rejik и squid с авторизацией в AD

[dvg_lab]

народ, а как режик воспримет ситуаию когда сквид авторизует юзеров в AD и соотв. нужно юзерам nachalnik и director разрешить ходить на все сайты, а остальным обрезать скачивание mp3, avi и тд... вроде у режика в доке есть пункт allow_id <login> и типа можно прописать юзеров, но как он отреагирует на доменный префикс? Тестового сервака просто нету не могу попробовать...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

а откуда преффикс?

Код: Выделить всё

nnvsrv# id akeda
uid=10000(akeda) gid=10000(domain users) groups=10000(domain users)
nnvsrv#

[-cat-]

Никак не воспримет, режику юзеры AD по барабану, он-режик получит только то что передаст ему сквид, а сквид представления об AD также не имеет, этим занимается winbind.
work_id в режике это логины пользователей которые получил сквид, а id это то что присвоил winbind, который со сквидом такой информацией не делится.
Технология такая сквид получил логин и пароль, затем передал это ntlm_auth, последний через winbind залез в AD проверил и ответил либо OK либо ERR, далее сквид если OK все что имеет (логин, IP-адрес, запрос, и еще чего-то) передаст на обработку режику, а соответственно если ERR - отразит.
И последнее в squidGuard прикрутили ldap авторизацию, вот здесь наверное можно поиграться.

[dvg_lab]

а меня вот что беспокоит

Код: Выделить всё

%id druginin
id: druginin: no such user
%id TJ\\druginin
uid=10000(TJ\druginin) gid=10000(TJ\domain users) groups=10000(TJ\domain users), 10005(TJ\domain admins), 10007(TJ\office), 10009(TJ\ost), 10020(TJ\it), 10036(TJ\ostproxyusers)

Кругом доменный префикс и я боюсь что сквид будет отдавать режику юзера не как druginin, а как TJ\druginin из-за чего у режика может съехать крыша, вобщем наверное надо пробовать по любому.

2lis: как ты избавился от доменного префикса?

[-cat-]

Доменного префикса может и не быть все зависит от настроек sambы

[Alex Keda]

его и небыло...
специально ничё не дела.
конфиг могу выложить завтра

[dvg_lab]

его и небыло...
специально ничё не дела.
конфиг могу выложить завтра

давай самбовый конфиг, явно оно где-то там астраиваецо

[-cat-]

2dvg_lab

Код: Выделить всё

winbind use default domain = yes 

имеется в smb.conf

[Alex Keda]

Код: Выделить всё

[global]
        workgroup = MYDOMAIN
        security = ADS
        password server = MYDOMAIN.LOCAL
        realm = MYDOMAIN.LOCAL
        netbios name = PRMSRV
        server string = SAMBA shares server
#       log level = 10
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        # for mail
        template homedir = /shares/mail/%U
        # added by lissyara 2007-06-21 in 10:36
        #magic script = /root/scripts/create_user_dir.sh %U
#[printers]
#       comment = All Printers
#       path = /var/spool/samba
#       printable = Yes
#       browseable = No
#       use client driver = yes
#       public = No

я насколько помню

Код: Выделить всё

winbind use default domain = yes

дело в этом

[Alex Keda]

20 сек разницы

[dvg_lab]

20 сек разницы

такое впечатление что ты живешь на этом сайте
действительно юзе дефаулт было то что надо, но зато поимел опять непонятный секис с winbindd. Нетрадиционный я бы сказал.
Вобщем эта падла есс-но отвалилась когда я поменял эту строчку в smb.conf, винбинд перестал запускацо, грит нет прав на winbindd_privileged, я уже знаю эту фишку - убиваю его, винбинд запусаецо. теперь выставляю права 777 почему-то только с ними оно нормально работает. Но эта дира winbindd_privileged явно какая-то левая потому что входишь в нее миднайт командиром и он снизу ругаецо шо типа

Код: Выделить всё

Warning: Cannot change to /var/db/samba/winbindd_privileged.

вобщем после шаманств по перезапуску винбинда, удалению диры и установке прав на нее, оно опять работает. Найти бы только корень зла
пелефон блин добрая сотня юзеров оборвала не раздумывая, так и не дав спокойно понять шо ж то було...

[Alex Keda]

дык - надо вечером или утром пораньше....

[dvg_lab]

дык - надо вечером или утром пораньше....

да я и так мля домой в 10 прихожу, задолбало уже...
тут такой вот вопрос

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

работает, а

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=office

ниработаит. Хотя до того как поубирал доменные префиксы оно работало, то есть с TJ\\office работало без вопросов. Что это может быть?
Прям блин все что связано с виндавсом ниработаед

[Alex Keda]

а от х.з...
я эту тему ещё не рыл

[-cat-]

А что выдает

Код: Выделить всё

wbinfo -n office

В данном случае как раз надо четко прописать

Код: Выделить всё

 -requare-membership-of=TJ\\office

[dvg_lab]

А что выдает

Код: Выделить всё

wbinfo -n office

выдает

Код: Выделить всё

%wbinfo -n office
S-1-5-21-1630827352-86845883-526660263-2412 Domain Group (2)

я вот че думаю, раньше был префикс домена теперь я его типа убрал, а соответствие юзеров и групп в tdbsam осталось? он же сам автоматом им всем присвоил эти id выше 10000 как прописано в smb.conf... мож тут собака порылась?

[-cat-]

Технически можешь конечно перезапустить winbind и squid, но опция должна быть с указанием домена.

[dvg_lab]

Технически можешь конечно перезапустить winbind и squid, но опция должна быть с указанием домена.

указал с доменом - заработало... ну и слава Богу... теперь осталось режик заточить...

[smertnik]

Здравствуйте.

Есть такая задача, некоторым пользователям заблокировать доступ к определенным сайтам, на основе ntml аутентификации, правило для груп которое сдесь обсуждалось вроде работает, но в итоге выскакивает окно для ввода имени и пароля (базовая аутентификация), хотя правило поставил на самый верх, в чем дело не пойму.

[Alex Keda]

а отдельную тему не создаётся?

[f0s]

довольно забавно, но чтобы работала авторизация сквида via ntlm (используется winbindd), то нужно написано в хелпе дать права на /var/db/samba/winbindd_privileged/

однако когда делаешь chown -R squid /var/db/samba/winbindd_privileged/
сквид окейно работает и т.п. НО после этого если перезапустить самбу, то winbindd не стартуется, ругается что не может попасть туда.. я так думаю что это из-за того, что группа wheel в которую входит рут не имеет права на запись.. так что видимо надо дать еще chmod 770

[f0s]

однако не так. нужно сделать на папку права root:squid