь конечно перезапустить winbind и squid, но опция должна быть с указанием домена.
указал с доменом - заработало... ну и слава Богу... теперь осталось режик заточить...
FreeBSD the power to serve.

smertnik
рядовой
Сообщения: 27
Зарегистрирован: 2007-09-29 9:38:03

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение smertnik » 2007-10-04 13:03:28

Здравствуйте.

Есть такая задача, некоторым пользователям заблокировать доступ к определенным сайтам, на основе ntml аутентификации, правило для груп которое сдесь обсуждалось вроде работает, но в итоге выскакивает окно для ввода имени и пароля (базовая аутентификация), хотя правило поставил на самый верх, в чем дело не пойму.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение Alex Keda » 2007-10-04 13:10:28

а отдельную тему не создаётся?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение f0s » 2007-10-11 8:09:35

довольно забавно, но чтобы работала авторизация сквида via ntlm (используется winbindd), то нужно написано в хелпе дать права на /var/db/samba/winbindd_privileged/

однако когда делаешь chown -R squid /var/db/samba/winbindd_privileged/
сквид окейно работает и т.п. НО после этого если перезапустить самбу, то winbindd не стартуется, ругается что не может попасть туда.. я так думаю что это из-за того, что группа wheel в которую входит рут не имеет права на запись.. так что видимо надо дать еще chmod 770
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: rejik и squid с авторизацией в AD

Непрочитанное сообщение f0s » 2007-10-11 8:19:58

однако не так. нужно сделать на папку права root:squid
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]