Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
AndreyD
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2013-01-18 8:43:07
Непрочитанное сообщение
AndreyD » 2013-01-18 8:53:06
Здравствуйте.
Никак не могу донастроить сквид так чтобы он пускал пользователей по группам из AD.
Вот мой конфиг
Код: Выделить всё
http_port 192.168.110.252:3128
icp_port 0
hierarchy_stoplist cgi-bin ?
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid3/cache 512 16 256
cache_access_log /usr/local/squid3/log/accesss.log
cache_log /usr/local/squid3/log/caches.log
cache_store_log /usr/local/squid3/log/store.log
cache_mgr admin@kinoforum.local
visible_hostname proxyserver
tcp_outgoing_address 192.168.110.252
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
coredump_dir /usr/local/squid3/cache
pid_filename /usr/local/squid3/log/squid.pid
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Basic Auth
auth_param basic credentialsttl 1 minute
external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl localnet src 192.168.110.0/24
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl CONNECT method CONNECT
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl url-good dstdomain "/usr/local/squid3/url-good.txt"
acl url-bad dstdomain "/usr/local/squid3/url-bad.txt"
acl inet-admins external nt_group inet-admins
http_access allow manager localhost
http_access allow localnet
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny to_localhost
http_access allow url-good
http_access deny url-bad
http_access allow inet-admins !url-good !url-bad
http_access deny all
http_reply_access allow all
icp_access allow all
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
Вот что в access.log
Код: Выделить всё
1358484470.845 0 192.168.110.3 TCP_DENIED/407 4175 GET http://habrahabr.ru/ - NONE/- text/html
1358484470.847 0 192.168.110.3 TCP_DENIED/407 4520 GET http://habrahabr.ru/ - NONE/- text/html
1358484470.851 2 192.168.110.3 TCP_DENIED/403 4367 GET http://habrahabr.ru/ adurbale NONE/- text/html
в cache.log все гладко.
Глобальная группа распространения inet-admins созданна в корне AD, и я в ней состою
AndreyD
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
skeletor
- майор
- Сообщения: 2548
- Зарегистрирован: 2007-11-16 18:22:04
Непрочитанное сообщение
skeletor » 2013-01-18 18:07:09
У вас проблема с правилами доступа скорее всего.
wbinfo нормально отрабатывает?
skeletor
-
Michael /780
- сержант
- Сообщения: 297
- Зарегистрирован: 2008-08-24 21:11:25
- Откуда: Москва
Непрочитанное сообщение
Michael /780 » 2013-01-20 20:25:53
Доброго времени суток!
Вот и у меня подобная проблема. При открытии интернет сайта IE запрашивает пароль. wbinfo нормально отрабатывает, при запуске с параметрами пользователь + группа - сообщает наличие или отсутствие пользователя в группе. Чутье подсказывает что сквид не авторизует. Как бороться?
P.S. Группы созданы в корне AD
Michael /780
-
AndreyD
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2013-01-18 8:43:07
Непрочитанное сообщение
AndreyD » 2013-01-21 2:28:51
skeletor писал(а):У вас проблема с правилами доступа скорее всего.
wbinfo нормально отрабатывает?
Извиняюсь за долгий ответ.
Wbinfo работает. У кого-нить ещё есть идеи? Я даже не знаю в какую сторону копать. Если закоментировать правило "http_access allow inet-admins" то всех авторизированных пользователей спокойно пускает в интернет, и сквид считает трафик,
AndreyD
-
AndreyD
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2013-01-18 8:43:07
Непрочитанное сообщение
AndreyD » 2013-01-21 2:59:14
Skeletor, спасибо тебе. Я готов тебя расцеловать. Все работает
AndreyD
-
Michael /780
- сержант
- Сообщения: 297
- Зарегистрирован: 2008-08-24 21:11:25
- Откуда: Москва
Непрочитанное сообщение
Michael /780 » 2013-01-21 8:00:24
to AndreyD:
Не хотите поделиться секретом завершения настройки прокси, или помочь в решении проблемы с моей проксей.
Michael /780
-
AndreyD
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2013-01-18 8:43:07
Непрочитанное сообщение
AndreyD » 2013-01-25 9:12:47
Michael /780 писал(а):to AndreyD:
Не хотите поделиться секретом завершения настройки прокси, или помочь в решении проблемы с моей проксей.
Вообще у меня уровень не тот. Помогалка ещё не выросла))) Но чем смогу - помогу
AndreyD
-
AndreyD
- проходил мимо
- Сообщения: 6
- Зарегистрирован: 2013-01-18 8:43:07
Непрочитанное сообщение
AndreyD » 2013-01-25 9:18:38
У меня проблема была, как и написал товарищ Skeletor, в правах доступа на файл wbinfo_group.pl. Ты когда проверяешь его работоспособность, ты запускаешь его под рутом, и у тебя все работает. А сквид запускает все под свом пользователем, и у него может не хватать прав. В логи при этом он ничего не пишет
А IE запрашивает пароль только при basic авторизации. То есть тебе надо настроить ntml или ldap авторизацию для работы с группами
AndreyD
-
Michael /780
- сержант
- Сообщения: 297
- Зарегистрирован: 2008-08-24 21:11:25
- Откуда: Москва
Непрочитанное сообщение
Michael /780 » 2013-01-25 9:38:26
IE запрашивает пароль не только при Basic авторизации. Если Basic авторизацию закомментить, оставить только ntml авторизацию, то все равно запрашивает пароль и не принимает его (доменного пользователя).
А Basic авторизация как-раз работает через wbinfo_group.pl.
Michael /780
-
Michael /780
- сержант
- Сообщения: 297
- Зарегистрирован: 2008-08-24 21:11:25
- Откуда: Москва
Непрочитанное сообщение
Michael /780 » 2013-01-25 10:23:46
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 5 minute
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_ttl 2 hour
external_acl_type nt_group ttl=120 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
debug_options ALL,1 28,9
#acl all src 0.0.0.0/0.0.0.0
acl inet_full external nt_group inet_full
acl inet_users external nt_group inet_users
acl inet_allow_users url_regex "/usr/local/etc/squid2/acl/allow_domain.acl"
#acl inet_icq external nt_group inet_icq
#
#acl inet_analit external nt_group inet_analit
#acl inet_restrict external nt_group inet_restrict
#acl inet_connect external nt_group inet_connect
#acl DomainUsers proxy_auth REQUIRED
acl SSL_ports port 443 563
.
acl SSL_for_client_banks port 910 8443 4500
acl safe_ports port 80 # http
acl safe_ports port 21 # ftp
acl safe_ports port 443 # ssl
acl ICQ_ports port 5190 # ICQ
acl CONNECT method CONNECT
acl manager proto cache_object
acl localhost src 127.0.0.1/32
http_access allow inet_allow_users inet_users
http_access deny inet_users all
http_access allow inet_full all
http_access deny all
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
cache_dir ufs /usr/local/squid2/cache 5000 64 512
access_log /var/log/squid2/access.log squid
cache_store_log /var/log/squid2/cache.log
hosts_file /etc/hosts
pid_filename /var/log/squid2/squid2.pid
coredump_dir /usr/local/squid2/cache
append_domain .alpha.local
error_directory /usr/local/etc/squid2/errors/Russian-1251
Michael /780
-
Andrey_D
- проходил мимо
Непрочитанное сообщение
Andrey_D » 2013-01-26 6:13:37
Значит так. Для начала тебе надо разобраться с авторизацией. Попробуй вот такую вкрсию конфига. В ней все пользователи прошедшие авторизацию должны попадать в интернет, а остальных блокировать. И ещё в первой строке добавь в хелпер --domain имя своего домена
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=ТВОЙ_ДОМЕН.local
auth_param ntlm children 5
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 5 minute
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_ttl 2 hour
external_acl_type nt_group ttl=120 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
debug_options ALL,1 28,9
#acl all src 0.0.0.0/0.0.0.0
acl inet_full external nt_group inet_full
acl inet_users external nt_group inet_users
acl inet_allow_users url_regex "/usr/local/etc/squid2/acl/allow_domain.acl"
#acl inet_icq external nt_group inet_icq
#
#acl inet_analit external nt_group inet_analit
#acl inet_restrict external nt_group inet_restrict
#acl inet_connect external nt_group inet_connect
#acl DomainUsers proxy_auth REQUIRED
acl SSL_ports port 443 563
.
acl SSL_for_client_banks port 910 8443 4500
acl safe_ports port 80 # http
acl safe_ports port 21 # ftp
acl safe_ports port 443 # ssl
acl ICQ_ports port 5190 # ICQ
acl CONNECT method CONNECT
acl manager proto cache_object
acl auth proxy_auth REQUIRED
acl localhost src 127.0.0.1/32
http_access allow auth
http_access deny all
http_port 3128
icp_port 0
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 128 MB
cache_dir ufs /usr/local/squid2/cache 5000 64 512
access_log /var/log/squid2/access.log squid
cache_store_log /var/log/squid2/cache.log
hosts_file /etc/hosts
pid_filename /var/log/squid2/squid2.pid
coredump_dir /usr/local/squid2/cache
append_domain .alpha.local
error_directory /usr/local/etc/squid2/errors/Russian-1251
И обязательно напиши какую ошибку сквид пишет а access.log и нет ли ошибок в cashe.log
Andrey_D
-
Michael /780
- сержант
- Сообщения: 297
- Зарегистрирован: 2008-08-24 21:11:25
- Откуда: Москва
Непрочитанное сообщение
Michael /780 » 2013-01-28 7:48:57
Хэлпер это не это ? append_domain .alpha.local
В логах ничего особенного нет.
Конфиг обязательно попробую. Спасибо.
Michael /780