Статья squid+AD

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-15 14:34:28

"если набрать ..." - то это уже basic-аутентификация. И если юзер не входит в группу 2, то в инет его не пустит.
В том то и дело что пользователь заведён в группу 2 но его не пускает, а вот если он заведён в группу1 то его пускает без проблем. Вот в этом то мой вопрос и заключается почему не отрабатывает бейсик авторизация если юзер только в группе2 :?
Юзеров из группы 1 пустит только (!) при NTLM-аутентификации, т.е. ПК в домене (и юзер залогинен в домен) и браузер IE или FF,Но если юзер входит только в группу 1 и попытается выйти в Инет через Оперу - не получится.
не только, опера пускает если набрать domainname\user и passwd и если пользователь только в группе1. Проверено.

Ещё проверено если закоментить всё что касается бейсик авторизации и оставить одну Ntlm, то всё равно на доменных машинах пускает и в Оперу если набрать domainname\user и passwd, а на тех машинах что не в домене пускает в IE если тоже набрать domainname\user и passwd, и соответственно пользователь в группе1. ИМХО

Вот такая петрушка, надеюсь понятно изложил :roll:

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-11-15 15:36:02

aspr05 писал(а):
"если набрать ..." - то это уже basic-аутентификация. И если юзер не входит в группу 2, то в инет его не пустит.
В том то и дело что пользователь заведён в группу 2 но его не пускает, а вот если он заведён в группу1 то его пускает без проблем. Вот в этом то мой вопрос и заключается почему не отрабатывает бейсик авторизация если юзер только в группе2 :?
Юзеров из группы 1 пустит только (!) при NTLM-аутентификации, т.е. ПК в домене (и юзер залогинен в домен) и браузер IE или FF,Но если юзер входит только в группу 1 и попытается выйти в Инет через Оперу - не получится.
не только, опера пускает если набрать domainname\user и passwd и если пользователь только в группе1. Проверено.

Ещё проверено если закоментить всё что касается бейсик авторизации и оставить одну Ntlm, то всё равно на доменных машинах пускает и в Оперу если набрать domainname\user и passwd, а на тех машинах что не в домене пускает в IE если тоже набрать domainname\user и passwd, и соответственно пользователь в группе1. ИМХО

Вот такая петрушка, надеюсь понятно изложил :roll:
Да, понятно.
Только не понятно, почему так происходит ... :)
Честно говоря, я "require-membership-of" не использовал. Так как групп у меня не две, а немного больше.
Но проверял, что если basic отключить - то Опера и качалки, котрые не умеют NTLM, отдыхают.

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-15 15:49:16

Честно говоря, я "require-membership-of" не использовал. Так как групп у меня не две, а немного больше
а как можно по другому сделать?

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-11-15 17:05:11

Можно.
Выше приведен конфиг.

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-16 8:52:12

Спасибо gmn, а автор статьи может как-нить прокомментировать сложившуюся ситуацию.
Заранее спасибо. :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-11-16 9:06:45

юзайте файрфокс.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-16 9:24:25

К сожелению это не выход ;(
Хочется чтоб пользователь комп которого не в домене, был заведён в груупу2 и авторизовался по байсику.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-11-16 9:42:48

ну, если честно - я вообще непонимаю о чём вы...
в примере как сделаноу меня - всё рулиться по группам, вне зависимости, кто в до мене а кто нет.
ибо я сам не в домене :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-16 10:17:05

насколько я понял из вашей статьи не авторизованные пользователи забиты по ip адресам и этот файл лежит у вас на Unix-е, а я хотел сделать чтоб они были заведены в группу Active Directory.

и соответственно если пользователя нет в group1 он не авторизуется по htlm
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=domainnname\\group1

то тогда squid запрашивал байсик авторизацию и если пользователь есть в group2 то тады всё ок
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=domainname\\group2

Или я что то не допонял?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-11-16 10:25:27

пользователь пожет принадлежать группе ТОЛЬКО если он авторизовался.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-16 10:37:54

нет это то понятно, Он же будет заведён в AD и если в окне авторизации он наберёт domainame\user и пароль то он ведь должен авторизоваться и соответсвенно
lissyara писал(а):пользователь пожет принадлежать группе

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение Alex Keda » 2007-11-16 11:14:22

aspr05 писал(а):насколько я понял из вашей статьи не авторизованные пользователи забиты по ip адресам и этот файл лежит у вас на Unix-е, а я хотел сделать чтоб они были заведены в группу Active Directory.
ты сам понимаешь свою логику? :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-11-16 11:14:50

Но если вводится логин и пароль - то это basic аутентификация.
И по твоему описанию он должен быть в групее 2.

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-16 11:18:28

а я о чем и толкую..... он есть в группе2 но его не пускает. :?

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-11-16 11:21:01

aspr05 писал(а):а я о чем и толкую..... он есть в группе2 но его не пускает. :?
Тогда приведи часть конфига, где описана сама авторизация и потом http_access для авторизированных.

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-16 11:33:26

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=AD\\Inet_http
auth_param ntlm children 10
auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=AD\\Inet_Basic
auth_param basic children 10
auth_param basic realm Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

acl all src 0.0.0.0/0.0.0.0
acl AD proxy_auth REQUIRED
http_access allow AD
http_access deny all

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-11-16 11:57:25

Да, проверил и был немножко шокирован.
Заремил basic аутентификацию.
Оставил только NTLM

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=***
auth_param ntlm children 5
auth_param ntlm keep_alive on

acl auth_users proxy_auth REQUIRED
http_access allow auth_users
В итоге Опера запрашивает логин, пароль. Ввожу - авторизация проходит. В инет пускает.
BASIC при этом вообще заремлена :)
Это что, получается, что как было раньше (надо было basic подключать, точно помню) - уже не надо?

Проверил еще.
Убрал "--require-membership-of=***" - всеравно basic из Оперы работает.
И NTLM работает.
Да, что-то я не пойму ...

И, более того, "auth_param ntlm program /usr/local/libexec/squid/fakeauth_auth" тоже работает с оперой запрашивая авторизацию.

Видать, много чего изменилось в самом сквиде, после того, как писались многие статьи, как приведено в squid.conf.default, как я делал свой конфиг ...
Тогда, точно помню, при отключенной basic Оперой в Инет не выйдешь. Просто висит и ждет, не запрашивая авторизацию.

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-11-16 12:07:11

Хух, а легче стало :) Перепроверил ...
Это Опера стала какая-то умная. Как-то по своему авторизируется. Логин и пароль запрашивает, но, при этом, понимает схему NTLM.

НО (!) Flashget, Total Commander и др., котрые не умеют NTLM - в пролете (а включена только NTLM):

Код: Выделить всё

Fri Nov 16 11:03:56 2007 X-Squid-Error: ERR_CACHE_ACCESS_DENIED 0
Fri Nov 16 11:03:56 2007 Proxy-Authenticate: NTLM
Так что, basic надо подключать по любому :)

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-16 12:37:51

Вот о чём я и говорил.... а ты не пробовал с разными группами поиграться?

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-11-16 13:24:55

aspr05 писал(а):Вот о чём я и говорил.... а ты не пробовал с разными группами поиграться?
Нет. Так как группы уже созданы и я использовал их для проверки. Новые создавать не хотел.

Если ты все проверял оперой, то она запрашивает авторизацию, но работает по схеме NTLM.
Т.е. если юзер идет оперой, он в группе "group1" - у него будет запрашиваться логин и пароль и его выпустит в Инет.

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=group1
auth_param ntlm children 5
auth_param ntlm keep_alive on
acl auth_users proxy_auth REQUIRED
http_access allow auth_users
Но, если же этот юзер только в группе "group1" и не входит в "group2" - скачать чего-нибудь через тот же FlashGet не сможет (FlashGet не умеет NTLM).

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-16 14:20:06

Да это то всё понятно. что он скачать не сможет это не беда , им и не положено что либо качать. меня интересует почему MS IE по байсику не пускает если пользователь в групе2 есть, а в группе1 его нет. :cry:

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-11-16 15:42:16

aspr05 писал(а):... меня интересует почему MS IE по байсику не пускает если пользователь в групе2 есть, а в группе1 его нет. :cry:
Потому что первой идет NTLM. И IE, естесвенно, сразу авторизируется по NTLM и получает отказ. До basic дело не доходит.

Аватара пользователя
aspr05
рядовой
Сообщения: 14
Зарегистрирован: 2007-11-15 12:02:20

Re: Статья squid+AD

Непрочитанное сообщение aspr05 » 2007-11-16 16:23:48

Задам глупый вопрос, а по чему не доходит и как сделать чтоб доходило. :mrgreen:

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение gmn » 2007-11-16 16:58:59

не делить юзеров по разным группам по типам авторизации.

Гость
проходил мимо

Re: Статья squid+AD

Непрочитанное сообщение Гость » 2007-11-16 18:20:38

Статья про сквид перерасла в релиз? или еще бета?