Спасите, а то уволят... SQUID+ICAP+etc...
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- madMax
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2007-04-21 18:50:50
- Контактная информация:
Спасите, а то уволят... SQUID+ICAP+etc...
Всем привет.
Прембула: десять лет просисадминствовал на виндах и в чужие огороды не лазил (то есть абсолютно совсем... даже в руках не держал). Но пришел давеча босс и сказал: "хрен тебе а не деньги на лицензии для MS ISA 2004. А сидеть я не хочу..." Вот так, мля... И вот я, как последний ср...й тузик, сливаю 10 дней назад фрю и с криком "Ааааа, мляяяя...." погружаюсь. И не вылазю до сих пор.
Задача:
Есть домен W2K3, юзверей около 200, надо заменить W2K3+ISA2004 (2 двухпроцовых сервака (а трабл в том, что лицензия на 1 проц ISA стоит под пятерку КБ)
Что достигнуто
FreeBSD 6.2 + Heimdal 0.7.2 + Samba 3.0.24 + Squid 2.6.12 + ClamAV 0.9.02
Все ставлено из портов, работает.
На чем мочи моей не стало:
1. попытался связать squid (поддержка icap включена) с c-icap:
- так и не смог понять что надо ставить - толи отдельно библиотеку c-icap (что и сделал в результате: c_icap-180407.tar.gz), толи адаптированную под сквид (2.5.STABLE12-20051102) но она там для сквида 2.5, а у меня 2.6
В результате айкап не подымается с криком "Can not init loggers. Exiting..."
2. попытался связать сквид со сквидгардом:
- при открытии параметра url_rewrite_program со ссылкой на сквидгард получаю сообщение о том, что нема такого файла... хотя вот оно - на штатном месте.
3. стоит вопрос о том, как через сквидовые аксес-листы раздавать доступ по виндовым группам. Сама авторизация по доменному аккаунту работает, а как раздать сенькам по шапкам - не понимаю. Т.е. нужно создать эквиваленты исовым правилам доступа (по доменным группам+по расписанию+по цели). Как?
4. После всего этого надо поднять систему учета типа SASC - но я из тех инструкций понял только что надо апач и мускул поставить - поставил. А там еще треба тройка каких-то модулей - где, откуда... не пойму. В портах вроде нету. Мож кто знает что это и с чем есть? http://sams.perm.ru/doc/ru/soft.html
Люди, я пока не захламляю тут логами место, ибо понимаю, что куча большая и энтузиазму дармового ни у кого нету, но может чисто из состадания к виндоузнику кто поможет? А то либо свихнусь, либо уволят... Или нет?
Все равно спасибо.
P.S. Форумы лопачу интенсивно и статьи читаю по возможности внимательно. Собственно, во многом благодаря им и удалось продвинутся хотябы куда-то.
Прембула: десять лет просисадминствовал на виндах и в чужие огороды не лазил (то есть абсолютно совсем... даже в руках не держал). Но пришел давеча босс и сказал: "хрен тебе а не деньги на лицензии для MS ISA 2004. А сидеть я не хочу..." Вот так, мля... И вот я, как последний ср...й тузик, сливаю 10 дней назад фрю и с криком "Ааааа, мляяяя...." погружаюсь. И не вылазю до сих пор.
Задача:
Есть домен W2K3, юзверей около 200, надо заменить W2K3+ISA2004 (2 двухпроцовых сервака (а трабл в том, что лицензия на 1 проц ISA стоит под пятерку КБ)
Что достигнуто
FreeBSD 6.2 + Heimdal 0.7.2 + Samba 3.0.24 + Squid 2.6.12 + ClamAV 0.9.02
Все ставлено из портов, работает.
На чем мочи моей не стало:
1. попытался связать squid (поддержка icap включена) с c-icap:
- так и не смог понять что надо ставить - толи отдельно библиотеку c-icap (что и сделал в результате: c_icap-180407.tar.gz), толи адаптированную под сквид (2.5.STABLE12-20051102) но она там для сквида 2.5, а у меня 2.6
В результате айкап не подымается с криком "Can not init loggers. Exiting..."
2. попытался связать сквид со сквидгардом:
- при открытии параметра url_rewrite_program со ссылкой на сквидгард получаю сообщение о том, что нема такого файла... хотя вот оно - на штатном месте.
3. стоит вопрос о том, как через сквидовые аксес-листы раздавать доступ по виндовым группам. Сама авторизация по доменному аккаунту работает, а как раздать сенькам по шапкам - не понимаю. Т.е. нужно создать эквиваленты исовым правилам доступа (по доменным группам+по расписанию+по цели). Как?
4. После всего этого надо поднять систему учета типа SASC - но я из тех инструкций понял только что надо апач и мускул поставить - поставил. А там еще треба тройка каких-то модулей - где, откуда... не пойму. В портах вроде нету. Мож кто знает что это и с чем есть? http://sams.perm.ru/doc/ru/soft.html
Люди, я пока не захламляю тут логами место, ибо понимаю, что куча большая и энтузиазму дармового ни у кого нету, но может чисто из состадания к виндоузнику кто поможет? А то либо свихнусь, либо уволят... Или нет?
Все равно спасибо.
P.S. Форумы лопачу интенсивно и статьи читаю по возможности внимательно. Собственно, во многом благодаря им и удалось продвинутся хотябы куда-то.
Хочешь насмешить бога - расскажи ему про свои планы...
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
много задач озвучено.
подозреваю что важнее - раздать по группам. Антифирь потом прикрутишь.
=========
по группам вот линк http://www.sys-adm.org.ua/www/squid-ad.php
мона начть отсюда...
хотя б, принцип станет ясен.
подозреваю что важнее - раздать по группам. Антифирь потом прикрутишь.
=========
по группам вот линк http://www.sys-adm.org.ua/www/squid-ad.php
мона начть отсюда...
хотя б, принцип станет ясен.
Убей их всех! Бог потом рассортирует...
- madMax
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2007-04-21 18:50:50
- Контактная информация:
Это уже изучено и освоено. Спасибо, работает.
В общем надо признать, что те скромные успехи, что были сделаны мой за последние дни в освоении совершенно незнакомого поля деятельности есть прямое следствие наличия в инете подобных текстов, за что их авторам - решпект глубочайший. Однако, основная масса их описывает совершенно общие случаи - как и в упомянутой вами ссылке... равно и еще нескольких, с примерно тем же содержанием. Но без них и этого бы не удалось бы сделать.
По проблеме п.3 (Вложенные аксесс-листы)
Упомянутые доки описывают "плоские случаи", т.е. например
как в упомянуто:
--------------------------------------------
acl PEOPLE proxy_auth REQUIRED
http_access allow PEOPLE
http_access deny all
--------------------------------------------
с этим все ясно. Я помимо виндов работаю с цисками, поэтому такая структура ACL близка и понятна. Однако задача немного сложнее (а может просто сложно переключится из "виндовых" представлений в такие... незнаю.
Попробую детальнее:
acl ОТДЕЛ_1 как_ссылка_на_членство_в_доменной_группе DOMAIN\SomeGroup
(пока еще сиснтаксис не нашел, но где-то видел что-то подобное... только помоему через ldap)
acl РАБ_ВРЕМЯ_ОТДЕЛА1 .... (тут все понятно - такие есть)
acl БЕЛЫЙ_СПИСОК (тут тоже все понятно)
а теперь что с этим надо сделать (синтаксис условен):
...
http_access (!БЕЛЫЙСПИСОК & !РАБ_ВРЕМЯ & ОТДЕЛ_1) deny
...
и по срабатыванию с редиректом на соотв. страничку внутреннего сервера типа
http://..../ОТДЕЛ1/расписание.html
Для каждого отдела такой запрет. Если не подропился по дороге - последним будет allow
По смыслу прочитанного, сквидгард должен позволять нечто похожее, но я еще не дошел до деталей, так как не могу его прикрутить к сквиду. (это в п.2)
По проблеме п.3 (Вложенные аксесс-листы)
Упомянутые доки описывают "плоские случаи", т.е. например
как в упомянуто:
--------------------------------------------
acl PEOPLE proxy_auth REQUIRED
http_access allow PEOPLE
http_access deny all
--------------------------------------------
с этим все ясно. Я помимо виндов работаю с цисками, поэтому такая структура ACL близка и понятна. Однако задача немного сложнее (а может просто сложно переключится из "виндовых" представлений в такие... незнаю.
Попробую детальнее:
acl ОТДЕЛ_1 как_ссылка_на_членство_в_доменной_группе DOMAIN\SomeGroup
(пока еще сиснтаксис не нашел, но где-то видел что-то подобное... только помоему через ldap)
acl РАБ_ВРЕМЯ_ОТДЕЛА1 .... (тут все понятно - такие есть)
acl БЕЛЫЙ_СПИСОК (тут тоже все понятно)
а теперь что с этим надо сделать (синтаксис условен):
...
http_access (!БЕЛЫЙСПИСОК & !РАБ_ВРЕМЯ & ОТДЕЛ_1) deny
...
и по срабатыванию с редиректом на соотв. страничку внутреннего сервера типа
http://..../ОТДЕЛ1/расписание.html
Для каждого отдела такой запрет. Если не подропился по дороге - последним будет allow
По смыслу прочитанного, сквидгард должен позволять нечто похожее, но я еще не дошел до деталей, так как не могу его прикрутить к сквиду. (это в п.2)
Хочешь насмешить бога - расскажи ему про свои планы...
- madMax
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2007-04-21 18:50:50
- Контактная информация:
Squid + squidGuard. No such file or directory
Собственно, вот детали по п.2
Сквид работает, но:
если внести в squid.conf строку
url_rewrite_program = /usr/local/bin/squdGuard #проверено, он там есть
proxy-mo# squid -k parse
получаю
proxy-mo# WARNING: url_rewrite_program =: (2) No such file or directory
через шутдаун и запуск сквида по новой - рез-т тот же.
Сквид работает, но:
если внести в squid.conf строку
url_rewrite_program = /usr/local/bin/squdGuard #проверено, он там есть
proxy-mo# squid -k parse
получаю
proxy-mo# WARNING: url_rewrite_program =: (2) No such file or directory
через шутдаун и запуск сквида по новой - рез-т тот же.
Хочешь насмешить бога - расскажи ему про свои планы...
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- madMax
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2007-04-21 18:50:50
- Контактная информация:
Кажется мне понятен ход ваших мылей...
proxy-mo# ls -al /usr/local/bin/squidGuardlissyara писал(а):Код: Выделить всё
ls -al /usr/local/bin/squdGuard
-r-xr-xr-x 1 root wheel 52908 Apr 20 18:36 /usr/local/bin/squidGuard
Попробую...
Попробовал
proxy-mo# chown squid:wheel /usr/local/bin/squidGuard
Не помогло
proxy-mo# squid -k parse
WARNING: url_rewrite_program =: (2) No such file or directory
Хочешь насмешить бога - расскажи ему про свои планы...
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
у меня в 2.5 так было:
Код: Выделить всё
redirect_program /usr/local/bin/squidGuard
Убей их всех! Бог потом рассортирует...
- madMax
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2007-04-21 18:50:50
- Контактная информация:
Безусловно. Он другое сообщение выдает - если параметр
вот такие:lissyara писал(а):синтаксис точно верный?
в 2.6 много поменялось...
proxy-mo# squid -k parse
2007/04/21 22:22:35| parseConfigFile: line 17 unrecognized: 'TEST--url_rewrite_program = /usr/local/bin/squidGuard'
redirect_program:
Да, так было в 25, в доке на конфиг 26 такого параметра нет. Правда, явно не указано, что url_rewrite_program - его замена, но другого по смыслу больше нет
Хочешь насмешить бога - расскажи ему про свои планы...
- madMax
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2007-04-21 18:50:50
- Контактная информация:
с п.2 покончено. Ларчик, ессно, открывался просто
В одних файлах *.conf параметры задаются через =, а в других - без оного...
естественно, у меня стоял знак =, что и было замечено парсером
WARNING: url_rewrite_program =: (2) No such file or directory
Только несовсем очевидно. Хотя если задуматься: файла с именем = действительно нету
Человеку свойственно ошибаться. Едем дальше...
естественно, у меня стоял знак =, что и было замечено парсером
WARNING: url_rewrite_program =: (2) No such file or directory
Только несовсем очевидно. Хотя если задуматься: файла с именем = действительно нету
Человеку свойственно ошибаться. Едем дальше...
Хочешь насмешить бога - расскажи ему про свои планы...
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
Код: Выделить всё
[root@dummynet /home/alex]# squid -v
Squid Cache: Version 2.6.STABLE9
...
[root@dummynet /home/alex]# cat /usr/local/etc/squid/squid.conf | grep squidGuard
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf
[root@dummynet /home/alex]# squid -k parse
[root@dummynet /home/alex]#
-
- лейтенант
- Сообщения: 638
- Зарегистрирован: 2007-04-08 5:50:16
SAMS у меня тоже стоит, пришлось помучаться денек правда с ним. SQUID через доменных пользователей в итоги по группам, по времени, по лимиту траффика и т.д. Есть пользователи, которых пришлось через HTTPS пускать только через IPFW (банк клиенты всякие), то есть авторизация по IP. Так что ситуация похожая Так что спрашивай если что
-
- проходил мимо
Re: Squid + squidGuard. No such file or directory
гг...понимаю что давно как бы тема прошла....madMax писал(а):Собственно, вот детали по п.2
Сквид работает, но:
если внести в squid.conf строку
url_rewrite_program = /usr/local/bin/squdGuard #проверено, он там есть
proxy-mo# squid -k parse
получаю
proxy-mo# WARNING: url_rewrite_program =: (2) No such file or directory
через шутдаун и запуск сквида по новой - рез-т тот же.
но мне кажется что тут дело в
url_rewrite_program = /usr/local/bin/squdGuard
SQUID пишется с через I тоесть squId а не squd
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация: