Статья squid+AD

[Alex_PC]

Может это совпадение , и дело не в этом но выскажусь.
Наблюдал различные тормаза при команде wbinfo с различными ключами.
Я убрал строку

winbind separator = +

во первых будет нормально отображатся связка не domain+user , а более привычно domain\user.
Во вторых у меня пропали тормоза
Но это возможно совпадение

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex_PC]

При вводе в домен пишет вот такую вот строчку

The workgroup in /usr/local/etc/smb.conf does not match the short
domain name obtained from the server.
Using the name [DOMAIN] from the server.
You should set "workgroup = DOMAIN" in /usr/local/etc/smb.conf.
Using short domain name -- DOMAIN
DNS update failed!
Joined 'FREEBSD' to realm 'DOMAIN.NET'

В домен вводится.
wbinfo с ключами проходят на ура. Helper тоже проходит без проблем.
Напрягает

DNS update failed!

[AlektroNik]

Попингуй DOMAIN.NET пару раз!
Скорей всего у тебя в /etc/resolv.conf не корректно прописан nameserver !!!

[george]

Классная статья спасибо автору
Все сделал проверил работает )
Мне не подходили готовые решения типа ipcop
так как мне нужна была гибкость и тут делай что хочу создавай группы с нужным тебе набором
Но вот один ньюанс
если я стартую свкид из под рута в ручную то все работает как надо
если ставлю автозапуском в rc.conf
то достаточно юзеру быть ччленом домена или поросту авторизоваться и все ходит куад хочешь
если убить проццесс и в ручную запустить то все ок опять все рулится по группам
в начале ругался что у него не было пермишенов на текстовые файлы с сетями итд указааные в squid.conf
все поправил не ругает но доменных пользователей пускает без груупп
главное авторизоваться
хочу заметить если вручную перезапустяить то все ок
в списке процессов заметил
сквид запускает два процесса типа (squid) squid- D (squid)
и
/usr/local /sbin/ squid -D
и дочек для авторизации
и оба от пользователся squid
если убить и в ручную запустить
ьл все тоже самое но один из процессов идет от root
И ВЭТОМ случае все работает
помогите куда смотреть ??
спс

[george]

В догонку первому посту. после копаний выяснил ещё вот чего
при старте сквида cache.log вот что пишет
"
wbinfo: not found
wbinfo: not found
Can't exec "wbinfo": No such file or directory at /usr/local/libexec/squid/wbinfo_group.pl line 53, <STDIN> line1
Use of uninitialized value in pattern match (m//) at /usr/local/libexec/squid/wbinfo_group.pl line 53, <STDIN> line1
"

если стартовать от root
то соотв такого сообщения нет.
вот привожу часть файла /usr/local/libexec/squid/wbinfo_group.pl
sub check {
local($user, $group) = @_;
$groupSID = `wbinfo -n "$group" | cut -d" " -f1`;
chop $groupSID;
50 $groupGID = `wbinfo -Y "$groupSID"`;
51 chop $groupGID;
52 &debug( "User: -$user-\nGroup: -$group-\nSID: -$groupSID-\nGID: -$groupGID-");
53 return 'OK' if(`wbinfo -r \Q$user\E` =~ /^$groupGID$/m);
54 return 'ERR';
}

[george]

Ура решилось.
Все оказалось что при старте компа и призапуске скрипта wbinfo_group.pl
SQUID не находит путь к wbinfo и соотв надо указывать полный путь
wbinfo лежит в /usr/local/bin/ ( во всяком случае у меня )
значит и соотв правим wbinfo_group.pl

sub check {
local($user, $group) = @_;
$groupSID = `/usr/local/bin/wbinfo -n "$group" | cut -d" " -f1`;
chop $groupSID;
50 $groupGID = `/usr/local/bin/wbinfo -Y "$groupSID"`;
51 chop $groupGID;
52 &debug( "User: -$user-\nGroup: -$group-\nSID: -$groupSID-\nGID: -$groupGID-");
53 return 'OK' if(`/usr/local/bin/wbinfo -r \Q$user\E` =~ /^$groupGID$/m);
54 return 'ERR';
}

[AlektroNik]

В скрипте то все правильно!

У тебя почему-то wbinfo не схватилось, поидее перезагрузка должна была помочь полюбому или rehash (Оно должно запускаться не только по полному пути, но и только по имени)
Мой тебе совет, разберись в чем проблема, иначе могут глюки быть в дальнейшем, по скриптам не налазиешься!!!

Вот что у меня к примеру выводит:

Код: Выделить всё

#where wbinfo
/usr/local/bin/wbinfo

Мне кстати тоже интерестно гдеже храняться эти пути для запуска чисто по имени!!! Может кто подскажет?

[ce-zar]

Подскажите, пожалуйста, уважаемые ГУРУ, в такой проблеме:
Установил squid 2.6.STABLE16 на FreeBSD 6.3. Пытаюсь раздать права на Инет пользователям через виндовые группы, ничего не выходит, хотя базовая авторизация проходит...
1. Правда ли, что в этом сквиде не работает авторизация ntlm?
2. Будет ли работать авторизация, если установлен прозрачный прокси (http_port 3128 transparent)?
Спасибо за ответы!!!

[AlektroNik]

1) В squid 2.6.STABLE16 пашет!!! Обновим порты и поставь, если есть желание squid 2.6.STABLE20 (у меня фряха 7.0)
(Почитай эту статейку http://www.lissyara.su/?id=1375 )
2) Через прозрачный прокси авторизация пахать не будет!!!!

[ce-zar]

1) В squid 2.6.STABLE16 пашет!!! Обновим порты и поставь, если есть желание squid 2.6.STABLE20 (у меня фряха 7.0)
(Почитай эту статейку http://www.lissyara.su/?id=1375 )
2) Через прозрачный прокси авторизация пахать не будет!!!!

Добрый день, AlektroNik. Спасибо за ответ... Именно по этой статье и настраивал сквид. Обрадовали, что пашет! Буду экспериментировать!

[alex_razor.]

Добрый день!
Сделал все как в статье. Конфиг такой же. В домен влез. Билетик получил. Но вот что не получается:
При попытке wbinfo -u получаю

Код: Выделить всё

Error looking up domain users

, wbinfo -g -

Код: Выделить всё

Error looking up domain groups

.
Однако, не меняя конфига, пробовал разные варриации команд

Код: Выделить всё

net user net lookup

и т.д. и различные ключи wbinfo вдруг обнаружил, что wbinfo -u и -п стали выводить и юзеров домена, и группы. После рестарта самбы все снова пропадает. Иногда работает только wbinfo -u, а -g не работает... куда смотреть?

[Alex Keda]

в логи

[alex_razor.]

Какие хоть логи то?

[AlektroNik]

Покажи /etc/hosts и /etc/resolv.conf !!!

[alex_razor.]

Покажи /etc/hosts и /etc/resolv.conf !!!

/etc/hosts

Код: Выделить всё

::1			localhost localhost.netown    # это само прописалось когда в домен походу ввелся
127.0.0.1		localhost localhost.netown  # это само прописалось когда в домен походу ввелся
192.168.1.1		pserver.netown  #фрибсд
192.168.1.10		server.netown server #конроллер домена 

/etc/resolv.conf

Код: Выделить всё

nameserver 192.168.1.10

днсов провайдера в resolv.conf нету, сетевуха, смотрящая в инет, к инету не подключена...

[AlektroNik]

Покажи:
1)hostname (знаю что повторяюсь, просто хочу кое-что проверить)
2)ping ping domain.ru (т.е. пингани домен без имени самого сервера)
3)nslookup 192.168.1.10
4)krb5.conf
5)nsswitch.conf
6)smb.conf

[alex_razor.]

hostname:

Код: Выделить всё

pserver# hostname
pserver.netown

ping:

Код: Выделить всё

pserver# ping netown
PING netown (192.168.1.10): 56 data bytes
64 bytes from 192.168.1.10: icmp_seq=0 ttl=128 time=0.160 ms
64 bytes from 192.168.1.10: icmp_seq=1 ttl=128 time=0.186 ms
64 bytes from 192.168.1.10: icmp_seq=2 ttl=128 time=0.145 ms

nslookup:

Код: Выделить всё

pserver# nslookup 192.168.1.10
Server:		192.168.1.10
Address:	192.168.1.10#53

** server can't find 10.1.168.192.in-addr.arpa.: NXDOMAIN

krb5.conf:

Код: Выделить всё

pserver# cat /etc/krb5.conf
[libdefaults]
        default_realm = NETOWN

[realms]
        NETOWN = {
                kdc = NETOWN
                admin_server = NETOWN
        }

[domain_realm]
        .netown = NETOWN

[logging]
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmin.log
        default = FILE:/var/log/krb5lib.log

nsswitch.conf:

Код: Выделить всё

pserver# cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1 2006/05/03 15:14:47 ume Exp $
#
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files

smb.conf:

Код: Выделить всё

pserver# cat /usr/local/etc/smb.conf
[global]
        workgroup = NETOWN
        security = ADS
        password server = NETOWN.LOCAL
        realm = NETOWN.LOCAL
        netbios name = pserver.netown
        server string = Proxy server of netown
        log level = 10
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        winbind uid = 10000-20000
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        # for mail
        template homedir = /usr/home/%D/%U
        template shell=/bin/sh
        # added by lissyara 2007-06-21 in 10:36
        #magic script = /root/scripts/create_user_dir.sh %U
[printers]
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
        browseable = No
        use client driver = yes
        public = No

[AlektroNik]

Народ ПЛИЗ ХЕЛП .... ГУРУ ... ПРИЗЫВАЮ НА ПОМОЩЬ!!!
Сегодня начал переводить народ на свою проксючасть перевел (+ в политиках домена еще сделал правило, чтобы моя прокся подсасывалась) и фряха начала выдавать такое сообщение:

kernel: Limiting open port RST response from 225 to 200 packets/sec
и т.д.

Перезапустился, прокся хоть и пашет, но ошибка лезет!
Есть у кого идеи?
P.S. А решить проблемку надо срочнячком иначе завтра пользователи порвут! Настройки браузеров обратно менять влом!!! Хоть я и через политику это сделал!

[narian]

столкнулся со следующей проблемой.

настроено все как у gmn - ntlm аутентификация с помощью fakeauth и потом эти данные передаются squid_ldap_group.

Код: Выделить всё

auth_param ntlm program /usr/lib/squid3/fakeauth_auth
auth_param ntlm keep_alive on
auth_param ntlm children 200

auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -v3 -P \
        -b "DC=bkbvlad,DC=ru" \
        -f "(&(objectclass=user)(!(objectclass=computer))(sAMAccountName=%s))" \
        -D "squideader@bkbvlad.ru" -W /etc/squid3/pw.txt -H ldap://192.168.1.10:3268
auth_param basic children 15
auth_param basic realm Squid
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

external_acl_type ldap_group ttl=7200 %LOGIN /usr/lib/squid3/squid_ldap_group -S -R -v3 -P \
        -b "DC=bkbvlad,DC=ru" \
        -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,OU=squid,DC=bkbvlad,DC=ru))" \
        -D "squideader@bkbvlad.ru" -W /etc/squid3/pw.txt -H ldap://192.168.1.10:3268

acl allowed_group external ldap_group inetusers
http_access allow allowed_group

Проблема в том, что, похоже, не смотря на установленный ключ -S squid_ldap_group, оно не выкусывает домен из полученного от fakeauth'а имени пользователя. Вот кусок из access.log:

Код: Выделить всё

1214351245.271      0 192.168.1.50 TCP_DENIED/407 2636 GET http://www.ru/ - NONE/- text/html
1214351245.312      0 192.168.1.50 TCP_DENIED/407 2787 GET http://www.ru/ - NONE/- text/html
1214351245.426     98 192.168.1.50 TCP_DENIED/403 2546 GET http://www.ru/ bkbvlad\auto-el NONE/- text/html
1214351246.370      0 192.168.1.50 TCP_DENIED/407 2469 GET http://www.ru/ - NONE/- text/html
1214351246.390      0 192.168.1.50 TCP_DENIED/407 2620 GET http://www.ru/ - NONE/- text/html
1214351246.394      0 192.168.1.50 TCP_DENIED/403 2379 GET http://www.ru/ bkbvlad\auto-el NONE/- text/html

система debian etch
squid 3.0.PRE5-5.

Добавлено позже:
Проблема решилась использованием fakeauth из squid 3.0STABLE7 - там реализована возможность выкусывания домена из полученного имени пользователя.

[smertnik]

Здравствуйте.

Сделал почти все как в статье, ntml срабатывает, а вот по групам запреты не раздаются, в частности группа, которая имеет доступ только к определенным доменам.

Код: Выделить всё

# авторизация
# нативная авторизация ослика
auth_param ntlm program /usr/local/bin/ntlm_auth        \
        --helper-protocol=squid-2.5-ntlmssp
# число детишек для авторизации - сколько процессов запускать
auth_param ntlm children 30
# базовая авторизация для тех, кто не может нативную
auth_param basic program /usr/local/bin/ntlm_auth       \
        --helper-protocol=squid-2.5-basic
# Число процессов для базовой аворизации - значительно меньше
# чем для основной, т.к. таких юзеров/программ немного
auth_param basic children 4
# Заголовок окна выводимяй при запросе авторизации
auth_param basic realm Squid proxy-caching web server
# время жизни авторизации - сколько кэшировать данные
# (для базовой авторизации)
auth_param basic credentialsttl 2 hours
# внешняя ACL для разруливания по группам
external_acl_type nt_group %LOGIN       \
        /usr/local/libexec/squid/wbinfo_group.pl

# ----------ACL-----------
# пользователи с полными парвами на доступ в инет
acl inet_full external nt_group inet_full
acl MYDOMAIN proxy_auth REQUIRED
# определённый набор ресурсов и всё.
acl inet_restrict external nt_group inet_restrict
# список сайтов для тех у кого их определённый набор
acl     domains_for_restrict dstdomain  \
        "/usr/local/etc/squid/db/domains_for_restrict.txt"

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
# ACL авторизации на проксе
http_access allow MYDOMAIN
# разрешаем инет ограниченным пользователям на разрешённые сайты
http_access allow inet_restrict domains_for_restrict
http_access deny all

В логах тоже все ок.

Код: Выделить всё

2008/06/27 17:04:48| Starting Squid Cache version 2.6.STABLE19+ICAP for i386-portbld-freebsd7.0...
2008/06/27 17:04:48| Process ID 71906
2008/06/27 17:04:48| With 11072 file descriptors available
2008/06/27 17:04:48| Using kqueue for the IO loop
2008/06/27 17:04:48| Performing DNS Tests...
2008/06/27 17:04:48| Successful DNS name lookup tests...
2008/06/27 17:04:48| DNS Socket created at 0.0.0.0, port 54371, FD 6
2008/06/27 17:04:48| Adding nameserver 192.168.10.252 from /etc/resolv.conf
2008/06/27 17:04:48| helperStatefulOpenServers: Starting 30 'ntlm_auth' processes
2008/06/27 17:04:49| helperOpenServers: Starting 4 'ntlm_auth' processes
2008/06/27 17:04:49| helperOpenServers: Starting 5 'wbinfo_group.pl' processes
2008/06/27 17:04:49| User-Agent logging is disabled.
2008/06/27 17:04:49| Referer logging is disabled.
2008/06/27 17:04:49| Unlinkd pipe opened on FD 50
2008/06/27 17:04:49| Swap maxSize 51200000 KB, estimated 3938461 objects
2008/06/27 17:04:49| Target number of buckets: 196923
2008/06/27 17:04:49| Using 262144 Store buckets
2008/06/27 17:04:49| Max Mem  size: 819200 KB
2008/06/27 17:04:49| Max Swap size: 51200000 KB
2008/06/27 17:04:49| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2008/06/27 17:04:49| Store logging disabled
2008/06/27 17:04:49| Rebuilding storage in /usr/local/squid/cache (CLEAN)
2008/06/27 17:04:49| Using Least Load store dir selection
2008/06/27 17:04:49| Current Directory is /
2008/06/27 17:04:49| Loaded Icons.
2008/06/27 17:04:49| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 51.
2008/06/27 17:04:49| Accepting ICP messages at 0.0.0.0, port 3130, FD 52.
2008/06/27 17:04:49| WCCP Disabled.
2008/06/27 17:04:49| Pinger socket opened on FD 54
2008/06/27 17:04:49| NETDB state reloaded; 742 entries, 333 msec
2008/06/27 17:04:49| Ready to serve requests.
2008/06/27 17:04:49| Store rebuilding is  0.5% complete
2008/06/27 17:04:53| Done reading /usr/local/squid/cache swaplog (756992 entries)
2008/06/27 17:04:53| Finished rebuilding storage from disk.
2008/06/27 17:04:53|    756992 Entries scanned
2008/06/27 17:04:53|         0 Invalid entries.
2008/06/27 17:04:53|         0 With invalid flags.
2008/06/27 17:04:53|    756992 Objects loaded.
2008/06/27 17:04:53|         0 Objects expired.
2008/06/27 17:04:53|         0 Objects cancelled.
2008/06/27 17:04:53|         0 Duplicate URLs purged.
2008/06/27 17:04:53|         0 Swapfile clashes avoided.
2008/06/27 17:04:53|   Took 4.5 seconds (168912.4 objects/sec).
2008/06/27 17:04:53| Beginning Validation Procedure
2008/06/27 17:04:53|    262144 Entries Validated so far.
2008/06/27 17:04:53|    524288 Entries Validated so far.
2008/06/27 17:04:53|   Completed Validation Procedure
2008/06/27 17:04:53|   Validated 756992 Entries
2008/06/27 17:04:53|   store_swap_size = 7410684k
2008/06/27 17:04:54| storeLateRelease: released 0 objects
2008/06/27 17:15:53| Reconfiguring Squid Cache (version 2.6.STABLE19+ICAP)...
2008/06/27 17:15:53| FD 51 Closing HTTP connection
2008/06/27 17:15:53| Closing Pinger socket on FD 54
2008/06/27 17:15:53| FD 52 Closing ICP connection
2008/06/27 17:15:53| Cache dir '/usr/local/squid/cache' size remains unchanged at 51200000 KB
2008/06/27 17:15:53| Initialising SSL.
2008/06/27 17:15:53| Store logging disabled
2008/06/27 17:15:53| User-Agent logging is disabled.
2008/06/27 17:15:53| Referer logging is disabled.
2008/06/27 17:15:53| DNS Socket created at 0.0.0.0, port 58981, FD 7
2008/06/27 17:15:53| Adding nameserver 192.168.10.252 from /etc/resolv.conf
2008/06/27 17:15:53| helperStatefulOpenServers: Starting 30 'ntlm_auth' processes
2008/06/27 17:15:53| helperOpenServers: Starting 4 'ntlm_auth' processes
2008/06/27 17:15:53| helperOpenServers: Starting 5 'wbinfo_group.pl' processes
2008/06/27 17:15:53| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 48.
2008/06/27 17:15:53| Accepting ICP messages at 0.0.0.0, port 3130, FD 49.
2008/06/27 17:15:53| WCCP Disabled.
2008/06/27 17:15:53| Pinger socket opened on FD 52
2008/06/27 17:15:53| Loaded Icons.
2008/06/27 17:15:53| Ready to serve requests.
2008/06/27 17:15:54| Pinger exiting.

[hREX2]

Здравствуйте всем! Касательно медлительности wbinfo_group.pl, я делал так:

Код: Выделить всё

router2# cat ./rex_helper.pl
#!/usr/bin/perl

use strict;

my $ruser='';
my $rgroup='';

$|=1;

while (<STDIN>)
{
chomp;
($ruser, $rgroup)=split /\s+/;
    if ($ruser){
        if (grep(/%/,$ruser))
        {
        $ruser =~ s/%([a-fA-F0-9]{2,2})/chr(hex($1))/eg;
        }
        $ruser="\L$ruser";
        if ($rgroup){
            $rgroup="\L$rgroup";
            if (grep(/$ruser/,`getent group $rgroup`)){
                print "OK\n";
                next;
            }
        }
    }
print "ERR\n";
}

ну и соответственно:
winbind use default domain = yes
(в smb.conf)
ну и наконец :
winbindd_flags="-n"
(в rc.conf)
правда последний пункт сомнителен....
может понадобится кому...

[Andy2k]

А можно ли реализовать описанное в статье без AD и домена?

У меня следующая ситуация - имеем:

1.Шлюз на FreeBSD 6.3 на нем NAT+DDNS+DHCP+IPFW+TFTP
2. Windows Server 2003 - роль - сервер терминалов.
3. Сетка на 40 машин - бездисковые рабочие станции, загружаются по сети (PXE), IP и загрузочный образ Thinstation получают со шлюза.

Задача: ограничить доступ в интернет пользователям сервера терминалов.

На шлюзе фильтровать пользователей по IP не могу (все запросы приходят с одного IP - сервера терминалов).
В принципе, решение описанное в статье меня бы устроило, но ради него одного поднимать AD и домен совсем не хочется.

Что уже пробовал:

VPN соединения от сервера терминалов к шлюзу. Поднимал на шлюзе mpd, из терминальной сессии пользователя соединение устанавливается, но оно же становится доступно во всех активных терминальных сессиях . Каким образом запретить другим пользователям использовать чужие соединения - так и не понял (видно маловато опыта администрирования масдая)

Прошу совета и помощи.

[paradox_]

socks5
https

[HidX]

Помогите пожалуйста.

Сделал всё как в статье. С конфигурацией всё получилось. В IE указал ип и порт сквида, но интернет он так и не раздаёт.... В IE пишет "Невозможно отобразить страницу" В Опере Доступ запрещён.
И почемуто не пишет логи. Тоесть в /var/log нет каталога squid

[Alex Keda]

создай