SQUID не хочет понимать группы из АД

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

SQUID не хочет понимать группы из АД

Непрочитанное сообщение KaMa-CyTpA » 2007-09-27 11:55:44

wbinfo -t, wbinfo -u, wbinfo -g и тому подобное отрабатывает красиво и на ура.
Шары на этой-же машине прекрасно работают.
Когда в squid.conf пишу что типа пускать по domain+user - пускает и всё такое.
А вот когда пишу чтобы пускало например @DOMAIN+group (ну или @"DOMAIN+group" или @domain+group - по-разному пробовал) - вот не пускает и всё тут.
Логи конечно-же пишут что в инет то щемиться пытался вовсе и не @DOMAIN+group какой-инть а domain+user
И нефиг ему в инете делать...
weep просто таки....

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение -cat- » 2007-09-27 11:59:41

KaMa-CyTpA писал(а):А вот когда пишу чтобы пускало например @DOMAIN+group (ну или @"DOMAIN+group" или @domain+group - по-разному пробовал) - вот не пускает и всё тут.
А что группы научились сами авторизоваться?

KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение KaMa-CyTpA » 2007-09-27 12:12:20

А он не может увидеть что domain+user принадлежит @DOMAIN+group и пустить его?

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение -cat- » 2007-09-27 12:23:58

Ну очевидно, тогда в Squid-e нужно опцию указать, в переводе на русский которая звучит "требовать принадлежность такой-то группе"

KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение KaMa-CyTpA » 2007-09-27 12:34:09

acl GROUP1 proxy_auth @"DOMAIN+group"

http_access allow GROUP1

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение -cat- » 2007-09-27 12:43:41

Да нет, так не получится, Squid-у на группы в AD глубоко наплевать

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение Alex Keda » 2007-09-28 0:15:45

ну, как варианты.
лазить за ними в лдап напрямую. грят пашет.
скидывать кроном раз в полчасика в файлики ипо файликам пускать или не пускать.
можно ещё чёнить придумать...
Убей их всех! Бог потом рассортирует...

KaMa-CyTpA
мл. сержант
Сообщения: 127
Зарегистрирован: 2006-11-10 12:48:45
Откуда: Мурманск
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение KaMa-CyTpA » 2007-09-29 15:12:44

Много вопоросов было как авторизовать опреленные группы из Wondows домена. Господин с ником "debosh2k" разъясняет:
Для авторизации групп - --enable-external-acl-helpers="winbind_group" (это при компилировании SQUID) далее идем в
$src/helpers/external_acl/winbind_group и читаем readme. Пишем три строки в конфге (SQUID) и тащимся.
Отсюда

Просмотрел свой makefile в портах - там есть --enable-external-acl-helpers="${external_acl}"
Но вот Readme нету в папке $src/helpers/external_acl/winbind_group


Ити мать...
У меня авторизация выставлена очень сильно по-другому....

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic casesensitive off

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid
auth_param basic credentialsttl 30 minute
Насколько я понимаю куда-то сюда надо вписывать winbind_group.pl
Не могу. Туплю.

Аватара пользователя
-cat-
сержант
Сообщения: 202
Зарегистрирован: 2007-07-31 0:05:56
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение -cat- » 2007-09-30 8:56:33

Код: Выделить всё

auth_param ntlm program %path_to_samba_ntlm_auth%/ntlm_auth — -helper-protocol=squid-2.5-ntlmssp — -require-membership-of=MYDOMAIN\\group
http://forum.lissyara.su/viewtopic.php?f=8&t=4932

Аватара пользователя
Dron
ст. сержант
Сообщения: 373
Зарегистрирован: 2007-08-15 13:36:28
Откуда: Днепропетровск
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение Dron » 2007-10-01 2:37:16

У меня реализовано через squid_auth_ldap (этим авторизуются юзеры) и squid_ldap_group (этим выбитается принадлежность юзера к группе). Все работает замечательно, единственное прикручено не к AD а к никсовому LDAP... Но я думаю проблем не будет :)
Та Да...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35092
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение Alex Keda » 2007-10-01 12:09:55

кускик конфига - можно?
в части разруливания и этих модулей.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Dron
ст. сержант
Сообщения: 373
Зарегистрирован: 2007-08-15 13:36:28
Откуда: Днепропетровск
Контактная информация:

Re: SQUID не хочет понимать группы из АД

Непрочитанное сообщение Dron » 2007-10-01 12:41:08

Этим авторизуем пользователей.

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "dc=dr-try,dc=dp,dc=ua" -f (uid=%s) -h 192.168.33.10 -D "cn=ldap_root,dc=dr-try,dc=dp,dc=ua" -w "123456"
auth_param basic children 20
auth_param basic realm WebCache (Dnepr)
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
Этим выгребаем группы.

Код: Выделить всё

external_acl_type ldap_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -b "ou=Squid,dc=dr-try,dc=dp,dc=ua" -f (&(memberUid=%v)(cn=%a)) -h 192.168.33.10
Сами ACL.

Код: Выделить всё

acl ICQ_connect external ldap_group ICQ-only
acl inet128 external ldap_group inet128
acl inet256 external ldap_group inet256
acl inet_unlim external ldap_group inet_unlim
Ну и потом ими вертим как обычными... Ну у меня еще и загон в delay_pool :)

Вот ветка LDAP которая отвечает за squid.

Код: Выделить всё

dn: ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: top
objectClass: organizationalUnit
ou: Squid
description: Access of Users to I-net

dn: cn=ICQ-only,ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: posixGroup
objectClass: top
cn: ICQ-only
description: access for ICQ only
gidNumber: 32825

dn: cn=inet128,ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: posixGroup
objectClass: top
cn: inet128
gidNumber: 50415

dn: cn=inet256,ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: posixGroup
objectClass: top
cn: inet256
gidNumber: 6192

dn: cn=inet_unlim,ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: posixGroup
objectClass: top
cn: inet_unlim
gidNumber: 29030
memberUid: dron
Есть один неприятный момент... После изменений в LDAP надо передергивать сквид. Может конечно надо подождать и начнет автоматом подтягивать, не проверял...
Та Да...