Авторизация Squid3

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
AndreyD
проходил мимо
Сообщения: 6
Зарегистрирован: 2013-01-18 8:43:07

Авторизация Squid3

Непрочитанное сообщение AndreyD » 2013-01-18 8:53:06

Здравствуйте.
Никак не могу донастроить сквид так чтобы он пускал пользователей по группам из AD.
Вот мой конфиг

Код: Выделить всё

http_port 192.168.110.252:3128
icp_port 0
hierarchy_stoplist cgi-bin ?
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid3/cache 512 16 256 
cache_access_log /usr/local/squid3/log/accesss.log
cache_log /usr/local/squid3/log/caches.log
cache_store_log /usr/local/squid3/log/store.log
cache_mgr admin@kinoforum.local
visible_hostname proxyserver
tcp_outgoing_address 192.168.110.252
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
coredump_dir /usr/local/squid3/cache
pid_filename /usr/local/squid3/log/squid.pid

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Basic Auth
auth_param basic credentialsttl 1 minute

external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl localnet src 192.168.110.0/24
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl CONNECT method CONNECT

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http

acl url-good dstdomain "/usr/local/squid3/url-good.txt"
acl url-bad dstdomain "/usr/local/squid3/url-bad.txt"

acl inet-admins external nt_group inet-admins

http_access allow manager localhost
http_access allow localnet
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny to_localhost

http_access allow url-good
http_access deny url-bad
http_access allow inet-admins !url-good !url-bad

http_access deny all
http_reply_access allow all
icp_access allow all

hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
Вот что в access.log

Код: Выделить всё

1358484470.845      0 192.168.110.3 TCP_DENIED/407 4175 GET http://habrahabr.ru/ - NONE/- text/html
1358484470.847      0 192.168.110.3 TCP_DENIED/407 4520 GET http://habrahabr.ru/ - NONE/- text/html
1358484470.851      2 192.168.110.3 TCP_DENIED/403 4367 GET http://habrahabr.ru/ adurbale NONE/- text/html
в cache.log все гладко.
Глобальная группа распространения inet-admins созданна в корне AD, и я в ней состою

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
skeletor
майор
Сообщения: 2486
Зарегистрирован: 2007-11-16 18:22:04
Откуда: Kiev
Контактная информация:

Re: Авторизация Squid3

Непрочитанное сообщение skeletor » 2013-01-18 18:07:09

У вас проблема с правилами доступа скорее всего.
wbinfo нормально отрабатывает?
"Винда съела дрова и резет здесь не фурычит."
"Все говорят, что у меня /dev/hands криво и я всё делаю через /dev/ass. А у меня этих фалов вообще нет!"

Michael /780
сержант
Сообщения: 281
Зарегистрирован: 2008-08-24 21:11:25
Откуда: Москва

Re: Авторизация Squid3

Непрочитанное сообщение Michael /780 » 2013-01-20 20:25:53

Доброго времени суток!

Вот и у меня подобная проблема. При открытии интернет сайта IE запрашивает пароль. wbinfo нормально отрабатывает, при запуске с параметрами пользователь + группа - сообщает наличие или отсутствие пользователя в группе. Чутье подсказывает что сквид не авторизует. Как бороться?


P.S. Группы созданы в корне AD

AndreyD
проходил мимо
Сообщения: 6
Зарегистрирован: 2013-01-18 8:43:07

Re: Авторизация Squid3

Непрочитанное сообщение AndreyD » 2013-01-21 2:28:51

skeletor писал(а):У вас проблема с правилами доступа скорее всего.
wbinfo нормально отрабатывает?
Извиняюсь за долгий ответ.
Wbinfo работает. У кого-нить ещё есть идеи? Я даже не знаю в какую сторону копать. Если закоментировать правило "http_access allow inet-admins" то всех авторизированных пользователей спокойно пускает в интернет, и сквид считает трафик,

AndreyD
проходил мимо
Сообщения: 6
Зарегистрирован: 2013-01-18 8:43:07

Re: Авторизация Squid3

Непрочитанное сообщение AndreyD » 2013-01-21 2:59:14

Skeletor, спасибо тебе. Я готов тебя расцеловать. Все работает

Michael /780
сержант
Сообщения: 281
Зарегистрирован: 2008-08-24 21:11:25
Откуда: Москва

Re: Авторизация Squid3

Непрочитанное сообщение Michael /780 » 2013-01-21 8:00:24

to AndreyD:

Не хотите поделиться секретом завершения настройки прокси, или помочь в решении проблемы с моей проксей.

AndreyD
проходил мимо
Сообщения: 6
Зарегистрирован: 2013-01-18 8:43:07

Re: Авторизация Squid3

Непрочитанное сообщение AndreyD » 2013-01-25 9:12:47

Michael /780 писал(а):to AndreyD:

Не хотите поделиться секретом завершения настройки прокси, или помочь в решении проблемы с моей проксей.
Вообще у меня уровень не тот. Помогалка ещё не выросла))) Но чем смогу - помогу

AndreyD
проходил мимо
Сообщения: 6
Зарегистрирован: 2013-01-18 8:43:07

Re: Авторизация Squid3

Непрочитанное сообщение AndreyD » 2013-01-25 9:18:38

У меня проблема была, как и написал товарищ Skeletor, в правах доступа на файл wbinfo_group.pl. Ты когда проверяешь его работоспособность, ты запускаешь его под рутом, и у тебя все работает. А сквид запускает все под свом пользователем, и у него может не хватать прав. В логи при этом он ничего не пишет

А IE запрашивает пароль только при basic авторизации. То есть тебе надо настроить ntml или ldap авторизацию для работы с группами

Michael /780
сержант
Сообщения: 281
Зарегистрирован: 2008-08-24 21:11:25
Откуда: Москва

Re: Авторизация Squid3

Непрочитанное сообщение Michael /780 » 2013-01-25 9:38:26

IE запрашивает пароль не только при Basic авторизации. Если Basic авторизацию закомментить, оставить только ntml авторизацию, то все равно запрашивает пароль и не принимает его (доменного пользователя).
А Basic авторизация как-раз работает через wbinfo_group.pl.

AndreyD
проходил мимо
Сообщения: 6
Зарегистрирован: 2013-01-18 8:43:07

Re: Авторизация Squid3

Непрочитанное сообщение AndreyD » 2013-01-25 9:41:19

А покажи-ка конфиг сквида

Michael /780
сержант
Сообщения: 281
Зарегистрирован: 2008-08-24 21:11:25
Откуда: Москва

Re: Авторизация Squid3

Непрочитанное сообщение Michael /780 » 2013-01-25 10:23:46

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 5 minute
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_ttl 2 hour


external_acl_type nt_group ttl=120 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

debug_options ALL,1 28,9

#acl    all             src     0.0.0.0/0.0.0.0
acl     inet_full       external nt_group inet_full
acl     inet_users      external nt_group inet_users
acl     inet_allow_users url_regex        "/usr/local/etc/squid2/acl/allow_domain.acl"
#acl     inet_icq        external nt_group inet_icq
#
#acl     inet_analit     external nt_group inet_analit
#acl     inet_restrict   external nt_group inet_restrict
#acl     inet_connect    external nt_group inet_connect
#acl     DomainUsers            proxy_auth     REQUIRED
acl     SSL_ports               port    443 563
.
acl     SSL_for_client_banks    port    910 8443 4500

acl     safe_ports              port    80      # http
acl     safe_ports              port    21      # ftp
acl     safe_ports              port    443     # ssl
acl     ICQ_ports               port    5190    # ICQ

acl     CONNECT                 method  CONNECT

acl     manager                 proto   cache_object


acl localhost src 127.0.0.1/32

http_access     allow   inet_allow_users inet_users
http_access     deny    inet_users      all
http_access     allow   inet_full       all
http_access     deny                    all




http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?


acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
cache_dir ufs /usr/local/squid2/cache 5000 64 512
access_log /var/log/squid2/access.log squid
cache_store_log /var/log/squid2/cache.log
hosts_file /etc/hosts
pid_filename /var/log/squid2/squid2.pid
coredump_dir /usr/local/squid2/cache
append_domain .alpha.local
error_directory /usr/local/etc/squid2/errors/Russian-1251

Andrey_D
проходил мимо

Re: Авторизация Squid3

Непрочитанное сообщение Andrey_D » 2013-01-26 6:13:37

Значит так. Для начала тебе надо разобраться с авторизацией. Попробуй вот такую вкрсию конфига. В ней все пользователи прошедшие авторизацию должны попадать в интернет, а остальных блокировать. И ещё в первой строке добавь в хелпер --domain имя своего домена

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=ТВОЙ_ДОМЕН.local
auth_param ntlm children 5
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 5 minute
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_ttl 2 hour

external_acl_type nt_group ttl=120 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

debug_options ALL,1 28,9

#acl    all             src     0.0.0.0/0.0.0.0
acl     inet_full       external nt_group inet_full
acl     inet_users      external nt_group inet_users
acl     inet_allow_users url_regex        "/usr/local/etc/squid2/acl/allow_domain.acl"
#acl     inet_icq        external nt_group inet_icq
#
#acl     inet_analit     external nt_group inet_analit
#acl     inet_restrict   external nt_group inet_restrict
#acl     inet_connect    external nt_group inet_connect
#acl     DomainUsers            proxy_auth     REQUIRED
acl     SSL_ports               port    443 563
.
acl     SSL_for_client_banks    port    910 8443 4500

acl     safe_ports              port    80      # http
acl     safe_ports              port    21      # ftp
acl     safe_ports              port    443     # ssl
acl     ICQ_ports               port    5190    # ICQ

acl     CONNECT                 method  CONNECT

acl     manager                 proto   cache_object
acl auth proxy_auth REQUIRED


acl localhost src 127.0.0.1/32

http_access allow auth
http_access deny all

http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
cache_dir ufs /usr/local/squid2/cache 5000 64 512
access_log /var/log/squid2/access.log squid
cache_store_log /var/log/squid2/cache.log
hosts_file /etc/hosts
pid_filename /var/log/squid2/squid2.pid
coredump_dir /usr/local/squid2/cache
append_domain .alpha.local
error_directory /usr/local/etc/squid2/errors/Russian-1251
И обязательно напиши какую ошибку сквид пишет а access.log и нет ли ошибок в cashe.log

Michael /780
сержант
Сообщения: 281
Зарегистрирован: 2008-08-24 21:11:25
Откуда: Москва

Re: Авторизация Squid3

Непрочитанное сообщение Michael /780 » 2013-01-28 7:48:57

Хэлпер это не это ? append_domain .alpha.local
В логах ничего особенного нет.

Конфиг обязательно попробую. Спасибо.

Andrey_D
проходил мимо

Re: Авторизация Squid3

Непрочитанное сообщение Andrey_D » 2013-01-28 9:53:07

Нет, хелпер это

Код: Выделить всё

--helper-protocol=squid-2.5-ntlmssp --domain=ТВОЙ_ДОМЕН.local