Спасите, а то уволят... SQUID+ICAP+etc...

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
madMax
проходил мимо
Сообщения: 6
Зарегистрирован: 2007-04-21 18:50:50
Контактная информация:

Спасите, а то уволят... SQUID+ICAP+etc...

Непрочитанное сообщение madMax » 2007-04-21 19:27:10

Всем привет.
Прембула: десять лет просисадминствовал на виндах и в чужие огороды не лазил (то есть абсолютно совсем... даже в руках не держал). Но пришел давеча босс и сказал: "хрен тебе а не деньги на лицензии для MS ISA 2004. А сидеть я не хочу..." Вот так, мля... И вот я, как последний ср...й тузик, сливаю 10 дней назад фрю и с криком "Ааааа, мляяяя...." погружаюсь. И не вылазю до сих пор.

Задача:
Есть домен W2K3, юзверей около 200, надо заменить W2K3+ISA2004 (2 двухпроцовых сервака (а трабл в том, что лицензия на 1 проц ISA стоит под пятерку КБ)

Что достигнуто
FreeBSD 6.2 + Heimdal 0.7.2 + Samba 3.0.24 + Squid 2.6.12 + ClamAV 0.9.02
Все ставлено из портов, работает.

На чем мочи моей не стало:

1. попытался связать squid (поддержка icap включена) с c-icap:
- так и не смог понять что надо ставить - толи отдельно библиотеку c-icap (что и сделал в результате: c_icap-180407.tar.gz), толи адаптированную под сквид (2.5.STABLE12-20051102) но она там для сквида 2.5, а у меня 2.6
В результате айкап не подымается с криком "Can not init loggers. Exiting..."

2. попытался связать сквид со сквидгардом:
- при открытии параметра url_rewrite_program со ссылкой на сквидгард получаю сообщение о том, что нема такого файла... хотя вот оно - на штатном месте.

3. стоит вопрос о том, как через сквидовые аксес-листы раздавать доступ по виндовым группам. Сама авторизация по доменному аккаунту работает, а как раздать сенькам по шапкам - не понимаю. Т.е. нужно создать эквиваленты исовым правилам доступа (по доменным группам+по расписанию+по цели). Как?

4. После всего этого надо поднять систему учета типа SASC - но я из тех инструкций понял только что надо апач и мускул поставить - поставил. А там еще треба тройка каких-то модулей - где, откуда... не пойму. В портах вроде нету. Мож кто знает что это и с чем есть? http://sams.perm.ru/doc/ru/soft.html

Люди, я пока не захламляю тут логами место, ибо понимаю, что куча большая и энтузиазму дармового ни у кого нету, но может чисто из состадания к виндоузнику кто поможет? А то либо свихнусь, либо уволят... :) Или нет?

Все равно спасибо.
P.S. Форумы лопачу интенсивно и статьи читаю по возможности внимательно. Собственно, во многом благодаря им и удалось продвинутся хотябы куда-то.
Хочешь насмешить бога - расскажи ему про свои планы...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-21 20:23:19

много задач озвучено.
подозреваю что важнее - раздать по группам. Антифирь потом прикрутишь.
=========
по группам вот линк http://www.sys-adm.org.ua/www/squid-ad.php
мона начть отсюда...
хотя б, принцип станет ясен.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
madMax
проходил мимо
Сообщения: 6
Зарегистрирован: 2007-04-21 18:50:50
Контактная информация:

Это уже изучено и освоено. Спасибо, работает.

Непрочитанное сообщение madMax » 2007-04-21 20:45:40

В общем надо признать, что те скромные успехи, что были сделаны мой за последние дни в освоении совершенно незнакомого поля деятельности есть прямое следствие наличия в инете подобных текстов, за что их авторам - решпект глубочайший. Однако, основная масса их описывает совершенно общие случаи - как и в упомянутой вами ссылке... равно и еще нескольких, с примерно тем же содержанием. Но без них и этого бы не удалось бы сделать.

По проблеме п.3 (Вложенные аксесс-листы)
Упомянутые доки описывают "плоские случаи", т.е. например
как в упомянуто:
--------------------------------------------
acl PEOPLE proxy_auth REQUIRED
http_access allow PEOPLE
http_access deny all
--------------------------------------------
с этим все ясно. Я помимо виндов работаю с цисками, поэтому такая структура ACL близка и понятна. Однако задача немного сложнее (а может просто сложно переключится из "виндовых" представлений в такие... незнаю.
Попробую детальнее:

acl ОТДЕЛ_1 как_ссылка_на_членство_в_доменной_группе DOMAIN\SomeGroup
(пока еще сиснтаксис не нашел, но где-то видел что-то подобное... только помоему через ldap)

acl РАБ_ВРЕМЯ_ОТДЕЛА1 .... (тут все понятно - такие есть)
acl БЕЛЫЙ_СПИСОК (тут тоже все понятно)

а теперь что с этим надо сделать (синтаксис условен):
...
http_access (!БЕЛЫЙСПИСОК & !РАБ_ВРЕМЯ & ОТДЕЛ_1) deny
...
и по срабатыванию с редиректом на соотв. страничку внутреннего сервера типа
http://..../ОТДЕЛ1/расписание.html
Для каждого отдела такой запрет. Если не подропился по дороге - последним будет allow

По смыслу прочитанного, сквидгард должен позволять нечто похожее, но я еще не дошел до деталей, так как не могу его прикрутить к сквиду. (это в п.2)
Хочешь насмешить бога - расскажи ему про свои планы...

Аватара пользователя
madMax
проходил мимо
Сообщения: 6
Зарегистрирован: 2007-04-21 18:50:50
Контактная информация:

Squid + squidGuard. No such file or directory

Непрочитанное сообщение madMax » 2007-04-21 20:55:58

Собственно, вот детали по п.2
Сквид работает, но:
если внести в squid.conf строку

url_rewrite_program = /usr/local/bin/squdGuard #проверено, он там есть

proxy-mo# squid -k parse

получаю

proxy-mo# WARNING: url_rewrite_program =: (2) No such file or directory

через шутдаун и запуск сквида по новой - рез-т тот же.
Хочешь насмешить бога - расскажи ему про свои планы...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-21 21:04:01

Код: Выделить всё

ls -al  /usr/local/bin/squdGuard 
Убей их всех! Бог потом рассортирует...

Аватара пользователя
madMax
проходил мимо
Сообщения: 6
Зарегистрирован: 2007-04-21 18:50:50
Контактная информация:

Кажется мне понятен ход ваших мылей...

Непрочитанное сообщение madMax » 2007-04-21 21:08:01

lissyara писал(а):

Код: Выделить всё

ls -al  /usr/local/bin/squdGuard 
proxy-mo# ls -al /usr/local/bin/squidGuard
-r-xr-xr-x 1 root wheel 52908 Apr 20 18:36 /usr/local/bin/squidGuard

Попробую...

Попробовал
proxy-mo# chown squid:wheel /usr/local/bin/squidGuard

Не помогло
proxy-mo# squid -k parse
WARNING: url_rewrite_program =: (2) No such file or directory
Хочешь насмешить бога - расскажи ему про свои планы...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-21 21:20:46

синтаксис точно верный?
в 2.6 много поменялось...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-04-21 21:22:58

у меня в 2.5 так было:

Код: Выделить всё

redirect_program /usr/local/bin/squidGuard
Убей их всех! Бог потом рассортирует...

Аватара пользователя
madMax
проходил мимо
Сообщения: 6
Зарегистрирован: 2007-04-21 18:50:50
Контактная информация:

Безусловно. Он другое сообщение выдает - если параметр

Непрочитанное сообщение madMax » 2007-04-21 21:23:42

lissyara писал(а):синтаксис точно верный?
в 2.6 много поменялось...
вот такие:

proxy-mo# squid -k parse
2007/04/21 22:22:35| parseConfigFile: line 17 unrecognized: 'TEST--url_rewrite_program = /usr/local/bin/squidGuard'

redirect_program:
Да, так было в 25, в доке на конфиг 26 такого параметра нет. Правда, явно не указано, что url_rewrite_program - его замена, но другого по смыслу больше нет
Хочешь насмешить бога - расскажи ему про свои планы...

Аватара пользователя
madMax
проходил мимо
Сообщения: 6
Зарегистрирован: 2007-04-21 18:50:50
Контактная информация:

с п.2 покончено. Ларчик, ессно, открывался просто

Непрочитанное сообщение madMax » 2007-04-21 21:52:22

В одних файлах *.conf параметры задаются через =, а в других - без оного...
естественно, у меня стоял знак =, что и было замечено парсером

WARNING: url_rewrite_program =: (2) No such file or directory

Только несовсем очевидно. Хотя если задуматься: файла с именем = действительно нету
:?
Человеку свойственно ошибаться. Едем дальше...
Хочешь насмешить бога - расскажи ему про свои планы...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-04-30 13:06:10

url_rewrite_program "/usr/local/sbin/redirector"

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Непрочитанное сообщение reLax » 2007-05-06 7:27:30

Код: Выделить всё

[root@dummynet /home/alex]# squid -v
Squid Cache: Version 2.6.STABLE9
...

[root@dummynet /home/alex]# cat /usr/local/etc/squid/squid.conf | grep squidGuard
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf
[root@dummynet /home/alex]# squid -k parse
[root@dummynet /home/alex]#

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Непрочитанное сообщение reLax » 2007-05-06 7:43:05

SAMS у меня тоже стоит, пришлось помучаться денек правда с ним. SQUID через доменных пользователей в итоги по группам, по времени, по лимиту траффика и т.д. Есть пользователи, которых пришлось через HTTPS пускать только через IPFW (банк клиенты всякие), то есть авторизация по IP. Так что ситуация похожая :) Так что спрашивай если что

Гость
проходил мимо

Re: Squid + squidGuard. No such file or directory

Непрочитанное сообщение Гость » 2007-05-21 15:43:26

madMax писал(а):Собственно, вот детали по п.2
Сквид работает, но:
если внести в squid.conf строку

url_rewrite_program = /usr/local/bin/squdGuard #проверено, он там есть

proxy-mo# squid -k parse

получаю

proxy-mo# WARNING: url_rewrite_program =: (2) No such file or directory

через шутдаун и запуск сквида по новой - рез-т тот же.
гг...понимаю что давно как бы тема прошла....
но мне кажется что тут дело в
url_rewrite_program = /usr/local/bin/squdGuard
SQUID пишется с через I тоесть squId а не squd

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35066
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-05-21 15:45:51

:D
Убей их всех! Бог потом рассортирует...