squid +авторизация в AD

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-08-30 17:44:52

поставил, настроил уже на двух серваках все ровно вроде, но... когда перегружается DC, то winbindd начинает дурить и сквид перестает пускать в домен, приходится перегружать самбу. Это косяк или так и должно быть? Где-то я уже встречал подобные грабли но не помню какой там был выход.
FreeBSD the power to serve.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-08-30 17:54:42

dvg_lab писал(а):поставил, настроил уже на двух серваках все ровно вроде, но... когда перегружается DC, то winbindd начинает дурить и сквид перестает пускать в домен, приходится перегружать самбу. Это косяк или так и должно быть? Где-то я уже встречал подобные грабли но не помню какой там был выход.
это фича.
минут 10 проходит - начинает пускать.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-08-30 18:47:59

оригинально... я уже хотел скриптег хитрый рисовать. Ну еси 10 минут то можно забить.
Тут другая тема, у меня авторизация по группам в АД, но тут выясняется что одним юзерам можно все, а другим надо резать mp3,avi и тд., хотелось бы сделать две группы в АД одна типа limited вторая unlimited... но я насколько понял ntlm_auth умеет только с одной группой работать... да и не хочется дополнительно рисовать текстовые файлы с юзерами и прописыать их в сквиде... или мне ковырять в сторону rejik? все равно его ставить придется для обрезания всего лишнего...
FreeBSD the power to serve.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-08-30 19:02:21

сквид умеет за группами в лдап лазить.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение -cat- » 2007-08-30 21:13:06

dvg_lab писал(а):... или мне ковырять в сторону rejik? все равно его ставить придется для обрезания всего лишнего...
Как мне представляется, ситуация патовая. Squid получит имя пользователя и передаст его редиректору Rejik или SquidGuard, а им в настоящий момент, домен абсолютно по-барабану, т.е. они ориентируются исходя из своих конфигурационных файлов. Так что перечислять пользователей и в любом случае придется. Во всяком случае нигде не встречал чтобы редиректор как-то пытался выяснить какой группе в Windows домене принадлежит пользователь.

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-08-30 21:22:40

lissyara писал(а):сквид умеет за группами в лдап лазить.
в этом месте можно поподробнее? :) то есть можно обойтись вообще без auth_ntlm модуля? или так типа идет сквиду запрос от васи пупкина по ntlm_auth сквид его авторизует, а потом лезет сам в ADшный лдап и еще раз смотрит какой группе принадлежит этот юзер и уже потом на основании acl как-то можно будет разграничить? Я в правильном направлении мыслю?
FreeBSD the power to serve.

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-08-30 21:27:39

-cat- писал(а):
dvg_lab писал(а):... или мне ковырять в сторону rejik? все равно его ставить придется для обрезания всего лишнего...
Как мне представляется, ситуация патовая. Squid получит имя пользователя и передаст его редиректору Rejik или SquidGuard, а им в настоящий момент, домен абсолютно по-барабану, т.е. они ориентируются исходя из своих конфигурационных файлов. Так что перечислять пользователей и в любом случае придется. Во всяком случае нигде не встречал чтобы редиректор как-то пытался выяснить какой группе в Windows домене принадлежит пользователь.
в край я так подумал можно слабать скриптег в крон, который будет банально юзать ldapsearch или перловый модуль и напрямую лезть в AD лдап, оттуда выдергивать юзеров, конвертить все это дело в текстовый файлег и подсовывать его режику или тому же сквиду, главное чтоб они эти файлеги умели на лету хватать, или уж по крайней мере через squid -k reconfigure. у меня щас постфикс так за ADшными юзерами ходит.

но конечно если сквид сам будет в лдап ходить как предлагает Лис, то это будет имхо гораздее.
FreeBSD the power to serve.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение -cat- » 2007-08-30 21:44:30

По моему кроме головной боли от взимодействия связки плюсов нет. Что руками конфиги править, что группы руками подправить в windows. А если еще и есть ограничения по использованиому трафику то как тогда решать проблему?

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-08-30 21:52:24

-cat- писал(а):По моему кроме головной боли от взимодействия связки плюсов нет. Что руками конфиги править, что группы руками подправить в windows. А если еще и есть ограничения по использованиому трафику то как тогда решать проблему?
чет реализация становится слишком сложной, но безусловно в целях такой интеграции нужно юзать исключительно ldap потому как прописывать 15 файлов (там спискок ограничений, тут количество трафика, там список юзеров которым можно, тут которым нельзя и тд) при количестве юзеров в 120 чел уже начнутся проблемы. Но безусловно такая система на раз не подымется, тут нужно много будет гимора пережить. Мне слава Богу нужно только два списка, один юзера могут качать все и везде и другой ограничения на mp3, avi и некий список плохих url, все что сложнее я реализовывать не возьмусь ибо еще 8 задач в списке висит :(
FreeBSD the power to serve.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение -cat- » 2007-08-30 21:55:17

http://www.opennet.ru/tips/info/925.shtml?skip=10
посмотри возможно даст идею
К тому же есть подозрение на тормоза при общении в сети

_kirill_
ст. сержант
Сообщения: 311
Зарегистрирован: 2007-05-11 9:41:21
Откуда: Tashkent
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение _kirill_ » 2007-08-31 7:59:10

dvg_lab писал(а):поставил, настроил уже на двух серваках все ровно вроде, но... когда перегружается DC, то winbindd начинает дурить и сквид перестает пускать в домен, приходится перегружать самбу. Это косяк или так и должно быть? Где-то я уже встречал подобные грабли но не помню какой там был выход.
можно сделать сквид с авторизацией в домене посредством радиуса ;).

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-09-02 11:05:06

радиус это как-то совсем жестоко :)
У меня возникла еще одна грабля. Вот с интернет эксплодером все ровно и со всеми прогами которые умеют ntlm авторизацию на проксе тоже все ровно, но бухгалтерия со своими уё.... клиент-банками уже задрала, не умеют они такую авторизацию. Только обычная авторизация на проксе посредством логина/пароля. Отсюда вопрос читал в пятницу вечером доку но особо не всосал можно ли сделать так чтоб в дополнение к ntlm_auth работала еще обычная авторизация через фалег с логином/паролем, кстати последнюю я еще ни разу не настраивал, я так понимаю надо модуль ncsa подкомиливать. Вобщем можно ли сделать две авторизации еси не прошла первая, то юзать вторую? Особо много гимора не хочется.
FreeBSD the power to serve.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение -cat- » 2007-09-03 0:10:30

dvg_lab писал(а):радиус это как-то совсем жестоко :)
У меня возникла еще одна грабля. Вот с интернет эксплодером все ровно и со всеми прогами которые умеют ntlm авторизацию на проксе тоже все ровно, но бухгалтерия со своими уё.... клиент-банками уже задрала, не умеют они такую авторизацию. Только обычная авторизация на проксе посредством логина/пароля. Отсюда вопрос читал в пятницу вечером доку но особо не всосал можно ли сделать так чтоб в дополнение к ntlm_auth работала еще обычная авторизация через фалег с логином/паролем, кстати последнюю я еще ни разу не настраивал, я так понимаю надо модуль ncsa подкомиливать. Вобщем можно ли сделать две авторизации еси не прошла первая, то юзать вторую? Особо много гимора не хочется.
Практически во всех примерах конфигов после ntlm авторизации идет basic авторизация, для браузеров которые не понимают ntlm.
У меня клиент вообще не понимает авторизации, поэтому для бухгалтерии в ipfw открыт порт и адрес сервера банка, так проще и надежнее.

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-09-05 9:39:23

вовращаюсь к этой теме. К сожалению пока ни режик ни обычную авторизацию не прикручивал, но вот выползают некоторые баги. У юзеров машины перестали на windows update ходить за обновлениями. Видимо вендовая обновлялка сама по себе не умеет ntlm авторизацию на проксе, что странно. Но вопрос - как победить? Открыть негрософт.ком без авторизации совсем? очередной костыль?
FreeBSD the power to serve.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-05 9:40:31

_http://technet.microsoft.com/en-us/wsus/default.aspx
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-09-05 9:59:12

lissyara писал(а):_http://technet.microsoft.com/en-us/wsus/default.aspx
ыыы.... негросовт... пошел искать свободное железо...
FreeBSD the power to serve.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-05 10:54:43

на самом деле, это самое грамотное решение...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-09-05 11:10:27

понимаю, оно у меня в планах уже 2 года стоит... вот теперь "пришла пора"...
FreeBSD the power to serve.

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: squid +авторизация в AD

Непрочитанное сообщение freeman » 2007-09-05 14:49:11

Повторю свой любимый вопос - у вас тоже пароли только английские при авторизации такой проходят ? (русские не пускает хоть ты тресни)
Остатся должен только один ...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-05 15:19:06

у всех тока инглиш :)
собирается какую-то dll-ку писать - чтоб не смоги себе русские ставить. На сайте венды есть инструкция
=========
вот так
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-09-06 14:16:17

Лис, не совсем в тему но запарил меня это wsus, все вроде поставил, обновления скачались, но захожу на http://wsus-srv/ и вижу "this page under constuction" где какой контакт надо нажать чтоб оно запустилось?
FreeBSD the power to serve.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-06 14:24:31

Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-09-06 14:42:40

ни работаит, видимо ошибка в 17й строке... Ладно попробую сам еще пошукать.
FreeBSD the power to serve.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid +авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-06 14:44:59

?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
dvg_lab
сержант
Сообщения: 291
Зарегистрирован: 2007-07-02 22:51:25
Откуда: Москва

Re: squid +авторизация в AD

Непрочитанное сообщение dvg_lab » 2007-09-06 14:59:09

это wsus 2.0 имел /wsusadmin, а у 3.0 консоль mmc, в ней вроде все есть, но я к сожалению не спец по IIS и вот заходя на http://wsus-srv я вижу ошибку, в конфиге этого Default Site никаких интересных подпапок не оказалось, кроме Selfupdate, но еси зайти http://wsus-srv/Selfupdate то оно говорит что недостаточно прав 403 - иди нафик, вот я и не знаю че делать, что-то вообще должно показываться или не должно. Не знаю идти дальше настраивать групповые политики или нет.. Хотелось бы предварительно проверить что http сервер корректно работает и отдает контент всуса..
FreeBSD the power to serve.