Спасите, а то уволят... SQUID+ICAP+etc...

[madMax]

Всем привет.
Прембула: десять лет просисадминствовал на виндах и в чужие огороды не лазил (то есть абсолютно совсем... даже в руках не держал). Но пришел давеча босс и сказал: "хрен тебе а не деньги на лицензии для MS ISA 2004. А сидеть я не хочу..." Вот так, мля... И вот я, как последний ср...й тузик, сливаю 10 дней назад фрю и с криком "Ааааа, мляяяя...." погружаюсь. И не вылазю до сих пор.

Задача:
Есть домен W2K3, юзверей около 200, надо заменить W2K3+ISA2004 (2 двухпроцовых сервака (а трабл в том, что лицензия на 1 проц ISA стоит под пятерку КБ)

Что достигнуто
FreeBSD 6.2 + Heimdal 0.7.2 + Samba 3.0.24 + Squid 2.6.12 + ClamAV 0.9.02
Все ставлено из портов, работает.

На чем мочи моей не стало:

1. попытался связать squid (поддержка icap включена) с c-icap:
- так и не смог понять что надо ставить - толи отдельно библиотеку c-icap (что и сделал в результате: c_icap-180407.tar.gz), толи адаптированную под сквид (2.5.STABLE12-20051102) но она там для сквида 2.5, а у меня 2.6
В результате айкап не подымается с криком "Can not init loggers. Exiting..."

2. попытался связать сквид со сквидгардом:
- при открытии параметра url_rewrite_program со ссылкой на сквидгард получаю сообщение о том, что нема такого файла... хотя вот оно - на штатном месте.

3. стоит вопрос о том, как через сквидовые аксес-листы раздавать доступ по виндовым группам. Сама авторизация по доменному аккаунту работает, а как раздать сенькам по шапкам - не понимаю. Т.е. нужно создать эквиваленты исовым правилам доступа (по доменным группам+по расписанию+по цели). Как?

4. После всего этого надо поднять систему учета типа SASC - но я из тех инструкций понял только что надо апач и мускул поставить - поставил. А там еще треба тройка каких-то модулей - где, откуда... не пойму. В портах вроде нету. Мож кто знает что это и с чем есть? http://sams.perm.ru/doc/ru/soft.html

Люди, я пока не захламляю тут логами место, ибо понимаю, что куча большая и энтузиазму дармового ни у кого нету, но может чисто из состадания к виндоузнику кто поможет? А то либо свихнусь, либо уволят... Или нет?

Все равно спасибо.
P.S. Форумы лопачу интенсивно и статьи читаю по возможности внимательно. Собственно, во многом благодаря им и удалось продвинутся хотябы куда-то.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

много задач озвучено.
подозреваю что важнее - раздать по группам. Антифирь потом прикрутишь.
=========
по группам вот линк http://www.sys-adm.org.ua/www/squid-ad.php
мона начть отсюда...
хотя б, принцип станет ясен.

[madMax]

В общем надо признать, что те скромные успехи, что были сделаны мой за последние дни в освоении совершенно незнакомого поля деятельности есть прямое следствие наличия в инете подобных текстов, за что их авторам - решпект глубочайший. Однако, основная масса их описывает совершенно общие случаи - как и в упомянутой вами ссылке... равно и еще нескольких, с примерно тем же содержанием. Но без них и этого бы не удалось бы сделать.

По проблеме п.3 (Вложенные аксесс-листы)
Упомянутые доки описывают "плоские случаи", т.е. например
как в упомянуто:
--------------------------------------------
acl PEOPLE proxy_auth REQUIRED
http_access allow PEOPLE
http_access deny all
--------------------------------------------
с этим все ясно. Я помимо виндов работаю с цисками, поэтому такая структура ACL близка и понятна. Однако задача немного сложнее (а может просто сложно переключится из "виндовых" представлений в такие... незнаю.
Попробую детальнее:

acl ОТДЕЛ_1 как_ссылка_на_членство_в_доменной_группе DOMAIN\SomeGroup
(пока еще сиснтаксис не нашел, но где-то видел что-то подобное... только помоему через ldap)

acl РАБ_ВРЕМЯ_ОТДЕЛА1 .... (тут все понятно - такие есть)
acl БЕЛЫЙ_СПИСОК (тут тоже все понятно)

а теперь что с этим надо сделать (синтаксис условен):
...
http_access (!БЕЛЫЙСПИСОК & !РАБ_ВРЕМЯ & ОТДЕЛ_1) deny
...
и по срабатыванию с редиректом на соотв. страничку внутреннего сервера типа
http://..../ОТДЕЛ1/расписание.html
Для каждого отдела такой запрет. Если не подропился по дороге - последним будет allow

По смыслу прочитанного, сквидгард должен позволять нечто похожее, но я еще не дошел до деталей, так как не могу его прикрутить к сквиду. (это в п.2)

[madMax]

Собственно, вот детали по п.2
Сквид работает, но:
если внести в squid.conf строку

url_rewrite_program = /usr/local/bin/squdGuard #проверено, он там есть

proxy-mo# squid -k parse

получаю

proxy-mo# WARNING: url_rewrite_program =: (2) No such file or directory

через шутдаун и запуск сквида по новой - рез-т тот же.

[Alex Keda]

Код: Выделить всё

ls -al  /usr/local/bin/squdGuard 

[madMax]

Код: Выделить всё

ls -al  /usr/local/bin/squdGuard 

proxy-mo# ls -al /usr/local/bin/squidGuard
-r-xr-xr-x 1 root wheel 52908 Apr 20 18:36 /usr/local/bin/squidGuard

Попробую...

Попробовал
proxy-mo# chown squid:wheel /usr/local/bin/squidGuard

Не помогло
proxy-mo# squid -k parse
WARNING: url_rewrite_program =: (2) No such file or directory

[Alex Keda]

синтаксис точно верный?
в 2.6 много поменялось...

[Alex Keda]

у меня в 2.5 так было:

Код: Выделить всё

redirect_program /usr/local/bin/squidGuard

[madMax]

синтаксис точно верный?
в 2.6 много поменялось...

вот такие:

proxy-mo# squid -k parse
2007/04/21 22:22:35| parseConfigFile: line 17 unrecognized: 'TEST--url_rewrite_program = /usr/local/bin/squidGuard'

redirect_program:
Да, так было в 25, в доке на конфиг 26 такого параметра нет. Правда, явно не указано, что url_rewrite_program - его замена, но другого по смыслу больше нет

[madMax]

В одних файлах *.conf параметры задаются через =, а в других - без оного...
естественно, у меня стоял знак =, что и было замечено парсером

WARNING: url_rewrite_program =: (2) No such file or directory

Только несовсем очевидно. Хотя если задуматься: файла с именем = действительно нету

Человеку свойственно ошибаться. Едем дальше...

[Гость]

url_rewrite_program "/usr/local/sbin/redirector"

[reLax]

Код: Выделить всё

[root@dummynet /home/alex]# squid -v
Squid Cache: Version 2.6.STABLE9
...

[root@dummynet /home/alex]# cat /usr/local/etc/squid/squid.conf | grep squidGuard
redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squid/squidGuard.conf
[root@dummynet /home/alex]# squid -k parse
[root@dummynet /home/alex]#

[reLax]

SAMS у меня тоже стоит, пришлось помучаться денек правда с ним. SQUID через доменных пользователей в итоги по группам, по времени, по лимиту траффика и т.д. Есть пользователи, которых пришлось через HTTPS пускать только через IPFW (банк клиенты всякие), то есть авторизация по IP. Так что ситуация похожая Так что спрашивай если что

[Гость]

Собственно, вот детали по п.2
Сквид работает, но:
если внести в squid.conf строку

url_rewrite_program = /usr/local/bin/squdGuard #проверено, он там есть

proxy-mo# squid -k parse

получаю

proxy-mo# WARNING: url_rewrite_program =: (2) No such file or directory

через шутдаун и запуск сквида по новой - рез-т тот же.

гг...понимаю что давно как бы тема прошла....
но мне кажется что тут дело в
url_rewrite_program = /usr/local/bin/squdGuard
SQUID пишется с через I тоесть squId а не squd

[Alex Keda]