Статья squid+AD

[TheDeadOne]

Пришлось обезьяничать дальше. После рестарта winbind /var/run/samba/winbindd_privileged/pipe снова имел права root:root, с которыми сквид работать отказывается. Добавил в /etc/init.d/winbind после строки
start-stop-daemon --start --quiet --oknodo --exec $DAEMON -- $WINBINDD_OPTS
строки
sleep 2
chgrp proxy $PIDDIR/winbindd_privileged/pipe

Работает. Но это не наши методы! Меня это угнетает. Как сделать правильно?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ZvookieJoo]

Почему-то не могу разобраться с работой хелпера:
ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMKNIGI\Domain Users" -d10 -I /tmp

ничего не выводит. Пробовал менять winbind separator, дальше просто не знаю, куда крутить.

[burder]

Так эта чудесная связка на данный момент работает?
Не чего не поменялось ?

[time12345]

а чего тема в разделе OpenBSD ?

[Michael /780]

Доброго времени суток!

Настроил авторизацию сквида в домене Windows 2008 по статье. Не хочет авторизовать ntlm, запрашивает пароль, воожу доменный - не принимает. Проблем с вводом в домен не было, пользователи и группы нормально отрабатываются wbinfo. Как бороться? Надо настроить без ввода пароля.
offtopBSD 9.1 AMD64, Squid 2.7
Авторизуюсь клиентом Windows 7 x64, IE

[luckyy]

привет.... поднял эту связку на основе статьи.... работает....
тут в постах несколько раз всплывает вопрос что сквид не реагирует на переводы юзеров домена из одной группы в другую.... я сам над этим попарился.....
да, обьяснение этого вопроса конечно стоило бы добавить в статью....
я решал его след образом:
оперативность реагирования зависит от времени хранения кеша как в SAMBA, так и в Sqwuid....

Код: Выделить всё

smb.conf
winbind cache time = 5 (к примеру)

на 0 у меня winbind просто вис....
в squid.conf важны 2 параметра:
ttl=n (Time-To-Live, время жизни) в секундах для хранения результатов отработки внешнего ACL.(По умолчанию установлено в 3600 т.е. 1 час).
negative_ttl=n TTL в секундах для хранения отрицательных результатов отработки внешнего ACL. (По умолчанию, установлено значение такое же как ttl)

Код: Выделить всё

squid.conf
external_acl_type nt_group ttl=5 negative_ttl=5 %LOGIN  /usr/local/libexec/squid/wbinfo_group.pl

естественно такие заначения приемлемы на этапе тестов, при большой загрузке этого делать не соит....
но обновления кеша можно добиться и ничего не перегружая.... просто после изменения в группах AD необходимо в ручную авторизовать юзера:

Код: Выделить всё

# wbinfo --authenticate=domain+user%user_pass

у меня так работает....

и в догонку...

у меня получаться, что если есть юзер в домене то его авторизация происходит в сквиде по любому и БЕЗ АВТОРИЗАЦИИ ЕГО В ДОМЕНЕ, это значит то что юзеру не обязательно регистрироваться в домена ему просто достаточно числиться в нём ... А это очень плохо !!! Короче может кто знает как сделать так что юзер без авторизации не сможет пользоваться интернетом ?

как вариант..... помоему можно через политики или скриптом, чтобы при заходе в систему юзер помещался в нужную руппу.... ну и время кеширования соответственное сделать....

Отличное замечание, тоже интересует этот вопрос, как можно рулить временем обновления, при переходе пользователя из группы в группу?!

[kaig]

список запрещенных сайтов - бесполезен, если пользователь введет в адресной строке https://сайт.ру, то с легкостью сможет зайти, т.к squid собран без поддержки ssl, без сертификатов.