Статья squid+AD

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Jan
мл. сержант
Сообщения: 118
Зарегистрирован: 2007-11-07 16:44:21
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Jan » 2008-02-04 10:58:02

lissyara писал(а):смотри конфиг.
лбо всем всё запретил, либо юзер не в группе
Конфиг использовал твой 1 в 1 из статьи.

Код: Выделить всё

acl  inet_users external nt_group inet_users
Я так понимаю, что nt_group должно быть название из моей AD?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2008-02-04 11:24:19

нет.
inet_users - это имя группы.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Jan
мл. сержант
Сообщения: 118
Зарегистрирован: 2007-11-07 16:44:21
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Jan » 2008-02-04 11:43:57

lissyara писал(а):нет.
inet_users - это имя группы.
Понятно, но вот только смотрю всё-таки в сторону ipnat, так как

Код: Выделить всё

sockstat | grep perl
выдаёт

Код: Выделить всё

squid    perl5.8.8  29493 0  stream -> ??
squid    perl5.8.8  29493 1  stream -> ??
squid    perl5.8.8  29492 0  stream -> ??
squid    perl5.8.8  29492 1  stream -> ??
squid    perl5.8.8  29491 0  stream -> ??
squid    perl5.8.8  29491 1  stream -> ??
squid    perl5.8.8  29490 0  stream -> ??
squid    perl5.8.8  29490 1  stream -> ??
squid    perl5.8.8  29489 0  stream -> ??
squid    perl5.8.8  29489 1  stream -> ??
Грабли в этой стороне ил где-то ещё?;)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2008-02-04 11:50:19

понятия не имею.
У меня пашет =)
И ещё у человек нескольких с форума кто по статье делал.
=====
метод CTRL+С && CTRL+V тут не проходит - надо думать.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Jan
мл. сержант
Сообщения: 118
Зарегистрирован: 2007-11-07 16:44:21
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Jan » 2008-02-04 11:59:31

lissyara писал(а):понятия не имею.
У меня пашет =)
И ещё у человек нескольких с форума кто по статье делал.
=====
метод CTRL+С && CTRL+V тут не проходит - надо думать.
Попробую на другой машине с обычным NAT'ом поднять сквиду.
Скажи, у тебя NAT или чёт другое?;)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2008-02-04 12:14:17

авторизация - тока для непрозрачного прокси.
Следовательно - никаких натов у меня быть не может.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Morty
ст. лейтенант
Сообщения: 1370
Зарегистрирован: 2007-07-17 23:25:12

Re: Статья squid+AD

Непрочитанное сообщение Morty » 2008-02-06 12:32:43

у меня статья SQUID + AD работает. вообще суперская статья, еще добавил lightsquid(кстати его тоже
где то тут толи на форуме толи в статьях подсмотрле) для статистики
под эту статью легло просто заглядение :)

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Статья squid+AD

Непрочитанное сообщение freeman » 2008-02-27 12:51:41

Интересный вопрос - не пускает пользователя в интернет, которому разрешено через ntlm туда попадать.
Решение - в настройках учётной записи убрано огранричение "разрешён вход толькол на такие то компьютеры"
Другие решения есть ? ДОбавлять вход на комп где стоит SQuid вроде не помогает.
Остатся должен только один ...

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2008-02-27 17:23:03

а я вот так и не понял как сделать так, чтобы юзеров из определенной группы нельзя им было в инет ходить.. к примеру все юзеры в ладпе, все ходят в инет по ntlm.. а вот неокторым бюзерам из группы msk в инет нельзя.. неужели никто не знает как осуществить сие?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2008-02-27 18:44:29

f0s писал(а):а я вот так и не понял как сделать так, чтобы юзеров из определенной группы нельзя им было в инет ходить.. к примеру все юзеры в ладпе, все ходят в инет по ntlm.. а вот неокторым бюзерам из группы msk в инет нельзя.. неужели никто не знает как осуществить сие?
А подумать?
Сочетание нескольких acl ..

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2008-02-28 9:54:49

gmn писал(а):
f0s писал(а):а я вот так и не понял как сделать так, чтобы юзеров из определенной группы нельзя им было в инет ходить.. к примеру все юзеры в ладпе, все ходят в инет по ntlm.. а вот неокторым бюзерам из группы msk в инет нельзя.. неужели никто не знает как осуществить сие?
А подумать?
Сочетание нескольких acl ..

есть варианты? ты пробовал?

вот как я пытался:

Код: Выделить всё

# здесь авторизация доменных. Все пользователи в openldap
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param ntlm keep_alive on
# а это если вдруг доменная не сработала:
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 3
auth_param basic realm router.artpaint
auth_param basic credentialsttl 2 hour
auth_param basic casesensitive off
# это для того, чтобы можно было группы из openldap смотреть.
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
# работает оно корректно кстати (правильно показывает что юзер входит в группу msk, но не входит в buh), ниже вывод:
# [f0s@router] /home/f0s/> /usr/local/libexec/squid/wbinfo_group.pl
# f0s msk
# OK
# f0s buh
# ERR
#
# идем далее
#вот acl-ки:
acl     all             src             0.0.0.0/0.0.0.0
acl     localhost       src             127.0.0.0/8
acl     sqstat          src             192.168.10.8
acl     our_network     src             192.168.10.0/24
acl     manager         proto           cache_object
acl     admins          external nt_group admins
acl     msk             external nt_group msk
acl     DomainUsers     proxy_auth      REQUIRED
acl SSL_ports port 443
acl SSL_ports port 5190
acl Safe_ports port 80          # http
acl Safe_ports port 8080        # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 22          # ssh
acl Safe_ports port 5190        # icq
acl Safe_ports port 2082        # ARBATEK
acl Safe_ports port 24554       # fido
acl CONNECT method CONNECT


http_access     allow   manager         sqstat
http_access     deny    manager
http_access     deny    msk
http_access     deny    !Safe_ports
http_access     deny    CONNECT !SSL_ports
http_access     allow   DomainUsers our_network
http_access     deny    DomainUsers
deny_info       ERR_ACCESS_DENIED       all
http_access     deny    all
и все равно группу msk пускает, хоть она и стоит в deny
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2008-02-28 10:26:13

Подозреваю, что для wbinfo логин передается с доменом в виде "domain\login", и тот выдает ERR.
Но пользователь то авторизирован и его пускает по след. правилу.
Для ldap-group я добавлял опцию, чтобы домен "выкусывать":
squid_ldap_group -S

Pangolin
рядовой
Сообщения: 26
Зарегистрирован: 2007-11-19 11:03:34
Откуда: Москва
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Pangolin » 2008-02-28 15:20:27

наверное проблема состоит в том что правило

Код: Выделить всё

http_access     deny    msk
стоит до правила

Код: Выделить всё

http_access     allow   DomainUsers our_network
сначала система проверяет принадлежит ли пользователь к группе msk а потом принадлежит ли он группе DomainUsers. а так как любой кто смог авторизоваться в домене уже является DomainUsers'ом то иго и пропускает

==================================================================
Добавлено.

Извините чушь сморозил, не внимательно прочитал конфиг
Не все так плохо как Вы думаете... все значительно хуже!

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2008-02-28 17:19:38

Pangolin писал(а):наверное проблема состоит в том что правило

Код: Выделить всё

http_access     deny    msk
стоит до правила

Код: Выделить всё

http_access     allow   DomainUsers our_network
сначала система проверяет принадлежит ли пользователь к группе msk а потом принадлежит ли он группе DomainUsers. а так как любой кто смог авторизоваться в домене уже является DomainUsers'ом то иго и пропускает

==================================================================
Добавлено.

Извините чушь сморозил, не внимательно прочитал конфиг
Нет, не верно.
Чтобы проверить членство в группе, надо передать параметр логин, и чтобы он появился, надо авторизироваться.

Т.е. посмотрите мой пост выше.

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2008-02-28 18:06:40

gmn писал(а):Подозреваю, что для wbinfo логин передается с доменом в виде "domain\login", и тот выдает ERR.
Но пользователь то авторизирован и его пускает по след. правилу.
Для ldap-group я добавлял опцию, чтобы домен "выкусывать":
squid_ldap_group -S

это где такое?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2008-02-28 19:23:10

f0s писал(а):
gmn писал(а):Подозреваю, что для wbinfo логин передается с доменом в виде "domain\login", и тот выдает ERR.
Но пользователь то авторизирован и его пускает по след. правилу.
Для ldap-group я добавлял опцию, чтобы домен "выкусывать":
squid_ldap_group -S
это где такое?
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
%LOGIN - в виде login или domain\login ?
И wbinfo и так и так правильный ответ дает?

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение f0s » 2008-02-28 19:50:53

gmn писал(а):
f0s писал(а):
gmn писал(а):Подозреваю, что для wbinfo логин передается с доменом в виде "domain\login", и тот выдает ERR.
Но пользователь то авторизирован и его пускает по след. правилу.
Для ldap-group я добавлял опцию, чтобы домен "выкусывать":
squid_ldap_group -S
это где такое?
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
%LOGIN - в виде login или domain\login ?
И wbinfo и так и так правильный ответ дает?

Код: Выделить всё

[f0s@router] /home/f0s/> /usr/local/libexec/squid/wbinfo_group.pl
f0s msk
OK
f0s buh
ERR

Код: Выделить всё

[f0s@router] /home/f0s/> /usr/local/libexec/squid/wbinfo_group.pl
ARTPAINT\f0s msk
Could not get groups for user ARTPAINT\f0s
ERR
ARTPAINT\f0s it
Could not get groups for user ARTPAINT\f0s
ERR

то есть возможно добавляется домен? И что в этом случае делать?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2008-02-28 20:07:30

f0s писал(а):то есть возможно добавляется домен? И что в этом случае делать?
Наверняка добавляется.
Проверить.
Убрать домен.
wbinfo.pl - скрипт на Перле.

Аватара пользователя
freeman
лейтенант
Сообщения: 734
Зарегистрирован: 2007-03-18 5:13:25

Re: Статья squid+AD

Непрочитанное сообщение freeman » 2008-02-29 14:06:51

freeman писал(а):Интересный вопрос - не пускает пользователя в интернет, которому разрешено через ntlm туда попадать.
Решение - в настройках учётной записи убрано огранричение "разрешён вход толькол на такие то компьютеры"
Другие решения есть ? ДОбавлять вход на комп где стоит SQuid вроде не помогает.
Что никто не использует ограничения входа пользовтелей только на "свои" компы ?
Остатся должен только один ...

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2008-02-29 15:04:26

freeman писал(а):
freeman писал(а):Интересный вопрос - не пускает пользователя в интернет, которому разрешено через ntlm туда попадать.
Решение - в настройках учётной записи убрано огранричение "разрешён вход толькол на такие то компьютеры"
Другие решения есть ? ДОбавлять вход на комп где стоит SQuid вроде не помогает.
Что никто не использует ограничения входа пользовтелей только на "свои" компы ?
У меня не используется.
+ сервер со сквидом без самбы (работаю через ldap + fakeauth).

SomeThingWrong
проходил мимо

Re: Статья squid+AD

Непрочитанное сообщение SomeThingWrong » 2008-03-14 12:01:34

нужно передать сквиду правило где есь два условия: 1. юзер авторизован, 2. входит в группу:

http_access deny DomainUsers msk

strelok
рядовой
Сообщения: 10
Зарегистрирован: 2008-03-04 9:15:48

Re: Статья squid+AD

Непрочитанное сообщение strelok » 2008-04-01 19:21:52

Добрый вечер.
Подскажите пожалуйста как настроить The Bat! чтобы забирал почту через squid?
Уже мучаюсь долгое время, пробовал разрешать порты в squid, но толку никакого.

Фаерволом 110 и 25 -е порты открыты, то есть без сквида все работает, а вот как через squid можно коннектится?
Спасибо.

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2008-04-01 19:32:53

strelok писал(а):Добрый вечер.
Подскажите пожалуйста как настроить The Bat! чтобы забирал почту через squid?
Уже мучаюсь долгое время, пробовал разрешать порты в squid, но толку никакого.

Фаерволом 110 и 25 -е порты открыты, то есть без сквида все работает, а вот как через squid можно коннектится?
Спасибо.
Никак.
SQUID - http-прокси.

strelok
рядовой
Сообщения: 10
Зарегистрирован: 2008-03-04 9:15:48

Re: Статья squid+AD

Непрочитанное сообщение strelok » 2008-04-02 8:48:21

Никак.
SQUID - http-прокси.
Я понимаю, но как сделать чтобы почта забиралась минуя сквид?
В ipfw у меня 110 и 25 порты разрешены, без сквида все работает.
Получается в конфиге сквида нужно что-то разрешить?
Я пробовал уже прописывать там эти порты, но результат нулевой.
Подскажите, как это можно решить?

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2008-04-02 9:24:24

strelok писал(а):
Никак.
SQUID - http-прокси.
Я понимаю, но как сделать чтобы почта забиралась минуя сквид?
В ipfw у меня 110 и 25 порты разрешены, без сквида все работает.
Получается в конфиге сквида нужно что-то разрешить?
Я пробовал уже прописывать там эти порты, но результат нулевой.
Подскажите, как это можно решить?
"без сквида все работает" - и хорошо.
А через сквид pop3 и smtp работать не будут.