Статья squid+AD

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
HidX
мл. сержант
Сообщения: 84
Зарегистрирован: 2008-05-27 11:31:23

Re: Статья squid+AD

Непрочитанное сообщение HidX » 2008-07-14 13:36:40

Создал )) Всёравно туда ничего не пишется.
Может быть это всё потомучто я не пересобрал ядро с функциями Firewall ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

HidX
мл. сержант
Сообщения: 84
Зарегистрирован: 2008-05-27 11:31:23

Re: Статья squid+AD

Непрочитанное сообщение HidX » 2008-07-14 14:16:46

Вот что пишет в активном окне

Код: Выделить всё

Jul 14 14:31:33 test (squid): ipcache_init: DNS name lookup tests failed. Jul 14 14:31:35 test (squid): ipcache_init: DNS name lookup tests failed. Jul 14 14:32:89 test squid: append_domain must begin with a '.' Jul 14 14:32:37 test (squid): ipcache_init: DNS nane lookup tests failed. Jul 14 14:32:38 test (squid): ipcache_init: DNS nane lookup tests failed. Jul 14 14:34:32 test last message repeated 6 tines
Jul 14 14:34:38 test (squid): failed to find or read error text file. Jul 14 14:34:46 test last nessage repeated 2 tines
Jul 14 14:34:43 test (squid): ipcache_init: DNS nane lookup tests failed. Jul 14 14:34:45 test (squid): failed to find or read error text file. Jul 14 14:35:15 test last nessage repeated 12 tines
Jul 14 14:35:15 test squidC212421: Exiting due to repeated, frequent failures Jul 14 14:35:16 test (squid): failed to find or read error text file. Jul 14 14:35:16 test last nessage repeated 2 tines
Jul 14 14:35:16 test squidC212461: Exiting due to repeated, frequent failures
Jul 14 14:35:23 test (squid): failed to find or read error text file.
Jul 14 14:35:23 test squidE212311: Exiting due to repeated, frequent failures
Jul 14 14:35:23 test (squid): failed to find or read error text file.
Jul 14 14:35:23 test squidE212271: Exiting due to repeated, frequent failures

в /var/log/squid/access.log тишина

ElDeRone
рядовой
Сообщения: 37
Зарегистрирован: 2008-07-03 14:49:05

Re: Статья squid+AD

Непрочитанное сообщение ElDeRone » 2008-07-16 16:00:44

а причем здесь собственно OpenBSD? :pardon:

voland_
проходил мимо
Сообщения: 1
Зарегистрирован: 2008-08-04 7:15:47

Re: Статья squid+AD

Непрочитанное сообщение voland_ » 2008-08-04 9:55:30

Добрый день.
Пользуюсь такой схемой ntlm авторизации и все работает отлично.
но вот недавно пришлось поднять в другом городе дочерний домен к моему, в инет они должы ходить через мой же прокси.
то есть у меня есть домен xxx.ru, и прокся на freebsd 6.3 котрая входит в этот домен.
Добавился домен yyy.xxx.ru
и вот не могу понять как пользователей из дочернего домена авторизовать.
Авторизуемся через группы, добавил юзеров из yyy.xxx.ru в универсвльную группу inet из домена xxx.ru - squid пишет TCP_DENIED.
Подскажите куда копать?

smb.cfg
workgroup = XXX
server string = SQUID
netbios name = SQUID
security = ADS
realm = XXX.RU
password server = *
winbind uid = 10000-20000
winbind gid = 10000-20000
encrypt passwords = yes
winbind cache time = 10
# winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
# winbind nestes group = yes
username level = 5
display charset = koi8-r
unix charset = koi8-r
dos charset = 866
winbind cache time = 3600
idmap cache time = 3600
idmap negative cache time = 3600

hosts allow = 10.0.0.0/255.0.0.0 127.
local master = no
domain master = no
log file = /var/log/samba/log.%m.%U
max log size = 500

template homedir = /usr/home/%D/%U
template shell=/bin/csh

Гость
проходил мимо

Re: Статья squid+AD

Непрочитанное сообщение Гость » 2008-08-09 13:52:54

gmn писал(а):А теперь всего по немножку :)

Работает squid 2.6 на такой железке:
Intel(R) Xeon(R) CPU 5110 @ 1.60GHz
hw.physmem: 3748466688
Трафик через сквид порядка 20 Мбит/сек и обслуживается порядка 2500 юзеров (в рабочее время порядка 300 запросов в секунду, бывают пики до 500).....
.....Вынес все acl-ки в базу MySQL и в сквиде их подключил как external_acl_type.......
.......Если интересны какие-либо моменты более детально - пишите. Опишу подробнее.
И если вдруг у кого-то получилось подружить squid+icap с пулами - поделитесь как :)
Скажи, плиз. сколько у тя строк в таблицах с ACL??
А то у меня на 1.6 милионах сервак вешается.. есть конечно идеи как оптимизировать работу запросов.. но всеравно будет не очень быстро....

Аватара пользователя
koffu
сержант
Сообщения: 154
Зарегистрирован: 2008-03-23 0:51:18
Откуда: Киев
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение koffu » 2008-08-15 13:33:02

Всем доброго дня! Сам настроил по-примеру данной статьи несколько серверов в различных конфигурациях, на разных дистрибутивах, но вот наткнулся на одну непонятную вещь:
Если пользователь из под доменной уз пытается выйти в интернет - все ок. Если не из доменной - просит пароль как положено, НО:
первый запрос Server say "" , ниже логин/пароль, если нажать отмену, то снова окно и Server say "Please enter your MYCOMPANY doman password". и так циклически с фразой и без. Аутентификация проходит в обоих случаях нормально. Нужно чтобы сразу говорил "Please enter your MYCOMPANY doman password". Баг проявляется в IE, Firefox. Opera отлично с первого раза показывает что нужно.
Вот кусок конфига:

Код: Выделить всё

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Please enter your MYCOMPANY doman password
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
auth_param basic blankpassword off
Может у кого-то есть идеи из-за чего оно? Дистрибутив GNU/Linux Debian 4.0.

Аватара пользователя
koffu
сержант
Сообщения: 154
Зарегистрирован: 2008-03-23 0:51:18
Откуда: Киев
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение koffu » 2008-08-15 13:39:46

voland_ писал(а):Добрый день.
Пользуюсь такой схемой ntlm авторизации и все работает отлично.
но вот недавно пришлось поднять в другом городе дочерний домен к моему, в инет они должы ходить через мой же прокси.
то есть у меня есть домен xxx.ru, и прокся на freebsd 6.3 котрая входит в этот домен.
Добавился домен yyy.xxx.ru
и вот не могу понять как пользователей из дочернего домена авторизовать.
Авторизуемся через группы, добавил юзеров из yyy.xxx.ru в универсвльную группу inet из домена xxx.ru - squid пишет TCP_DENIED.
Подскажите куда копать?

smb.cfg
workgroup = XXX
server string = SQUID
netbios name = SQUID
security = ADS
realm = XXX.RU
password server = *
winbind uid = 10000-20000
winbind gid = 10000-20000
encrypt passwords = yes
winbind cache time = 10
# winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
# winbind nestes group = yes
username level = 5
display charset = koi8-r
unix charset = koi8-r
dos charset = 866
winbind cache time = 3600
idmap cache time = 3600
idmap negative cache time = 3600

hosts allow = 10.0.0.0/255.0.0.0 127.
local master = no
domain master = no
log file = /var/log/samba/log.%m.%U
max log size = 500

template homedir = /usr/home/%D/%U
template shell=/bin/csh
Если хелперы отрабатываю все на ОК, то смотри /var/log/squid/cache.log, скорее всего не настроены права на сокет winbind:

Код: Выделить всё

squid$ chown root:squid /var/db/samba/winbindd_privileged

Name
проходил мимо

Re: Статья squid+AD

Непрочитанное сообщение Name » 2008-08-26 17:38:17

Настраивал все по статьям начиная с установки, вроде все получилось но не работает.
Создал группы inet_full, inet_users и остальные, поместил туда пользователя, в опере выставил адрес прокси и порт - доступа нет.
Куда копать куда смотреть?

Аватара пользователя
koffu
сержант
Сообщения: 154
Зарегистрирован: 2008-03-23 0:51:18
Откуда: Киев
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение koffu » 2008-08-27 10:28:35

В логи, только там спрятан ответ на сию, никем доселе не разгаданную тайну!
Проверяй по-очереди каждый компонент, я уверен, что у тебя все получится!

Dennis
проходил мимо

Re: Статья squid+AD

Непрочитанное сообщение Dennis » 2008-09-03 7:08:40

Статья отличная, все хорошо, но я наступил на такой баг в работе wbinfo или winbind.
Вообщем имеется основной и дочерний домен. Если добавить в группу inet_full пользователя из дочернего домена, то wbinfo -r domain\user возвращает как положенно список групп, в этом списке имеется gid группы inet_full, НО проходит несколько минут и вдруг wbinfo -r domain\user уже возвращает список, в котором gid группы inet_full отсутствует. На самом же деле юзер в группе. С юзерами из основного домена все хорошо, никаких проблем.
Подобная ситуация описывается здесь: http://archive.netbsd.se/?ml=samba&a=2006-07&t=2219036
Кто может прокомментировать? Есть ли какой-то выход или придется отказываться от wbinfo?

Svarog
проходил мимо

Re: Статья squid+AD

Непрочитанное сообщение Svarog » 2008-09-08 8:33:07

freebsd 7.0
squid 2.7

Все работает, сделано по статье. Нубский вопрос: Как доставить fakeauth? :-D

Larin
лейтенант
Сообщения: 975
Зарегистрирован: 2008-01-29 20:08:41
Откуда: РБ, Минск

Re: Статья squid+AD

Непрочитанное сообщение Larin » 2008-09-17 17:13:26

хм. сделал по все по статье. работает. только вот если я добавил юзера в группу inet_full то, что бы его пустило в инет нужно рестартить сквид.
это нормально или я что-то криво сделал?

Аватара пользователя
koffu
сержант
Сообщения: 154
Зарегистрирован: 2008-03-23 0:51:18
Откуда: Киев
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение koffu » 2008-09-17 20:43:58

Каждые 10 мин /usr/local/etc/rc.d/winbind reload && squid -k reconfigure и все будет автоматически.

Larin
лейтенант
Сообщения: 975
Зарегистрирован: 2008-01-29 20:08:41
Откуда: РБ, Минск

Re: Статья squid+AD

Непрочитанное сообщение Larin » 2008-09-18 9:34:18

koffu писал(а):Каждые 10 мин /usr/local/etc/rc.d/winbind reload && squid -k reconfigure и все будет автоматически.
ага. спс:)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35454
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2008-09-18 15:22:55

Larin писал(а):хм. сделал по все по статье. работает. только вот если я добавил юзера в группу inet_full то, что бы его пустило в инет нужно рестартить сквид.
это нормально или я что-то криво сделал?
у меня без всяких извратов пускает.
минут через 10 примерно.
это определяется временм жизни кэша групп

Код: Выделить всё

external_acl_type nt_group children=15 ttl=120 %LOGIN   \
        /usr/local/libexec/squid/wbinfo_group.pl
Убей их всех! Бог потом рассортирует...

Larin
лейтенант
Сообщения: 975
Зарегистрирован: 2008-01-29 20:08:41
Откуда: РБ, Минск

Re: Статья squid+AD

Непрочитанное сообщение Larin » 2008-09-18 15:24:43

lissyara писал(а):
Larin писал(а):хм. сделал по все по статье. работает. только вот если я добавил юзера в группу inet_full то, что бы его пустило в инет нужно рестартить сквид.
это нормально или я что-то криво сделал?
у меня без всяких извратов пускает.
минут через 10 примерно.
это определяется временм жизни кэша групп

Код: Выделить всё

external_acl_type nt_group children=15 ttl=120 %LOGIN   \
        /usr/local/libexec/squid/wbinfo_group.pl
хм...ща попробую. может быть надо просто подождать...

trinix
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-05-21 14:57:41

Re: Статья squid+AD

Непрочитанное сообщение trinix » 2008-09-19 5:42:06

камрады может кто подсажет каким образом сказать winbindd не опрашивать парен домены а работать только с основным?
А то у меня в логе вот, такая вот некрасивость причём если отрубить доверительные отношения то всё нормально работает, но без доверительных никак нельзя.

Вот, что в /var/log/samba/log.winbindd ( попытка сделать wbinfo -u ) а вот wbinfo -g к примеру, работает нормально.

Код: Выделить всё

[2008/09/22 14:38:18, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Timed out
[2008/09/22 14:39:03, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Timed out
[2008/09/22 14:39:03, 1] nsswitch/winbindd_ads.c:query_user_list(180)
  query_user_list ads_search: Timed out
Последний раз редактировалось trinix 2008-09-22 15:33:48, всего редактировалось 2 раза.

Larin
лейтенант
Сообщения: 975
Зарегистрирован: 2008-01-29 20:08:41
Откуда: РБ, Минск

Re: Статья squid+AD

Непрочитанное сообщение Larin » 2008-09-22 10:25:56

а у меня вопрос более организационный чем технический. при авторизации сквид в режиме прозрачного проксика не работает. это понятно.
но неужели вы все бегаете по юзерским компам и прописываете в настройках браузера прокси???
и второй вопрос.
что делать если юзеры работают в the bat со всякими гмайлами/яндексами?

vasyun
проходил мимо

Re: Статья squid+AD

Непрочитанное сообщение vasyun » 2008-09-22 14:15:42

Если у тебя AD уже стоит, так раздай настройки прокси через групповые политики.

Larin
лейтенант
Сообщения: 975
Зарегистрирован: 2008-01-29 20:08:41
Откуда: РБ, Минск

Re: Статья squid+AD

Непрочитанное сообщение Larin » 2008-09-22 14:39:20

vasyun писал(а):Если у тебя AD уже стоит, так раздай настройки прокси через групповые политики.
а если браузер не ишак?:)

Гость
проходил мимо

Re: Статья squid+AD

Непрочитанное сообщение Гость » 2008-09-23 4:05:33

а если браузер не ишак?:)
Тогда, bat или VB скриптинг (из самого распространённого под моздай). Либо, что более предпочтительно, использование протокола wccp на активном сетевом оборудовании, например у меня это сделанно на Cisco Cat.

Rainb0w
проходил мимо
Сообщения: 1
Зарегистрирован: 2008-10-30 10:54:13

Re: Статья squid+AD

Непрочитанное сообщение Rainb0w » 2008-10-30 10:58:47

Товарищи, нужна помощь, файл access.log растет просто как сумасшедший-несколько мегабайт в секунду. Скажите это нормально? Как сделать так чтобы он так не рос, это ж никаких винтов не хватит пользователей в районе 30, ну не могут они столько везде лазить. Спасибо.

Посмотрел только что, забивается вот такими записями: 1225350179.477 0 192.168.1.246 TCP_DENIED/400 1781 GET NONE:// - NONE/- text/html
Это что, и что с этим делать?

Еще файл cache.log забивается записями типа clientTryParseRequest: FD 48 (192.168.1.50:43888) Invalid Request

Что это тоже и с чем это связано? В гугле ничего найти не могу. Может ipfw виноват? Спасибо.

Alex_hha
лейтенант
Сообщения: 755
Зарегистрирован: 2005-11-06 18:25:26
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex_hha » 2008-10-30 18:07:20

Было один раз такое, на одной машине был вирус, так он отправлял в корку squid.

DrMasik
проходил мимо
Сообщения: 7
Зарегистрирован: 2008-01-15 23:53:30

Re: Статья squid+AD

Непрочитанное сообщение DrMasik » 2008-11-11 13:45:25

Ребята, я тут просмотрел тему и у меня возник один вопросик. Зачем ставить такую махину, как самбу ) для доступа в AD, если все прекрасно можно реализовать через "классический" LDAP? Кстати, который тут мельком обсуждался. Едиственный баг по такому запросу который я заметил - не проходит киррилическая авторизация ( :oops:

P.S.> Лис, ОГРОМНОЕ спасибо за твой сайтик!
--------------------
Нет ничего невозможного - на все необходимо время!

wary
рядовой
Сообщения: 35
Зарегистрирован: 2008-12-03 17:37:40

Re: Статья squid+AD

Непрочитанное сообщение wary » 2008-12-06 18:33:43

Не отрабатывается команда id на пользователя домена. Делал все как в статье:

Код: Выделить всё

squid$ id akeda
uid=10000(akeda) gid=10000(domain users) groups=10000(domain users)
Вот что вылазиет:

Код: Выделить всё

inetgate# id medvedev
id: medvedev: no such user
Предыдущие тесты по статье - отрабатываются без проблем (билет керберос получил, машина внеслась в домен, вижу группы/пользователей домена)

Подскажите что делать ?????