Статья squid+AD

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
TheDeadOne
рядовой
Сообщения: 11
Зарегистрирован: 2011-11-10 5:25:50
Откуда: Иркутск
Контактная информация:

Re: Статья squid+AD

Непрочитанное сообщение TheDeadOne » 2012-05-21 12:16:13

Пришлось обезьяничать дальше. После рестарта winbind /var/run/samba/winbindd_privileged/pipe снова имел права root:root, с которыми сквид работать отказывается. Добавил в /etc/init.d/winbind после строки
start-stop-daemon --start --quiet --oknodo --exec $DAEMON -- $WINBINDD_OPTS
строки
sleep 2
chgrp proxy $PIDDIR/winbindd_privileged/pipe


Работает. Но это не наши методы! Меня это угнетает. Как сделать правильно?
Один гриф, за свою жизнь, может съесть три поколения львов.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

ZvookieJoo
проходил мимо

Re: Статья squid+AD

Непрочитанное сообщение ZvookieJoo » 2012-11-26 16:40:36

Почему-то не могу разобраться с работой хелпера:
ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMKNIGI\Domain Users" -d10 -I /tmp

ничего не выводит. Пробовал менять winbind separator, дальше просто не знаю, куда крутить.

Аватара пользователя
burder
сержант
Сообщения: 154
Зарегистрирован: 2007-12-19 13:18:18

Re: Статья squid+AD

Непрочитанное сообщение burder » 2012-12-26 9:39:10

Так эта чудесная связка на данный момент работает?
Не чего не поменялось ?
-=-

time12345
сержант
Сообщения: 224
Зарегистрирован: 2011-09-21 1:23:43

Re: Статья squid+AD

Непрочитанное сообщение time12345 » 2013-01-05 0:49:37

а чего тема в разделе OpenBSD ?

Michael /780
сержант
Сообщения: 281
Зарегистрирован: 2008-08-24 21:11:25
Откуда: Москва

Re: Статья squid+AD

Непрочитанное сообщение Michael /780 » 2013-01-18 21:33:58

Доброго времени суток!

Настроил авторизацию сквида в домене Windows 2008 по статье. Не хочет авторизовать ntlm, запрашивает пароль, воожу доменный - не принимает. Проблем с вводом в домен не было, пользователи и группы нормально отрабатываются wbinfo. Как бороться? Надо настроить без ввода пароля.
offtopBSD 9.1 AMD64, Squid 2.7
Авторизуюсь клиентом Windows 7 x64, IE

luckyy
проходил мимо
Сообщения: 2
Зарегистрирован: 2013-09-17 16:31:27

Re: Статья squid+AD

Непрочитанное сообщение luckyy » 2013-10-24 14:02:17

St@yt писал(а):привет.... поднял эту связку на основе статьи.... работает....
тут в постах несколько раз всплывает вопрос что сквид не реагирует на переводы юзеров домена из одной группы в другую.... я сам над этим попарился..... :cz2:
да, обьяснение этого вопроса конечно стоило бы добавить в статью....
я решал его след образом:
оперативность реагирования зависит от времени хранения кеша как в SAMBA, так и в Sqwuid....

Код: Выделить всё

smb.conf
winbind cache time = 5 (к примеру)
на 0 у меня winbind просто вис....
в squid.conf важны 2 параметра:
ttl=n (Time-To-Live, время жизни) в секундах для хранения результатов отработки внешнего ACL.(По умолчанию установлено в 3600 т.е. 1 час).
negative_ttl=n TTL в секундах для хранения отрицательных результатов отработки внешнего ACL. (По умолчанию, установлено значение такое же как ttl)

Код: Выделить всё

squid.conf
external_acl_type nt_group ttl=5 negative_ttl=5 %LOGIN  /usr/local/libexec/squid/wbinfo_group.pl
естественно такие заначения приемлемы на этапе тестов, при большой загрузке этого делать не соит....
но обновления кеша можно добиться и ничего не перегружая.... просто после изменения в группах AD необходимо в ручную авторизовать юзера:

Код: Выделить всё

# wbinfo --authenticate=domain+user%user_pass
у меня так работает....

и в догонку...
veles писал(а):у меня получаться, что если есть юзер в домене то его авторизация происходит в сквиде по любому и БЕЗ АВТОРИЗАЦИИ ЕГО В ДОМЕНЕ, это значит то что юзеру не обязательно регистрироваться в домена ему просто достаточно числиться в нём ... А это очень плохо !!! Короче может кто знает как сделать так что юзер без авторизации не сможет пользоваться интернетом ?
как вариант..... помоему можно через политики или скриптом, чтобы при заходе в систему юзер помещался в нужную руппу.... ну и время кеширования соответственное сделать....
Отличное замечание, тоже интересует этот вопрос, как можно рулить временем обновления, при переходе пользователя из группы в группу?!

kaig
ефрейтор
Сообщения: 52
Зарегистрирован: 2013-05-14 17:47:24

Re: Статья squid+AD

Непрочитанное сообщение kaig » 2013-12-24 8:44:30

список запрещенных сайтов - бесполезен, если пользователь введет в адресной строке https://сайт.ру, то с легкостью сможет зайти, т.к squid собран без поддержки ssl, без сертификатов.