SQUID не хочет понимать группы из АД
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- мл. сержант
- Сообщения: 127
- Зарегистрирован: 2006-11-10 12:48:45
- Откуда: Мурманск
- Контактная информация:
SQUID не хочет понимать группы из АД
wbinfo -t, wbinfo -u, wbinfo -g и тому подобное отрабатывает красиво и на ура.
Шары на этой-же машине прекрасно работают.
Когда в squid.conf пишу что типа пускать по domain+user - пускает и всё такое.
А вот когда пишу чтобы пускало например @DOMAIN+group (ну или @"DOMAIN+group" или @domain+group - по-разному пробовал) - вот не пускает и всё тут.
Логи конечно-же пишут что в инет то щемиться пытался вовсе и не @DOMAIN+group какой-инть а domain+user
И нефиг ему в инете делать...
weep просто таки....
Шары на этой-же машине прекрасно работают.
Когда в squid.conf пишу что типа пускать по domain+user - пускает и всё такое.
А вот когда пишу чтобы пускало например @DOMAIN+group (ну или @"DOMAIN+group" или @domain+group - по-разному пробовал) - вот не пускает и всё тут.
Логи конечно-же пишут что в инет то щемиться пытался вовсе и не @DOMAIN+group какой-инть а domain+user
И нефиг ему в инете делать...
weep просто таки....
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- -cat-
- сержант
- Сообщения: 202
- Зарегистрирован: 2007-07-31 0:05:56
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
А что группы научились сами авторизоваться?KaMa-CyTpA писал(а):А вот когда пишу чтобы пускало например @DOMAIN+group (ну или @"DOMAIN+group" или @domain+group - по-разному пробовал) - вот не пускает и всё тут.
-
- мл. сержант
- Сообщения: 127
- Зарегистрирован: 2006-11-10 12:48:45
- Откуда: Мурманск
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
А он не может увидеть что domain+user принадлежит @DOMAIN+group и пустить его?
- -cat-
- сержант
- Сообщения: 202
- Зарегистрирован: 2007-07-31 0:05:56
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
Ну очевидно, тогда в Squid-e нужно опцию указать, в переводе на русский которая звучит "требовать принадлежность такой-то группе"
-
- мл. сержант
- Сообщения: 127
- Зарегистрирован: 2006-11-10 12:48:45
- Откуда: Мурманск
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
acl GROUP1 proxy_auth @"DOMAIN+group"
http_access allow GROUP1
http_access allow GROUP1
- -cat-
- сержант
- Сообщения: 202
- Зарегистрирован: 2007-07-31 0:05:56
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
Да нет, так не получится, Squid-у на группы в AD глубоко наплевать
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
ну, как варианты.
лазить за ними в лдап напрямую. грят пашет.
скидывать кроном раз в полчасика в файлики ипо файликам пускать или не пускать.
можно ещё чёнить придумать...
лазить за ними в лдап напрямую. грят пашет.
скидывать кроном раз в полчасика в файлики ипо файликам пускать или не пускать.
можно ещё чёнить придумать...
Убей их всех! Бог потом рассортирует...
-
- мл. сержант
- Сообщения: 127
- Зарегистрирован: 2006-11-10 12:48:45
- Откуда: Мурманск
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
ОтсюдаМного вопоросов было как авторизовать опреленные группы из Wondows домена. Господин с ником "debosh2k" разъясняет:
Для авторизации групп - --enable-external-acl-helpers="winbind_group" (это при компилировании SQUID) далее идем в
$src/helpers/external_acl/winbind_group и читаем readme. Пишем три строки в конфге (SQUID) и тащимся.
Просмотрел свой makefile в портах - там есть --enable-external-acl-helpers="${external_acl}"
Но вот Readme нету в папке $src/helpers/external_acl/winbind_group
Ити мать...
У меня авторизация выставлена очень сильно по-другому....
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic casesensitive off
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid
auth_param basic credentialsttl 30 minute
Не могу. Туплю.
- -cat-
- сержант
- Сообщения: 202
- Зарегистрирован: 2007-07-31 0:05:56
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
Код: Выделить всё
auth_param ntlm program %path_to_samba_ntlm_auth%/ntlm_auth — -helper-protocol=squid-2.5-ntlmssp — -require-membership-of=MYDOMAIN\\group
- Dron
- ст. сержант
- Сообщения: 373
- Зарегистрирован: 2007-08-15 13:36:28
- Откуда: Днепропетровск
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
У меня реализовано через squid_auth_ldap (этим авторизуются юзеры) и squid_ldap_group (этим выбитается принадлежность юзера к группе). Все работает замечательно, единственное прикручено не к AD а к никсовому LDAP... Но я думаю проблем не будет
Та Да...
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
кускик конфига - можно?
в части разруливания и этих модулей.
в части разруливания и этих модулей.
Убей их всех! Бог потом рассортирует...
- Dron
- ст. сержант
- Сообщения: 373
- Зарегистрирован: 2007-08-15 13:36:28
- Откуда: Днепропетровск
- Контактная информация:
Re: SQUID не хочет понимать группы из АД
Этим авторизуем пользователей.
Этим выгребаем группы.
Сами ACL.
Ну и потом ими вертим как обычными... Ну у меня еще и загон в delay_pool
Вот ветка LDAP которая отвечает за squid.
Есть один неприятный момент... После изменений в LDAP надо передергивать сквид. Может конечно надо подождать и начнет автоматом подтягивать, не проверял...
Код: Выделить всё
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "dc=dr-try,dc=dp,dc=ua" -f (uid=%s) -h 192.168.33.10 -D "cn=ldap_root,dc=dr-try,dc=dp,dc=ua" -w "123456"
auth_param basic children 20
auth_param basic realm WebCache (Dnepr)
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive on
Код: Выделить всё
external_acl_type ldap_group %LOGIN /usr/local/libexec/squid/squid_ldap_group -b "ou=Squid,dc=dr-try,dc=dp,dc=ua" -f (&(memberUid=%v)(cn=%a)) -h 192.168.33.10
Код: Выделить всё
acl ICQ_connect external ldap_group ICQ-only
acl inet128 external ldap_group inet128
acl inet256 external ldap_group inet256
acl inet_unlim external ldap_group inet_unlim
Вот ветка LDAP которая отвечает за squid.
Код: Выделить всё
dn: ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: top
objectClass: organizationalUnit
ou: Squid
description: Access of Users to I-net
dn: cn=ICQ-only,ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: posixGroup
objectClass: top
cn: ICQ-only
description: access for ICQ only
gidNumber: 32825
dn: cn=inet128,ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: posixGroup
objectClass: top
cn: inet128
gidNumber: 50415
dn: cn=inet256,ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: posixGroup
objectClass: top
cn: inet256
gidNumber: 6192
dn: cn=inet_unlim,ou=Squid,dc=dr-try,dc=dp,dc=ua
objectClass: posixGroup
objectClass: top
cn: inet_unlim
gidNumber: 29030
memberUid: dron
Та Да...