Статья squid+AD

[Alex Keda]

у всех не работает.
ну, у меня точно.
там кривость какая-то - причём тока на гугле.
пришлось разрешить туда ходить всем неавторизовавшись

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Dolphin_BSD]

Добрый день !

Скажите общее мнение как работает данная связка, если ли другие варианты связи с АД более надежные и удобные что бы не было "туда не пускает и т.п."

Работает ли при такой связки "прозрачная прокся" и разграничивание скорости допустим по группам или пользователям !

Заранее Спасибо !

[astalavista]

настраивал проксю по статье все ок.
Вопрос в допиливании.
Можно ли организовать, чтобы при недоступности AD на контроллере домена (PDC) данные брались с AD на резервном контроллере (BDC). между PDC и BDC настроена репликация и данные о пользователях там идентичны

[Zalex_UA]

Ох и посидел я над этой НТЛМ аутентификацией. Хочется поделиться.
В своем посте затрону только отличительные особенности моей конфигурации и способов решения проблем. Мой опыт работы с никсами небольшой, поэтому на полноту и абсолютную точность я не претендую.
Моя текущая конфигурация

Free BSD 7.1
openldap-client-2.4.11 Open source LDAP client implementation
krb5-1.6.3_5 An authentication system developed at MIT, successor to Ker
samba-3.0.32_2,1 A free SMB and CIFS client and server for UNIX
squid-2.7.4 HTTP Caching Proxy


Начнем с кербероса.
В итоге пришел к мнинию что нужно использовать именно пакет от МІТ, только с ним не было проблем при введении в домен и соответственно дальнейшей работы (особенность TCP UDP протоколов).
После установки пакета от МІТ устанавливаем самбу. При этом собирать Самбу нужно после добавления ключа KRB5_HOME=/usr/local в файл /etc/make.conf (или прямо при компилировании Самбы). Об этом указаний в интернете не много, но есть. Таким образом мы указываем Самбе использовать в работе Керберос именно от МIT, а не родной Heimdal который в системе кстати остается.
Вот текстовка:
> Kinit uses the installed kerberos package - if your kerberos package
> does not do TCP fallback in the AS_REQ, you'll never be able to get a
> ticket when you see this error message - it's generated by the KDC,
> which will refuse to issue a ticket > roughly 1500 bytes (for MS KDCs).
> Time to update your Kerberos port (MIT's dist > 1.4.1 supports TCP).

OK, I understand now. I installed MIT's Kerberos5 (installed port 'krb5'
on FreeBSD, added 'KRB5_HOME=/usr/local' to /etc/make.conf and rebuilt
samba3 port) and I succeeded joining the Samba server into ADS domain.
Вот ссылки по этой тематике:
http://ru.gentoo-wiki.com/wiki/Настройк ... ржкой_ntlm где сказано что «Для нормальной работы samba необходимо указать …… и собирать её после mit-krb5, только тогда будет нормально работать winbind.»
На этом сайте есть описание другого решения http://forum.lissyara.su/viewtopic.php? ... 2Fsmb_krb5 но я считаю его очень некорректным, хотя в основной массе случаев оно подходит и работает. Но в случае нескольких контроллеров домена и переключении между ними это будет проблема



Вторая проблема – это НТЛМ аутентификация и метод POST. На этой же странице вверху автор по этому поводу давал мне ответ. В чем природа этой проблемы – для меня загадка, как и то почему при методе POST некорректно определяется обьём отданного трафика (http://www1.at.squid-cache.org/mail-arc ... /0281.html) (и кстати delay_pools с методом POST реально не работает, не ограничивает скорость)

Вот например ссылка о том что у людей есть проблема с методом POST но никто не знает как её решить (и с этой проблемой многие люди сталкиваются):
http://www.mail-archive.com/squid-users ... 56932.html
Вначале я пошел тем путем что выпускал метод POST без аутентификации первым в списке всех ACL. Но получается не красиво что потом в отчетах начинают кроме имен пользователей фигурировать IP адреса хостов и трафик не весь учитывается.
Вот так примерно: (в добавок первой строкой ограничиваю размер аплоада до 30 Мбайт)
#request_body_max_size 30000 KB
acl post_out method POST PUT
http_access allow post_out

Позже я нашел вот такую штуку, на которой кстати и остановился:
Cache authentication based on source IP address. This reduces the pressure on external authenticators which may not be able to keep up under high load - NTLM/winbind is a good example of this. See the "authenticate_ip_shortcircuit_access" and "authenticate_ip_shortcircuit_ttl" options for more information.
http://www.squid-cache.org/Versions/v2/ ... NOTES.html
http://www.squid-cache.org/Versions/v2/ ... t_ttl.html
http://www.squid-cache.org/Versions/v2/ ... ccess.html

Вот ссылка на то что ІР-кеширование отсутствует в 3.х версии сквида и люди интересуются можно ли портировать эту функцию на 3.х версию. Я и сам проверял – итог только в 2.7 оно работает (в 3.1 тоже не замечено но следует попробовать).
http://www.nabble.com/NTLM-IP-caching-c ... 36562.html
Вот такие параметры у меня сейчас:
authenticate_ip_shortcircuit_ttl 180 second
#authenticate_ip_shortcircuit_access allow inet_users
#authenticate_ip_shortcircuit_access deny all
Две последние строки я закомментировал, так как нет надобности, но они дают возможность в случае например терминального сервера добиться определенного компромисса для корректного учета трафика по пользователям (при этом снизив значение authenticate_ip_shortcircuit_ttl до 1-2 секунд например). Я этого не испытывал но на перспективу может быть решение.

Ну так кажется вроди все. Всем удачи и готов дальше подискутировать не эту тему.

И наконец ссылки по теории
Полезная статья по тематике разниц версий самбы и сквида в влучае использования НТЛМ. Она хорошо раскрывает глаза на то сколько нюансов может быть в разных версиях.
http://www.samag.ru/cgi-bin/go.pl?q=art ... .2004;a=05

Очень хорошая статья:
http://www.innovation.ch/personal/ronald/ntlm.html

[Zalex_UA]

настраивал проксю по статье все ок.
Вопрос в допиливании.
Можно ли организовать, чтобы при недоступности AD на контроллере домена (PDC) данные брались с AD на резервном контроллере (BDC). между PDC и BDC настроена репликация и данные о пользователях там идентичны

Подержу топик дальше
Меня также это интересует так как имею три контроллера. Некоторые моменты по этому поводу я затронул в предыдущем посте. По идее сквид тут ни при чем, а допиливать нужно самбу. Хотел сам проверить но руки так и не дошли.
Для начала думаю в конфиге самбы нужно обязательно указывать суфикс домена а не имя машины, в отличии от того что во многих примерах в интернете указывают прямо айпишик контроллера или его имя. Это я так размышляю. По крайней мене у меня так и все работает.
Когда я разбирался с проблемами кербероса и включал в самбе дебаглевел=9 то в её логах видел строки как в работе она четко ищет в каком сайте (надеюсь понимаете что такое Site в домене Active Directory) она находится и потом произвольно выбирала себе один контроллер из двоих в этом сайте.
Дальше я не копал, но это всиляло надежду что оно должно работать если ПДС упал. На практике нужно проверять.
Давай этим займемся.

[Prouler]

Господа,
осмелюсь слабо пискнуть в сторону вопроса, который в данной теме уже задавался, но почему-то ответа не получил.
Вопрошаю постольку, поскольку поднятие шлюза на OpenBSD и Squid'a со всеми прибамбасами для меня вопрос абсолютно новый.

Вопрос простой - каковы различия между авторизацией LDAP и NTLM. В чисто практическом плане.
(По внутренней реализации если только что-то принципиальное.)

Я конечно в конце концов нарою ответ в Инете, но сами знаете, что обычно всё упирается во время, которого всегда не хватает.

На данный момент сделал в Squid'e авторизацию по LDAP. Выбор ни на каких глубоких раздумьях основан не был. Просто полистал Инет.
Посмотрел готовые пакеджи для OpenBSD и нашёл с готовой авторизацией squid-2.7.STABLE6-ldap. А почитав, в том числе тут на сайте
про гимор с патчами и сборкой Squid'a из пакетов решил не мудрстовать лукаво и остановиться на готовом. Кстати, интересно почему нет готовых пакетов
скомпилиных с поддержкой NTLM и Samb'ы.

На данный момент, если я правильно понял, при авторизации по LDAP нужно обязательно вводить логин и пароль, чего видимо нет по NTLM.

В общем хотелось бы услышать мнение профи из нескольких ясных и коротких предложений (за исключением совсем короткого - "Пошёл ка ты на ...")
по этому животрепещущему вопросу.

Заранее благодарен.

[irijiyi]

Всем привет
вдохновленный этой статьей я построил некое подобие
система FreeBSD 7.0-RELEASE, среда виртуалка, сейчас уже 2гб оперативки
дополнительный керберос я не ставил, но как и у автора в какой-то статье у меня постоянно krb.conf перезаписывается в /var/db/samba/smb_tmp_krb5.WX2ldF и туда пишутся только ip доменных контроллеров, без указания kdc = tcp/, поэтому пришлось запретить запись. Как-то это неправильно, но по другому не получилось - без tcp/ была какая-то там ошибка про недостпуность контроллеров по udp. Давно было детали уже не помню - позже наверное вернусь к этому вопросу.
ntlm авторизация
проверка членства в группах - самописным хелпером на perl. Самописным, т.к. у меня несколько доменов, группы называются везде одинаково.
достаточно много я категорий сайтов, все лежит в базе, проверка опять же самописным хелпером практически как у gmn

Отказоустойчивость ntlm авторизации как работает я если честно не проверял. Но когда я писал ldap проверяющий хелпер и пытался обращаться по dns имени домена у меня постоянно брались разные контроллеры и, учитывая что у меня контроллеры в разных сайтах, мне это очень не нравилось. Поэтому я там сделал что-то типа проверки какой находится ближе по разнице ip адресов. Обрабатываю вывод команды host. Ну и если к первому не получилось - подключаюсь к следующему.

Кэширование трафика я сейчас вообще отключил - для меня это не очень важно.

Проблема такая. Процесс squid растет растет, дорастает где-то до 800МБ и все привет. В cache.log

Код: Выделить всё

2009/06/11 11:51:30| WARNING: All ntlmauthenticator processes are busy.
2009/06/11 11:51:30| WARNING: 120 pending requests queued
2009/06/11 11:51:30| Consider increasing the number of ntlmauthenticator processes in your config file.         

и перезагружается.
Пробовал ставить 3 и 2.7
Пробовал ставить memory_pool off - на 3 эффекта не было, на 2.7 чуть-чуть снижается в конце рабочего дня.

Параметры loader.conf как в статье я изменял

с ttl в external_acl nelf-сюда игрался - эффекта не было

Подскажите куда еще покопать?

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm keep_alive off#on
auth_param ntlm children 60
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 15
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

external_acl_type ldap_group ttl=600 negative_ttl=600 children=30 protocol=3.0 %LOGIN /usr/local/etc/squid/custom/checkuseringroup.pl %v %a
external_acl_type baddsthost ttl=600 negative_ttl=600 children=30 protocol=3.0 %DST /usr/local/etc/squid/custom/baddst.pl
external_acl_type badurlhost ttl=600 negative_ttl=600 children=70 protocol=3.0 %URI /usr/local/etc/squid/custom/badurl.pl

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443 7772 8443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
#acl webserver src 10.10.1.123/255.255.255.255

acl IpAuthUsers src "/usr/local/etc/squid/custom/users_ip"

acl AdminsUsers              external ldap_group     Internet_Access_Admins
acl ArchFilesUsers           external ldap_group     Internet_Access_ArchFiles
acl ChatUsers                external ldap_group     Internet_Access_Chat
acl ChiefsUsers              external ldap_group     Internet_Access_Chiefs
acl Deny1Users               external ldap_group     Internet_Access_Deny1
acl Deny2Users               external ldap_group     Internet_Access_Deny2
#acl Deny3Users               external ldap_group     Internet_Access_Deny3
acl DownloadsUsers           external ldap_group     Internet_Access_Downloads
acl ExecFilesUsers           external ldap_group     Internet_Access_ExecFiles
acl LimitedUsers             external ldap_group     Internet_Access_Limited
acl MultimediaFilesUsers     external ldap_group     Internet_Access_MultimediaFiles
acl SocialNetUsers           external ldap_group     Internet_Access_SocialNet
acl WebmailUsers             external ldap_group     Internet_Access_Webmail
acl JobSearchUsers           external ldap_group     Internet_Access_Jobsearch
acl BlockedUsers             external ldap_group     Internet_Limit_Blocked

acl workhours time MTWHFAS 00:00-23:59

deny_info ERR_ACCESS_LIMIT BlockedUsers
logformat report1 %tl %6tr %>a %Ss/%03Hs %<st %rm %ru %'un %mt

acl DomainsWithoutAuth    external baddsthost 3 #allow_noauth_domains

acl SocialNetDomains external baddsthost 27     #socialnet_domains
acl SocialNetUrls external badurlhost 28        #socialnet_urls
deny_info ERR_ACCESS_SOCIAL SocialNetDomains
deny_info ERR_ACCESS_SOCIAL SocialNetUrls
access_log /var/log/squid/access.socialnet.log report1 SocialNetDomains
access_log /var/log/squid/access.socialnet.log report1 SocialNetUrls

acl AdvDomains  external baddsthost 1           #adv_domains
deny_info       1x1.gif AdvDomains
access_log /var/log/squid/access.adv.log report1 AdvDomains

acl AdvUrls  external badurlhost 2              #adv_urls
deny_info       1x1.gif AdvDomains
access_log /var/log/squid/access.adv.log report1 AdvUrls

acl ArchFilesExt  external badurlhost 17        #files_arch
deny_info ERR_ACCESS_FILES ArchFilesExt
access_log /var/log/squid/access.archfiles.log report1 ArchFilesExt                    

acl Internet_Speed_64k  external ldap_group Internet_Speed_64k
acl Internet_Speed_256k  external ldap_group Internet_Speed_256k
acl Internet_Speed_512k  external ldap_group Internet_Speed_512k
acl Internet_Speed_1024k external ldap_group Internet_Speed_1024k
acl Internet_Speed_2048k external ldap_group Internet_Speed_2048k
acl Internet_Speed_4096k external ldap_group Internet_Speed_4096k
acl Internet_Speed_10000k external ldap_group Internet_Speed_10000k

acl dummy src 0.0.0.0/32
http_access allow manager localhost
http_access allow manager webserver
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow DomainsWithoutAuth

http_access allow IpAuthUsers

http_access deny Internet_Speed_64k    dummy
http_access deny  Internet_Speed_256k   dummy
http_access deny  Internet_Speed_512k   dummy
http_access deny  Internet_Speed_1024k   dummy
http_access deny  Internet_Speed_2048k   dummy
http_access deny  Internet_Speed_4096k   dummy
http_access deny  Internet_Speed_10000k       dummy

http_access allow WhiteListDomains
http_access allow WhiteListUrls
http_access deny BlockedUsers all

http_access allow AdminsUsers DownloadsDomains
...

http_access allow JobSearchUsers  JobSearchUrls workhours

http_access deny SocialNetDomains
http_access deny SocialNetUrls
http_access deny DatingDomains
http_access deny DatingUrls
http_access deny Deny1Domains
http_access deny Deny1Urls
http_access deny Deny2Domains
http_access deny Deny2Urls
#http_access deny Deny3Domains
#http_access deny Deny3Urls
http_access deny ArchFilesExt
http_access deny ExecFilesExt
http_access deny MultiMediaExt
http_access deny MultiMediaDomains
http_access deny DownloadsDomains
http_access deny DownloadsUrls
http_access allow LimitedUsers JobSearchDomains

#http_access deny JobSearchDomains
http_access allow LimitedUsers JobSearchUrls
#http_access deny JobSearchUrls
http_access allow LimitedUsers WebmailDomains
#http_access deny WebmailDomains
http_access allow LimitedUsers WebmailUrls
#http_access deny WebmailUrls

http_access deny PornDomains
http_access deny PornUrls
http_access deny ProxyDomains
http_access deny ProxyUrls
http_access deny StuffDomains

http_access allow LimitedUsers workhours

http_access allow localnet
http_access deny all
icp_access allow localnet
icp_access deny all
#htcp_access allow localnet
#htcp_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?

cache_dir null /tmp
#cache_dir ufs /var/spool/squid/cache 500 16 256

access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
emulate_httpd_log on
pid_filename /var/run/squid/squid.pid
debug_options ALL,1
memory_pools off
strip_query_terms off
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320
visible_hostname proxy
delay_pools 7
delay_class 1 2
delay_class 2 2
delay_class 3 2
delay_class 4 2
delay_class 5 2
delay_class 6 2
delay_class 7 2
delay_access 1 allow Internet_Speed_64k
delay_access 1 deny all
delay_access 2 allow Internet_Speed_256k
delay_access 2 deny all
delay_access 3 allow Internet_Speed_512k
delay_access 3 deny all
delay_access 4 allow Internet_Speed_1024k
delay_access 4 deny all
delay_access 5 allow Internet_Speed_2048k
delay_access 5 deny all
delay_access 6 allow Internet_Speed_4096k
delay_access 6 deny all
delay_access 7 allow Internet_Speed_10000k
delay_access 7 deny all
delay_parameters 1 -1/-1 128000/128000
delay_parameters 2 -1/-1 512000/512000
delay_parameters 3 4096000/4096000 1024000/1024000
delay_parameters 4 4096000/4096000 2048000/2048000
delay_parameters 5 8192000/8192000 4096000/4096000
delay_parameters 6 8192000/8192000 6192000/6192000
delay_parameters 7 -1/-1 20000000/20000000
icp_port 0
snmp_port 0
error_directory /usr/local/etc/squid/errors/Russian-1251
coredump_dir /usr/local/squid/cache
forwarded_for off          

[irijiyi]

Насколько я понял именно авторизация через ldap не может быть ntlm - только basic
Т.е. если использовать ldap авторизацию, то будет приглашение к вводу логина/пароля

[Prouler]

Насколько я понял именно авторизация через ldap не может быть ntlm - только basic
Т.е. если использовать ldap авторизацию, то будет приглашение к вводу логина/пароля

Вопрос вот в чём (я не спец по тонкостям авторизаций) если клиент не windows каким макаром работает ntlm авторизация.

[irijiyi]

Насколько я понял именно авторизация через ldap не может быть ntlm - только basic
Т.е. если использовать ldap авторизацию, то будет приглашение к вводу логина/пароля

Вопрос вот в чём (я не спец по тонкостям авторизаций) если клиент не windows каким макаром работает ntlm авторизация.

в этом случае ntlm авторизация не работает
либо по ip либо basic. basic значит что ты можешь связать squid с доменом и вводить доменные учетные данные. Но их нужно будет именно вводить

[Prouler]

Насколько я понял именно авторизация через ldap не может быть ntlm - только basic
Т.е. если использовать ldap авторизацию, то будет приглашение к вводу логина/пароля

Вопрос вот в чём (я не спец по тонкостям авторизаций) если клиент не windows каким макаром работает ntlm авторизация.

в этом случае ntlm авторизация не работает
либо по ip либо basic. basic значит что ты можешь связать squid с доменом и вводить доменные учетные данные. Но их нужно будет именно вводить

Т.е. в авторизации по LDAP в этом случае есть свои прелести для разнородной среды.

[irijiyi]

Т.е. в авторизации по LDAP в этом случае есть свои прелести для разнородной среды.

ну как-то так
либо basic либо по ip
кажется
ntlm только для виндов.

[whiterock]

Народ реши сделать по статье lissyara squid+ad все заработало кроме squid. В Логи нечего не пишет тока в первую консоль пиште :
failed to find or read error text file

[Noctule]

При настройке сквида с АД не только по данной статьей, но и информации надейнной в инете, самостоятельно решить проблему так и не удалось. Похоже проблемы с конфигов сквида, но перепробывав самые разные варианты, результат не изменился браузер упорно выдает ERROR The requested URL could not be retrieved.
Последний конфиг сквида:

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
        auth_param ntlm children 10

        auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
        auth_param basic children 10
        auth_param basic realm Squid proxy-caching web server
        auth_param basic credentialsttl 2 hours
        auth_param basic casesensitive off

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
#acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl SSL_ports port 443  # https
acl SSL_ports port 563  # snews
acl SSL_ports port 873  # rsync
acl Safe_ports port 80  # http
acl Safe_ports port 21  # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 5222        # jabber
acl Safe_ports port 70  # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost 
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localnet
http_access allow localhost 
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 8080 
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
hosts_file /etc/hosts

Логи никакой информации не дают:

Код: Выделить всё

Jul  9 11:00:23 prox squid[8836]: Squid Parent: child process 8838 started

Он стартует и ничего не проиходит.

И да, при его остановке возникает следуйщее:

Код: Выделить всё

 /usr/local/etc/rc.d/squid stop
Stopping squid.
Waiting for PIDS: 8648, 8648, 8648, 8648

Это нормально, что он постоянно ждет завершения процесса?

[jrmm]

FreeBSD 7.1-RELEASE
squid-3.0.13
samba-3.3.2
perl-5.8.9_1

Настроил squid+ad по статье. В целом все работает, как ожидалось, но появились три проблемы:

1. перестала работать команда
squid -k reconf
сквид просто перестает отвечать.

2. у меня настроены acl:

Код: Выделить всё

# here my groups go
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl inet_full external nt_group inet_full
acl inet_surf external nt_group inet_surf
acl inet_mp3 external nt_group inet_mp3
acl inet_icq external nt_group inet_icq
acl inet_webmail external nt_group inet_webmail

acl mydomain proxy_auth REQUIRED


# servers - w/o auth
acl servers src "/usr/local/etc/squid/servers.acl"
http_access allow servers

# blacklist2: banners
acl blacklist2 url_regex "/usr/local/etc/squid/blacklist2.acl"
http_access deny blacklist2

# vip
acl vip src "/usr/local/etc/squid/vip.acl"
http_access allow vip
http_access allow inet_full

# auth required
http_access deny !mydomain

# inet_webmail
acl webmail url_regex "/usr/local/etc/squid/webmail.acl"
http_access allow webmail inet_webmail
http_access deny webmail

после перезапуска демона squid последняя acl работает, как и задумывалось: блокирует урли по списку из webmail.acl для всех, кто не входит в AD в группу inet_webmail. затем происходит самое интересное - через час, два, три после перезапуска squid начинает пускать на урли из webmail.acl всех подряд. перезапуск squid решает проблему, но опять же временно.

была ли у кого такая проблема и куда примерно копать? подозрение на авторизацию. до подключения к AD все работало.

3. после перезагрузки контроллера домена авторизация не работает до перезапуска демона самбы.

всем заранее спасибо.

[Akela]

Народ помогите разобраться с этой ситуацией. http://forum.lissyara.su/viewtopic.php? ... 25#p195925 настраивал по этой стотье

[jrmm]

Решил свои проблемы:

1. перестала работать команда
squid -k reconf

зато работает
/usr/local/etc/rc.d/squid reload

2. затем происходит самое интересное - через час, два, три после перезапуска squid начинает пускать на урли из webmail.acl всех подряд. перезапуск squid решает проблему, но опять же временно.

в файлике /usr/local/libexec/squid/wbinfo_group.pl надо дописать путь (у меня /usr/local/bin/) к wbinfo в строках №№ 48, 50, 53.

[AndreyDPro84]

понадобился прокси с авторизацией в AD, нашёл http://www.lissyara.su/?id=1375 делаю последовательно, в пункте где описаны настройки kerberos застрял - нет фала /etc/krb5.conf

[jrmm]

нет фала /etc/krb5.conf

создать с нуля
у меня в таком виде:

Код: Выделить всё

[libdefaults]
  default_realm = ***.RU

[realms]
  ***.RU = {
    kdc = ***.RU
    admin_server = ***.RU
  }

[domain_realm]
  .***.ru = ***.RU

[logging]
  kdc = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmin.log
  default = FILE:/var/log/krb5lib.log

где *** - мой домен без .ru

[AndreyDPro84]

спасибо

P.S.: если я правильно понял, то с керберосом я зря вожусь если у меня 7.2?

[DEN]

по-моему новая Opera для Windows работает с NTLM.
about:config в адресной строке.
Есть пункт use ntlm, выключен по-умолчанию.

[jrmm]

P.S.: если я правильно понял, то с керберосом я зря вожусь если у меня 7.2?

попробуй снести и сделать по статье.

[Ziggy Stardust]

Озаботился тоже прикручиванием авторизации через AD. Думаю, что через лдап самое то будет. Немного не допонимаю синтаксиса этого хелпера.

Код: Выделить всё

external_acl_type ldap_group ttl=7200 negative_ttl=3600 children=20 protocol=3.0 %LOGIN \
/usr/local/libexec/squid/squid_ldap_group -S -R -v3 -P \
-b "DC=DOMAIN,DC=COM" \
-f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Squid,DC=DOMAIN,DC=COM))" \
-D "CN=ldapreaduser,OU=***,DC=DOMAIN,DC=COM" -w "password" -H ldap://ip_ldap_server:3268

А именно не понимаю вот это место:

Код: Выделить всё

-f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Squid,DC=DOMAIN,DC=COM))"

Что вместо %v и %a подставляется? Логин, _который_ ищем, и группа, _в которой_ этот логин ищем? В мане только про %u и %g сказано...

Можно ли использовать DN'ы и группы с русскими символами и/или пробелами? Или может можено SID группы использовать?

[Srusanov]

Всем добрый день. спасибо за статью, очень помогла, но есть еще вопрос как можно настроить squidguard. чтобы брал пользователей из АД?

[jrmm]

Всем добрый день. спасибо за статью, очень помогла, но есть еще вопрос как можно настроить squidguard. чтобы брал пользователей из АД?

Обошелся без него. acl-ки использую простые:

Код: Выделить всё

...
# vip
acl vip src "/usr/local/etc/squid/vip.acl"
http_access allow vip

# mydomain
acl mydomain url_regex "/usr/local/etc/squid/mydomain.acl"
http_access allow mydomain

# auth required: comment this to turn off auth!
http_access deny !my_domain
http_access allow inet_full

# whitelist: override for blacklist
acl whitelist url_regex "/usr/local/etc/squid/whitelist.acl"
http_access allow whitelist

# blacklist3: social networks
acl socialnetworks url_regex "/usr/local/etc/squid/socialnetworks.acl"
http_access deny socialnetworks
deny_info http://corp.mydomain.ru/access_denied.html socialnetworks
....

PS. при смене группы пользователя в AD приходится рестартовать сквид, чтобы обновить членство в группах. есть ли более кошерный способ?