авторизация ntlm для squid'а

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-03 8:32:28

В общем из-за внедрения терминальных серверов в офисе пришлось отказаться от старого прокси сервера, который авторизует пользователей по IP адресу и приступить к настройке прокси, который будет использовать ntlm авторизацию. В Unix я новичок. Буду благодарен тем людям, которые со всем своим авторитетным мнением и советами помогут мне разобраться с этой нелегкой для новичка задачей. Имею FreeBSD 9.1 amd64. Заранее установил Samba, добавил машину в домен, установил Apache22, PHP, SQUID31, MySQL5.5, ну и конечно же SAMS.
При настройке этой связке опирался на статью http://www.lissyara.su/articles/freebsd ... ejik-ntlm/
Собственно все запускается без ошибок, самс работает, сквид тоже, базы данных успешно созданы, самс видит пользователей домена, а следовательно и winbind работает замечательно. Проверял как работает хэлпер /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic-хелпер работает на ура. Но проблема заключается в том, что авторизации как я понимаю никакой и не происходит. Прокси пускает в инет всех и вся, даже тех пользователей, которые вовсе в домене не состоят.
На всякий случай выложу конфиг сквиды и логи оного. Может кто подскажет что я сделал не так.
squid.conf

Код: Выделить всё

# created by SAMS _sams_ 2013-7-3 10:16:50
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8<---># RFC1918 possible internal network
acl localnet src 172.16.0.0/12<># RFC1918 possible internal network
acl localnet src 192.168.0.0/16># RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80<><------># http
acl Safe_ports port 21<><------># ftp
acl Safe_ports port 443><------># https
acl Safe_ports port 70<><------># gopher
acl Safe_ports port 210><------># wais
acl Safe_ports port 1025-65535<># unregistered ports
acl Safe_ports port 280><------># http-mgmt
acl Safe_ports port 488><------># gss-http
acl Safe_ports port 591><------># filemaker
acl Safe_ports port 777><------># multiling http
acl CONNECT method CONNECT

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
#http_access deny all

# And finally deny all other access to this proxy
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="UST+proxy_connection"
auth_param ntlm children 30
auth_param ntlm keep_alive off
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="UST+proxy_connection"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
http_access allow localhost
acl UST proxy_auth REQUIRED
http_access allow UST
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/squid/cache 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:<-><------>1440<-->20%<--->10080
refresh_pattern ^gopher:<------>1440<-->0%<---->1440
refresh_pattern -i (/cgi-bin/|\?) 0<--->0%<---->0
refresh_pattern .<-----><------>0<----->20%<--->4320
/var/log/squid/access.log

Код: Выделить всё

1372827627.312   6030 192.168.2.186 TCP_MISS/200 2257 CONNECT aus3.mozilla.org:443 - DIRECT/63.245.217.44 -
1372827651.897     80 192.168.2.186 TCP_MISS/200 494 GET http://chat17.livetex.ru/? - DIRECT/62.33.104.143 text/javascript
1372827702.025    101 192.168.2.186 TCP_MISS/200 494 GET http://chat17.livetex.ru/? - DIRECT/62.33.104.143 text/javascript
1372827752.233     90 192.168.2.186 TCP_MISS/200 494 GET http://chat17.livetex.ru/? - DIRECT/62.33.104.143 text/javascript
1372827802.373     98 192.168.2.186 TCP_MISS/200 494 GET http://chat17.livetex.ru/? - DIRECT/62.33.104.143 text/javascript
1372827852.492     85 192.168.2.186 TCP_MISS/200 492 GET http://chat17.livetex.ru/? - DIRECT/62.33.104.143 text/javascript
1372827902.631     93 192.168.2.186 TCP_MISS/200 494 GET http://chat17.livetex.ru/? - DIRECT/62.33.104.143 text/javascript
1372827952.776     89 192.168.2.186 TCP_MISS/200 494 GET http://chat17.livetex.ru/? - DIRECT/62.33.104.143 text/javascript

/var/log/squid/cache.log

Код: Выделить всё

2013/07/03 09:06:04| Open FD READ/WRITE    8 DNS Socket IPv4
2013/07/03 09:06:04| Open FD UNSTARTED     9 ntlm_auth #1
2013/07/03 09:06:04| Open FD READ/WRITE   10 Waiting for next request
2013/07/03 09:06:04| Open FD UNSTARTED    11 ntlm_auth #2
2013/07/03 09:06:04| Open FD UNSTARTED    13 ntlm_auth #3
2013/07/03 09:06:04| Open FD UNSTARTED    15 ntlm_auth #4
2013/07/03 09:06:04| Open FD UNSTARTED    17 ntlm_auth #5
2013/07/03 09:06:04| Open FD UNSTARTED    19 ntlm_auth #6
2013/07/03 09:06:04| Open FD UNSTARTED    21 ntlm_auth #7
2013/07/03 09:06:04| Open FD UNSTARTED    23 ntlm_auth #8
2013/07/03 09:06:04| Open FD UNSTARTED    25 ntlm_auth #9
2013/07/03 09:06:04| Open FD UNSTARTED    27 ntlm_auth #10
2013/07/03 09:06:04| Open FD UNSTARTED    29 ntlm_auth #11
2013/07/03 09:06:04| Open FD UNSTARTED    31 ntlm_auth #12
2013/07/03 09:06:04| Open FD UNSTARTED    33 ntlm_auth #13
2013/07/03 09:06:04| Open FD UNSTARTED    35 ntlm_auth #14
2013/07/03 09:06:04| Open FD UNSTARTED    37 ntlm_auth #15
2013/07/03 09:06:04| Open FD UNSTARTED    39 ntlm_auth #16
2013/07/03 09:06:04| Open FD UNSTARTED    41 ntlm_auth #17
2013/07/03 09:06:04| Open FD UNSTARTED    43 ntlm_auth #18
2013/07/03 09:06:04| Open FD UNSTARTED    45 ntlm_auth #19
2013/07/03 09:06:04| Open FD UNSTARTED    47 ntlm_auth #20
2013/07/03 09:06:04| Open FD UNSTARTED    49 ntlm_auth #21
2013/07/03 09:06:04| Open FD UNSTARTED    51 ntlm_auth #22
2013/07/03 09:06:04| Open FD UNSTARTED    53 ntlm_auth #23
2013/07/03 09:06:04| Open FD UNSTARTED    55 ntlm_auth #24
2013/07/03 09:06:04| Open FD UNSTARTED    57 ntlm_auth #25
2013/07/03 09:06:04| Open FD UNSTARTED    59 ntlm_auth #26
2013/07/03 09:06:04| Open FD UNSTARTED    61 ntlm_auth #27
2013/07/03 09:06:04| Open FD UNSTARTED    63 ntlm_auth #28
2013/07/03 09:06:04| Open FD UNSTARTED    65 ntlm_auth #29
2013/07/03 09:06:04| Open FD UNSTARTED    67 ntlm_auth #30
2013/07/03 09:06:04| Open FD UNSTARTED    69 ntlm_auth #1
2013/07/03 09:06:04| Open FD UNSTARTED    71 ntlm_auth #2
2013/07/03 09:06:04| Open FD UNSTARTED    73 ntlm_auth #3
2013/07/03 09:06:04| Open FD UNSTARTED    75 ntlm_auth #4
2013/07/03 09:06:04| Open FD UNSTARTED    77 ntlm_auth #5
2013/07/03 09:06:04| Squid Cache (Version 3.1.23): Exiting normally.
2013/07/03 09:06:52| Creating Swap Directories
2013/07/03 09:07:19| Starting Squid Cache version 3.1.23 for amd64-portbld-freebsd9.1...
2013/07/03 09:07:19| Process ID 87713
2013/07/03 09:07:19| With 11095 file descriptors available
2013/07/03 09:07:19| Initializing IP Cache...
2013/07/03 09:07:19| DNS Socket created at 0.0.0.0, FD 7
2013/07/03 09:07:19| Adding domain ust from /etc/resolv.conf
2013/07/03 09:07:19| Adding nameserver 192.168.2.9 from /etc/resolv.conf
2013/07/03 09:07:19| Adding nameserver 192.168.2.16 from /etc/resolv.conf
2013/07/03 09:07:19| helperOpenServers: Starting 30/30 'ntlm_auth' processes
2013/07/03 09:07:19| helperOpenServers: Starting 5/5 'ntlm_auth' processes
2013/07/03 09:07:19| Unlinkd pipe opened on FD 82
2013/07/03 09:07:19| Store logging disabled
2013/07/03 09:07:19| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2013/07/03 09:07:19| Target number of buckets: 1008
2013/07/03 09:07:19| Using 8192 Store buckets
2013/07/03 09:07:19| Max Mem  size: 262144 KB
2013/07/03 09:07:19| Max Swap size: 0 KB
2013/07/03 09:07:19| Using Least Load store dir selection
2013/07/03 09:07:19| Set Current Directory to /var/squid/cache
2013/07/03 09:07:19| Loaded Icons.
2013/07/03 09:07:19| Accepting  HTTP connections at 0.0.0.0:3128, FD 83.
2013/07/03 09:07:19| HTCP Disabled.
2013/07/03 09:07:19| Adaptation support is off.
2013/07/03 09:07:19| Ready to serve requests.
2013/07/03 09:07:20| storeLateRelease: released 0 objects
2013/07/03 09:09:33| Squid is already running!  Process ID 87713
2013/07/03 10:14:15| Reconfiguring Squid Cache (version 3.1.23)...
2013/07/03 10:14:15| FD 83 Closing HTTP connection
2013/07/03 10:14:15| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2013/07/03 10:14:15| aclIpParseIpData: IPv6 has not been enabled.
2013/07/03 10:14:15| aclIpParseIpData: IPv6 has not been enabled.
2013/07/03 10:14:15| Adaptation support is off.
2013/07/03 10:14:15| Store logging disabled
2013/07/03 10:14:15| DNS Socket created at 0.0.0.0, FD 8
2013/07/03 10:14:15| Adding domain ust from /etc/resolv.conf
2013/07/03 10:14:15| Adding nameserver 192.168.2.9 from /etc/resolv.conf
2013/07/03 10:14:15| Adding nameserver 192.168.2.16 from /etc/resolv.conf
2013/07/03 10:14:15| helperOpenServers: Starting 30/30 'ntlm_auth' processes
2013/07/03 10:14:16| helperOpenServers: Starting 5/5 'ntlm_auth' processes
2013/07/03 10:14:16| Accepting  HTTP connections at 0.0.0.0:3128, FD 80.
2013/07/03 10:14:16| HTCP Disabled.
2013/07/03 10:14:16| Loaded Icons.
2013/07/03 10:14:16| Ready to serve requests.
2013/07/03 10:16:51| Reconfiguring Squid Cache (version 3.1.23)...
2013/07/03 10:16:51| FD 80 Closing HTTP connection
2013/07/03 10:16:51| Processing Configuration File: /usr/local/etc/squid/squid.conf (depth 0)
2013/07/03 10:16:51| aclIpParseIpData: IPv6 has not been enabled.
2013/07/03 10:16:51| aclIpParseIpData: IPv6 has not been enabled.
2013/07/03 10:16:51| Adaptation support is off.
2013/07/03 10:16:51| Store logging disabled
2013/07/03 10:16:51| DNS Socket created at 0.0.0.0, FD 8
2013/07/03 10:16:51| Adding domain ust from /etc/resolv.conf
2013/07/03 10:16:51| Adding nameserver 192.168.2.9 from /etc/resolv.conf
2013/07/03 10:16:51| Adding nameserver 192.168.2.16 from /etc/resolv.conf
2013/07/03 10:16:51| helperOpenServers: Starting 30/30 'ntlm_auth' processes
2013/07/03 10:16:51| helperOpenServers: Starting 5/5 'ntlm_auth' processes
2013/07/03 10:16:51| Accepting  HTTP connections at 0.0.0.0:3128, FD 80.
2013/07/03 10:16:51| HTCP Disabled.
2013/07/03 10:16:51| Loaded Icons.
2013/07/03 10:16:51| Ready to serve requests.
2013/07/03 10:20:38| Preparing for shutdown after 140 requests
2013/07/03 10:20:38| Waiting 30 seconds for active connections to finish
2013/07/03 10:20:38| FD 80 Closing HTTP connection
2013/07/03 10:21:09| Shutting down...
2013/07/03 10:21:09| basic/auth_basic.cc(97) done: Basic authentication Shutdown.
2013/07/03 10:21:09| Closing unlinkd pipe on FD 82
2013/07/03 10:21:09| storeDirWriteCleanLogs: Starting...
2013/07/03 10:21:09|   Finished.  Wrote 0 entries.
2013/07/03 10:21:09|   Took 0.00 seconds (  0.00 entries/sec).
CPU Usage: 1.256 seconds = 0.279 user + 0.977 sys
Maximum Resident Size: 14540 KB
Page faults with physical i/o: 0

Заранее благодарен всем кто откликнется.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Charlz_Klug_
проходил мимо

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Charlz_Klug_ » 2013-07-03 9:07:44

Jedi88Knight писал(а):Но проблема заключается в том, что авторизации как я понимаю никакой и не происходит. Прокси пускает в инет всех и вся, даже тех пользователей, которые вовсе в домене не состоят.
squid.conf

Код: Выделить всё

[Overquoting]
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8<---># RFC1918 possible internal network
acl localnet src 172.16.0.0/12<># RFC1918 possible internal network
acl localnet src 192.168.0.0/16># RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines
[Overquoting]
# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost
#http_access deny all
[Overquoting]
Читаем и переводим на русский

Код: Выделить всё

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
Должно помочь.

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-03 9:43:51

ну вроде прочитал. но вот бы еще Вы посоветовали как именно составить эти правила и вообще было бы замечательно.

Charlz_Klug_
проходил мимо

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Charlz_Klug_ » 2013-07-03 12:35:16

Jedi88Knight писал(а):ну вроде прочитал. но вот бы еще Вы посоветовали как именно составить эти правила и вообще было бы замечательно.
С ntlm я не разбирался. Поэтому точно не знаю как сконфигурить. А вообще, попробуйте закомментировать

Код: Выделить всё

http_access allow localnet
http_access allow localhost
. А там отпишитесь как работает.

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-03 13:32:08

Итак. изменил конфиг сквида, получилось следующее.

Код: Выделить всё

acl manager proto cache_object
acl webserver src 192.168.2.9/32
acl LocalNet src 192.168.2.0/24
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=UST\\proxy_connection
auth_param ntlm children 200
authenticate_ttl 20 minutes

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=UST\\proxy_connection
auth_param basic children 20
auth_param basic realm UST Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl UST proxy_auth REQUIRED
http_access allow UST

http_access allow manager localhost
http_access allow manager webserver
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow LocalNet
http_access deny all
log_access deny localhost
http_port 192.168.2.222:3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY


cache_dir ufs /var/squid/cache/ 2000 16 256
access_log /var/log/squid/access.log squid
cache_store_log none
pid_filename /var/run/squid/squid3.pid
icon_directory /usr/local/etc/squid/icons
error_directory /usr/local/etc/squid/errors/ru
cache_mgr kkv@uralst.ru

cache_mem 300 MB
maximum_object_size 500 KB
maximum_object_size_in_memory 100 KB
cache_swap_low 90
cache_swap_high 95

memory_pools off

visible_hostname auth_ntlm_proxy.ust

# users(sarg)
log_fqdn on

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

coredump_dir /var/squid/cache/squid
Ситуация изменилась. Теперь тестовая машина при попытке выхода в сеть запрашивает аутентификацию. Вот таким образом.
Прокси "moz-proxy://192.168.2.222:3128" запрашивает имя пользователя и пароль. Сайт сообщает: "moz-proxy://192.168.2.222:3128"
если вводить доменного пользователя, то результата никакого, сообщение появляется заново.... НО! если попытаться закрыть это выскакивающее окошко, то появляется следующее, вот такое:
Прокси "moz-proxy://192.168.2.222:3128" запрашивает имя пользователя и паролью Сайт сообщает: "UST Proxy Server"
и вот тут если ввести доменного пользователя, то таки ты выходишь в сеть.
Параметр UST Proxy Server, как я понимаю, фигурирует только в одном месте, а именно в конфиге сквида, в строчке:

Код: Выделить всё

auth_param basic realm UST Proxy Server 
но это не самое интересное в логи начинают сыпаться следующие сообщения
Login for user [UST]\[testuser]@[TEST_PROXY] failed due to [winbind client not autorized to use winbind_pam_auth-crap. Ensure permissions on /var/db/samba34/winbindd_privileged are set correctly.]
NTLMSSP BH: NT_STATUS_ACCESS_DENIED

Повторюсь winbind работает замечательно, охотно выводя все, что от него требуют wbinfo с разными ключами. ntlm хелпер работает.
В чем же тогда дело?

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-03 13:42:11

на всякий случай сделаю листинг работы хелпера

Код: Выделить всё

[16:39]auth_ntlm_proxy.ust:root->home/kirill# /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
testuser 123
OK
UST\testuser 123
OK
И листинг работы wbinfo

Код: Выделить всё

[16:41]auth_ntlm_proxy.ust:root->home/kirill# wbinfo -t
checking the trust secret via RPC calls succeeded
[16:41]auth_ntlm_proxy.ust:root->home/kirill# wbinfo -p
Ping to winbindd succeeded
[16:41]auth_ntlm_proxy.ust:root->home/kirill#

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-03 13:48:18

права на папку /var/db/samba/winbindd_privileged устанавливал следующим образом.

Код: Выделить всё

chown root|squid /var/db/samba/winbindd_privileged
... но это не помогает

snorlov
подполковник
Сообщения: 3716
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: авторизация ntlm для squid'а

Непрочитанное сообщение snorlov » 2013-07-03 20:38:25

у меня стоит

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN"\\"group_internet"
2-слеша из-за разделителя у winbind в smb.conf, у вас может быть другой...

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-04 5:52:26

Пробую.. добавляю строчку в smb.conf

Код: Выделить всё

 winbind separator = +
Изменяю в squid.conf до такого состояния

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=UST+proxy_connection
auth_param ntlm children 200
authenticate_ttl 20 minutes

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=UST+proxy_connection
auth_param basic children 20
Но ситуация не меняется. Пароль запрашивается... Логи такие же сыпятся с жалобами на винбинд.... кстати. в окошке выскакивающей аутентификации я как только не пробовал набирать логин и пароль... ничерта не помогает

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-04 7:18:14

snorlov писал(а):у меня стоит

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN"\\"group_internet"
2-слеша из-за разделителя у winbind в smb.conf, у вас может быть другой...
Дражайший, а у Вас какой сепаратор прописан в smb.conf?

snorlov
подполковник
Сообщения: 3716
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: авторизация ntlm для squid'а

Непрочитанное сообщение snorlov » 2013-07-04 8:17:02

А он у меня вообще задиссаблен, т.е. \. Я к тому, что может кавычки нужны... Сам то winbind не падает, у меня просто acl включены и я права squid:squid давал через setfacl -m ...:rwx /var/db/samba/winbin...

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-04 8:34:55

кавычки тоже пробовал ставить. все одно получается. читал Ваш совет по разрешению этой проблемы в другом посту... вот этот
snorlov писал(а):Немного я тебе наврал
изначально должно быть
chown -R root:wheel /var/db/samba/winbindd_privileged
chmod -R 750 /var/db/samba/winbindd_privileged
перезапускаем самбу и убеждаемся, что она работает winbind не падает
и только потом включив acl делаешь
setfacl -m g:squid:r-x /var/db/samba/winbindd_privileged
результат
getfacl /var/db/samba/winbindd_privileged
#owner:root
#group:wheel
user::rwx
group::r-x
group:squid:r-x
mask::r-x
other::---
после чего стартуем squid
можно немного поподробнее. как включить acl? с каким ключом? я пробовал tunefs -a enable, почему то ничего вразумительного не произошло. И надо ли предварительно остановить сквид? покажу как я пытался сделать. направьте пожалуйста на путь истинный))

Код: Выделить всё

[11:31]auth_ntlm_proxy.ust:root->home/kirill# chown -R root:wheel /var/db/samba34/winbindd_privileged
[11:31]auth_ntlm_proxy.ust:root->home/kirill# chmod -R 750 /var/db/samba34/winbindd_privileged
[11:31]auth_ntlm_proxy.ust:root->home/kirill#  /usr/local/etc/rc.d/samba restart
Performing sanity check on Samba configuration: OK
Stopping winbindd.
Waiting for PIDS: 1281.
Stopping smbd.
Waiting for PIDS: 1278.
Stopping nmbd.
Waiting for PIDS: 1275.
Removing stale Samba tdb files: ........ done
Starting nmbd.
Starting smbd.
Starting winbindd.
[11:32]auth_ntlm_proxy.ust:root->home/kirill# ps aux | grep smb
root   1369   0.0  0.2  63076  7784 ??  Ss   11:32AM  0:00.05 /usr/local/sbin/nmbd -D -s /usr/local/etc/smb.conf
root   1372   0.0  0.3  71728 10772 ??  Ss   11:32AM  0:00.02 /usr/local/sbin/smbd -D -s /usr/local/etc/smb.conf
root   1375   0.0  0.2  65272 10392 ??  Ss   11:32AM  0:00.11 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
root   1376   0.0  0.3  65268 10480 ??  S    11:32AM  0:00.22 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
root   1377   0.0  0.3  65468 10608 ??  S    11:32AM  0:00.11 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
root   1378   0.0  0.2  63164 10044 ??  S    11:32AM  0:00.00 /usr/local/sbin/winbindd -s /usr/local/etc/smb.conf
root   1379   0.0  0.3  71732 10772 ??  S    11:32AM  0:00.00 /usr/local/sbin/smbd -D -s /usr/local/etc/smb.conf
root   1384   0.0  0.0  16280  1872  0  S+   11:32AM  0:00.00 grep smb
[11:32]auth_ntlm_proxy.ust:root->home/kirill# wbinfo -p
Ping to winbindd succeeded
[11:32]auth_ntlm_proxy.ust:root->home/kirill# tunefs -a enable
usage: tunefs [-A] [-a enable | disable] [-e maxbpg] [-f avgfilesize]
              [-J enable | disable] [-j enable | disable]
              [-L volname] [-l enable | disable] [-m minfree]
              [-N enable | disable] [-n enable | disable]
              [-o space | time] [-p] [-s avgfpdir] [-t enable | disable]
              special | filesystem
[11:32]auth_ntlm_proxy.ust:root->home/kirill# setfacl -m g:squid:r-x /var/db/samba34/winbindd_privileged
setfacl: /var/db/samba34/winbindd_privileged: acl_get_file() failed: Operation not supported
[11:33]auth_ntlm_proxy.ust:root->home/kirill# getfacl /var/db/samba34/winbindd_privileged
# file: /var/db/samba34/winbindd_privileged
# owner: root
# group: wheel
user::rwx
group::r-x
other::---
[11:33]auth_ntlm_proxy.ust:root->home/kirill#

snorlov
подполковник
Сообщения: 3716
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: авторизация ntlm для squid'а

Непрочитанное сообщение snorlov » 2013-07-04 9:13:19

перегружаемся в sungle user и там

Код: Выделить всё

 tunefs -a enable <раздел>, типа /dev/ada0s1a
после чего грузимся обычно и проверяем через, если все нормально то в скобочках появится acls

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-04 10:54:10

snorlov писал(а):перегружаемся в sungle user и там

Код: Выделить всё

 tunefs -a enable <раздел>, типа /dev/ada0s1a
после чего грузимся обычно и проверяем через, если все нормально то в скобочках появится acls
Спасибо огромное!!! Сделал как Вы сказали... Ошибки этого рода валиться перестали.

Код: Выделить всё

[13:28]auth_ntlm_proxy.ust:root->home/kirill# mount
/dev/ada0p2 on / (ufs, local, journaled soft-updates)
devfs on /dev (devfs, local, multilabel)
/dev/ada0p4 on /tmp (ufs, local, journaled soft-updates)
/dev/ada0p5 on /var (ufs, local, journaled soft-updates, acls)
/dev/ada0p6 on /var/log (ufs, local, journaled soft-updates)
/dev/ada0p7 on /usr (ufs, local, journaled soft-updates)
[13:28]auth_ntlm_proxy.ust:root->home/kirill# setfacl -m g:squid:r-x /var/db/samba34/winbindd_privileged
[13:28]auth_ntlm_proxy.ust:root->home/kirill# getfacl /var/db/samba34/winbindd_privileged
# file: /var/db/samba34/winbindd_privileged
# owner: root
# group: wheel
user::rwx
group::r-x
group:squid:r-x
mask::r-x
other::---
[13:29]auth_ntlm_proxy.ust:root->home/kirill#
вот листинг access.log
Это для доменного юзера testuser, состоящего в группе доменаproxy_connection, которая прописана в конфиге сквида, как группа для доступа к прокси.

Код: Выделить всё

1372923349.693 115552 test_proxy.ust TCP_MISS/200 2607 CONNECT p5-yfecjg5xbziak-ylefhwwwqm4neejf-495854-i2-v6exp3-v4.metric.gstatic.com:443 testuser DIRECT/173.194.71.120 -
1372923349.693 115553 test_proxy.ust TCP_MISS/200 2607 CONNECT p5-yfecjg5xbziak-ylefhwwwqm4neejf-495854-i1-v6exp3-ds.metric.gstatic.com:443 testuser DIRECT/173.194.71.120 -
1372923350.082      1 test_proxy.ust TCP_DENIED/407 3788 CONNECT www.google.ru:443 - NONE/- text/html
1372923350.192      1 test_proxy.ust TCP_DENIED/407 4048 CONNECT www.google.ru:443 - NONE/- text/html
1372923350.519      0 test_proxy.ust TCP_DENIED/407 3788 CONNECT www.google.ru:443 - NONE/- text/html
1372923352.693    152 test_proxy.ust TCP_MISS/200 670 GET http://www.google.ru/url? testuser DIRECT/74.125.143.94 text/html
1372923352.977    204 test_proxy.ust TCP_MISS/200 6211 GET http://vk.com/ testuser DIRECT/87.240.131.120 text/html
1372923353.112     94 test_proxy.ust TCP_MISS/200 3194 GET http://vk.com/js/loader_nav13521_0.js testuser DIRECT/87.240.131.120 text/javascript
1372923353.168  18609 test_proxy.ust TCP_MISS/200 78881 CONNECT addons.mozilla.org:443 testuser DIRECT/63.245.217.112 -
1372923353.256      2 test_proxy.ust TCP_DENIED/407 3784 CONNECT login.vk.com:443 - NONE/- text/html
1372923353.256      2 test_proxy.ust TCP_DENIED/407 4596 GET http://b.scorecardresearch.com/p? - NONE/- text/html
1372923353.260     67 test_proxy.ust TCP_MISS/200 353 GET http://counter.yadro.ru/hit? testuser DIRECT/88.212.196.123 image/gif
1372923353.364      1 test_proxy.ust TCP_DENIED/407 4044 CONNECT login.vk.com:443 - NONE/- text/html
1372923353.460    182 test_proxy.ust TCP_MISS/200 394 GET http://b.scorecardresearch.com/p? testuser DIRECT/92.122.212.56 image/gif
1372923354.292    596 test_proxy.ust TCP_MISS/200 2407 POST http://ocsp.godaddy.com/ testuser DIRECT/182.50.136.239 application/ocsp-response
1372923354.492     95 test_proxy.ust TCP_MISS/200 1436 GET http://vk.com/login.php? testuser DIRECT/87.240.131.120 text/html
1372923356.665    635 test_proxy.ust TCP_MISS/200 221674 GET http://vk.com/images/join/prof_1.png? testuser DIRECT/87.240.131.120 image/png
1372923356.787      1 test_proxy.ust TCP_DENIED/407 4392 GET http://vk.com/images/join/dial_1.png? - NONE/- text/html
1372923356.910     12 test_proxy.ust TCP_DENIED/407 4652 GET http://vk.com/images/join/dial_1.png? - NONE/- text/html
1372923357.355    640 test_proxy.ust TCP_MISS/200 269348 GET http://vk.com/images/join/news_1.png? testuser DIRECT/87.240.131.120 image/png
1372923358.524   1599 test_proxy.ust TCP_MISS/200 220897 GET http://vk.com/images/join/dial_1.png? testuser DIRECT/87.240.131.120 image/png
А вот другого юзера, не состоящего в этой группе она никуда не пускает... пока все идет как надо..

Код: Выделить всё

1372924070.127      2 test_proxy.ust TCP_DENIED/407 4740 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1372924070.235      1 test_proxy.ust TCP_DENIED/407 5024 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1372924070.263      8 test_proxy.ust TCP_DENIED/407 5430 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1372924070.344      1 test_proxy.ust TCP_DENIED/407 5072 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
он его, собственно, и не распознает никак... но кстати.... если пользователя нет в той группе, то опять таки выскакиевает окошко с запросом аутентификации. и там если ввести определенного юзера, но уже из группы для доступа к сквиду, то прокси таки тебя пропускает в инет и в логах появляется следующая запись....

Код: Выделить всё

 1372924073.273    853 test_proxy.ust TCP_CLIENT_REFRESH_MISS/200 133179 GET http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAEYofYGIMD3BjIZIbsBAP__________________________AA kudryashov_kv DIRECT/173.194.
71.102 application/vnd.google.safebrowsing-chunk
1372924073.686    243 test_proxy.ust TCP_CLIENT_REFRESH_MISS/200 113707 GET http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAEYwfcGIOD4BjIZwbsBAP__________________________AA kudryashov_kv DIRECT/173.194.
71.102 application/vnd.google.safebrowsing-chunk
1372924073.995    137 test_proxy.ust TCP_MISS/200 84664 GET http://safebrowsing-cache.google.com/safebrowsing/rd/ChNnb29nLW1hbHdhcmUtc2hhdmFyEAEYoZQHIMCVByoQacoBAP______________ADIOIcoBAP___________wA kudryashov_kv DIRECT/173.194.71.102
application/vnd.google.safebrowsing-chunk
Хотелось бы задать еще один вопросик... можно ли сделать так, чтоб юзеру не состоящему в той группе не выдавалось предложение пройти аутентификацию вообще... чтобы зная пароль того, кому доступ разрешен, они не смогли обмануть прокси, введя чужой логин и пароль?

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-07-04 13:20:56

Самс работает в этой связке нормально. статистика для созданных пользователей просматривается. а больше собственно ничего и не надо. Но появилась еще одна неприятная особенность. появляется сообщения следующего рода

Код: Выделить всё

getpeername failed. Error was socket is not connected.
read_fd_with_timeout: client 0.0.0.0 read error = Socket is not connected
прочитал уйму постов про это, кто-то советует прописать порт в smb.conf... было сделано, самба перезагружена. результатов нет. все тоже самое. на форуме тема эта поднималась. http://forum.lissyara.su/viewtopic.php?f=3&t=31366
ничего внятного я так и не прочитал. было сказано что нужно поправить /etc/profile... но как это сделать не написано. может кто нибудь поможет пофиксить этот баг?
вроде ничего критичного, но не по феншую это как-то :smile:

snorlov
подполковник
Сообщения: 3716
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: авторизация ntlm для squid'а

Непрочитанное сообщение snorlov » 2013-07-04 16:11:48

Можно в сквиде приписать его ответ на разные события, html-ки посылаемые лежат в каталоге error...

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-08-22 10:01:54

Итак, уважаемый snorlov помог мне разобраться с главной проблемой, но на этом баги не закончились. Еще несколько неприятных багов обнаружилось в процессе теста всего лишь двумя юзерами нового прокси. Собственно случилось следущее, когда пользователь загружал "тяжелые" странички напичканные видео-контентом, анимацией и прочими красивостями, то изредка выскакивали окошки аутентификации... Погуглив эту проблему, сделал вывод, что все это из за нехватки кол-ва хелперов, прописанных в конфиге сквида. Но увеличение кол-ва вышеупомянутых хелперов, увы ни к чему не привело. Попутно в логи сквида сыпались сообщения следущего содержания.

Код: Выделить всё

got NTLMSSP command 1, expected 3.
Но на просторах сети все-таки было найдено решение, хоть и искать его пришлось довольно долго. И теперь я чувствую в себе обязанность передать свой опыт тем, кто как раз решает подобные проблемы на данный момент.
Собственно виновата во всем Samba и нам необходимо ее пересобрать. Самбу мы не просто устанавливаем из портов, а распаковываем ее исходники и работаем с ними.

Код: Выделить всё

cd /usr/ports/net/samba34
make patch
mcedit /usr/ports/net/samba34/work/samba-34/source/libsmb/ntlmssp.c

и меняем строку

Код: Выделить всё

            if (ntlmssp_command != ntlmssp_state->expected_state) {
                    DEBUG(1, ("got NTLMSSP command %u, expected %u\n", ntlmssp_command, ntlmssp_state->expected_state));
                    return NT_STATUS_INVALID_PARAMETER;
            }
на

Код: Выделить всё

            if (ntlmssp_command != ntlmssp_state->expected_state) {
                    DEBUG(1, ("got NTLMSSP command %u, expected %u\n", ntlmssp_command, ntlmssp_state->expected_state));
                    return NT_STATUS_OK;
            }
Вот и все. Собираем самбу. Ошибки у меня валиться перестали. Окошко авторизации не выскакивает. Желаю успехов тем, кто столкнулся с подобной проблемой. За решение проблемы стоит благодарить mahn0.

Аватара пользователя
Jedi88Knight
рядовой
Сообщения: 47
Зарегистрирован: 2013-06-26 14:07:47
Откуда: Челябинская обл. г.Миасс
Контактная информация:

Re: авторизация ntlm для squid'а

Непрочитанное сообщение Jedi88Knight » 2013-08-22 10:27:46

Ну и наконец я хотел бы акцентировать свое внимание на то, что мне так и не удалось прочитать на форумах и в статьях о том как заставить работать squid и sams в одной связке полноценно. (вполне возможно, что я просто плохо искал) Во всех статьях, которые я изучал при создании своего прокси сервера с авторизацией ntlm умалчивали о том, что если конфиг писать так как в статье, то sams, собственно, может использоваться исключительно для подсчета трафика, создавать свои шаблоны и управлять доступом пользователей не представляется никакой возможности. При клике на кнопку реконфигурации сквида, сам конфиг оного никоим образом не меняется, а вместо этого sams будто бы издеваясь дописывает лишь одну строчку в конфиг squid'а, гласящую о том, что конфиг создан sams'ом именно в тот момент, когда происходила реконфигурация. Пришлось вооружиться документацией squid и именно там я вычитал то, что sams работает с конфигам squid полноценно только в том случае, если в вышеупомянутом конфиге присутствуют необходимы для корректной работы sams теги. (#TAG). Полностью переписав свой конфиг, я пришел вот к такой конфигурации:

Код: Выделить всё

# created by SAMS _sams_ 2013-8-21 16:50:8
#  TAG: http_port
http_port 192.168.2.154:3128

#  TAG: hierarchy_stoplist
hierarchy_stoplist cgi-bin ?

#  TAG: no_cache
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

#  TAG: cache_mem       (bytes)
cache_mem 300 MB

#  TAG: cache_swap_low  (percent, 0-100)
cache_swap_low 90

#  TAG: cache_swap_high (percent, 0-100)
cache_swap_high 95

#  TAG: maximum_object_size     (bytes)
maximum_object_size 4096 KB

#  TAG: minimum_object_size     (bytes)
minimum_object_size 10 KB

#  TAG: maximum_object_size_in_memory   (bytes)
maximum_object_size_in_memory 512 KB

#  TAG: cache_replacement_policy
cache_replacement_policy lru

#  TAG: memory_replacement_policy
memory_replacement_policy lru

#  TAG: cache_dir
cache_dir ufs /var/squid/cache 2000 16 256

#  TAG: access_log
access_log /var/log/squid/access.log squid

#  TAG: cache_log
cache_log /var/log/squid/cache.log squid

#  TAG: cache_store_log
cache_store_log none

#  TAG: redirect_program

#  TAG: redirect_children

#  TAG: redirect_rewrites_host_header

#  TAG: redirector_access

#  TAG: auth_param
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-361082326-2695622485-1845624880-4450
auth_param ntlm children 300
authenticate_ttl 20 minutes

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=S-1-5-21-361082326-2695622485-1845624880-4450
auth_param basic children 60
auth_param basic realm UST Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

#  TAG: refresh_pattern
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

#  TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_5209bc7e57b19 proxy_auth "/usr/local/etc/squid/5209bc7e57b19.sams"
acl UST proxy_auth REQUIRED
acl youtube proxy_auth "/usr/local/etc/squid/youtube.lst"
acl vip proxy_auth "/usr/local/etc/squid/vip.lst"
acl mail_sites url_regex "/usr/local/etc/squid/mail.lst"
acl bed_url url_regex "/usr/local/etc/squid/bed.lst"
acl video_sites url_regex "/usr/local/etc/squid/video.lst"
acl weather url_regex "/usr/local/etc/squid/weather.lst"
acl multimedia urlpath_regex -i \.mp3$ \.mpeg$ \.avi$ \.mov$

acl cont-type-vid rep_mime_type Content-Type video
acl cont-type-aud rep_mime_type Content-Type audio
acl cont-type-aud-mpeg rep_mime_type Content-Type audio/mpeg

acl manager proto cache_object
acl webserver src 192.168.2.9/32
#acl LocalNet src 192.168.2.0/24
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl LocalNet src 10.0.0.0/8
acl post method POST
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https

acl CONNECT method CONNECT

http_access deny mail_sites !vip
http_access deny video_sites !youtube !vip
http_access deny bed_url !vip
http_access deny weather !vip

#  TAG: http_access
http_access allow _sams_default
http_access allow _sams_5209bc7e57b19


http_access allow post localnet
http_access allow manager localhost
http_access allow manager webserver
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#http_access allow LocalNet
http_access deny all
log_access deny localhost

#  TAG: http_reply_access
http_reply_access deny cont-type-vid !youtube
http_reply_access deny cont-type-aud !youtube
http_reply_access deny cont-type-aud-mpeg !youtube
http_reply_access allow all

#  TAG: icp_access

#  TAG: visible_hostname
visible_hostname proxy_ad.ust

#  TAG: memory_pools    on|off
memory_pools off

#  TAG: delay_class

#  TAG: coredump_dir
coredump_dir /var/squid/cache/squid


#Ротация логов
logfile_rotate 4

ignore_unknown_nameservers on
read_timeout 5 minutes
request_timeout 60 seconds
client_lifetime 4 hour
half_closed_clients off
shutdown_lifetime 30 seconds
Именно с этой конфигурацией sams полноценно может создавать шаблоны и ограничивать трафик пользователям.