Обсуждение SQUID+SAMS with LDAP

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2010-10-26 19:26:13

vgasys писал(а):"/usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -D ldap@mydomain.ru -W /usr/local/etc/squid/ldap.txt 192.168.0.1
username password
Ок"
но при этом же если username="Imya Familiya" то не работает
подскажите где копать
если можно примером покажите

логин имеет вид "some name" состоит из двух частей ?
если да, интересно для чего так делать :pardon: , но да ладно, ща посмотрю

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2010-10-26 21:09:36

В общем в веб интерфейсе самс видет моего пользователя onotole vaserman как двух разных поьзователей

А именно onotole и vaserman

Совет заводите пользователей без пробелом, а именно popov, ivanov или sidorov

Аватара пользователя
Time
сержант
Сообщения: 195
Зарегистрирован: 2008-09-04 4:31:16
Откуда: Абакан
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Time » 2010-10-29 10:42:08

Добрый день, подскажите а в связке с windows server 2008 пробовал кто то ставить? пойдет нет?может есть какие то нюансы?

jrmm
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-17 8:15:55

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение jrmm » 2011-05-24 17:30:38

Добрый день, поставил sams по статье, конфиг сквида был почти дефолтный.

Сразу после (успешной) авторизации вижу:
"Доступ к прокси-серверу запрещен
Access denied"

В статьях нигде не указано как настраивать squid.conf - у меня sams прописывает какие-то строки после TAG: ACL - создаёт часть файлов:

gw# ll /usr/local/etc/squid/*sams
-rw-r--r-- 1 root squid 29 May 24 18:15 /usr/local/etc/squid/default.sams
-rw-r--r-- 1 root squid 84 May 24 18:15 /usr/local/etc/squid/local_ip.sams
-rw-r--r-- 1 root squid 21 May 24 18:15 /usr/local/etc/squid/local_url.sams

Пробовал указать chat.ru в "Запрет доступа по URL" - в базу строка сохраняется. Но в сквид ничего не уходит:


gw# pwd ; grep chat.ru * -c
/usr/local/etc/squid
cachemgr.conf:0
cachemgr.conf.default:0
default.sams:0
errors:0
icons:0
local_ip.sams:0
local_url.sams:0
mib.txt:0
mime.conf:0
mime.conf.default:0
msntauth.conf:0
msntauth.conf.default:0
passwd:0
squid.conf:0
squid.conf.bak:0
squid.conf.default:0

В squid.conf вручную прописал
redirect_program /usr/local/bin/samsredir
иначе тупо работал http_access allow стоящий в конце squid.conf

Поделитесь пожалуйста своим squid.conf


gw# uname -v
FreeBSD 8.1-RELEASE #0: Mon Jul 19 02:55:53 UTC 2010 root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC

gw# pkg_info|grep squid
squid-3.0.25_3 HTTP Caching Proxy
gw# pkg_info | grep sams
sams-1.0.5_4,1 Squid 2.x Accounting Management System
gw# pkg_info | grep php
php5-5.3.5 PHP Scripting Language

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2011-06-01 22:26:03

ХЗ, ХЗ может какие-то тонкости с 3-им сквидом, пока что не могу и подсказать =)
Попробуй на форуме разработчиков написать.
http://www.permlug.org/forum/sams

Надеюсь у вас авторизация проходит тестовая как в статье написано!

Код: Выделить всё

//> /usr/local/libexec/squid/squid_ldap_auth \
-b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \
-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \
-h 192.168.55.1 -p 389
# Далее вводим логин и пароль пользователя из AD (через пробел)
user password
OK            (Значит все отлично)
ERR Success   (Значит аутентификация не прошла)

jrmm
рядовой
Сообщения: 24
Зарегистрирован: 2009-04-17 8:15:55

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение jrmm » 2011-06-02 8:41:55

:) повторюсь - авторизация не нужна. лдапа нет. домена нет.
нужно управлять списком баннеров и порнухи через веб (начальник не умеет ssh) и их блокировать.

kurono
проходил мимо
Сообщения: 5
Зарегистрирован: 2011-07-06 13:03:23

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение kurono » 2011-08-02 19:48:37

Выложите пожалуйста, рабочий squid.conf для данной темы, тестирую SQUID+SAMS with LDAP на виртуалках, но аутентификации через ldap не происходит, понимаю что засада в конфиге сквида, но что именно в нём править не очень.

guest
проходил мимо

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение guest » 2011-08-10 9:00:51

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "dc=domain,dc=ru" -D login@domain.ru -w password -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h ip_domain_serv -p 389
auth_param basic children 5
auth_param basic realm login \ password "bla bla bla" :)
auth_param basic credentialsttl 2 hours

geonew
проходил мимо
Сообщения: 3
Зарегистрирован: 2011-08-10 11:02:00

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение geonew » 2011-08-10 15:51:17

Добрый день. Делал по статье http://www.lissyara.su/articles/freebsd ... ik-adldap/
Но на шаге:

Код: Выделить всё

Проверим
//> /usr/local/libexec/squid/squid_ldap_auth \
-b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \
-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \
-h 192.168.55.1 -p 389

в результате получаем

Код: Выделить всё

[root@proxy /]# /usr/local/libexec/squid/squid_ldap_auth \ -b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \ -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \ -h 192.168.55.1 -p 389
Usage: squid_ldap_auth -b basedn [options] [ldap_server_name[:port]]...

        -b basedn (REQUIRED)    base dn under which to search
        -f filter               search filter to locate user DN
        -u userattr             username DN attribute
        -s base|one|sub         search scope
        -D binddn               DN to bind as to perform searches
        -w bindpasswd           password for binddn
        -W secretfile           read password for binddn from file secretfile
        -H URI                  LDAPURI (defaults to ldap://localhost)
        -h server               LDAP server (defaults to localhost)
        -p port                 LDAP server port
        -P                      persistent LDAP connection
        -c timeout              connect timeout
        -t timelimit            search time limit
        -R                      do not follow referrals
        -a never|always|search|find
                                when to dereference aliases
        -v 2|3                  LDAP version
        -Z                      TLS encrypt the LDAP connection, requires LDAP version 3
        -d                      enable debug mode

        If no search filter is specified, then the dn <userattr>=user,basedn
        will be used (same as specifying a search filter of '<userattr>=',
        but quicker as as there is no need to search for the user DN)

        If you need to bind as a user to perform searches then use the
        -D binddn -w bindpasswd or -D binddn -W secretfile options

видимо ключи команды изменились, версия: FreeBsd 8.2.

Заранее спасибо

geonew
проходил мимо
Сообщения: 3
Зарегистрирован: 2011-08-10 11:02:00

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение geonew » 2011-08-11 11:53:21

Разобрался с этим. Но другая проблема, проконсультируйте пожалуйста новичка
есть группа-valaam
в ней домен-ad, netbios name сервера Server-Ad(но это, как я понял и не нужно)
пользователь ldap лежит в самом корне.
Widonws Server 2008 R2
192.168.0.106 - FreeBsd 8.2
squid.conf -

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth \
	-b "ou=dep,dc=ad,dc=valaam,dc=local" -D ldap@ad.valaam.local -w password_ldap \
	-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \
	-h 192.168.0.106 -p 389
Получаю

Код: Выделить всё

[root@proxy ~]# /usr/local/libexec/squid/squid_ldap_auth \
> -b "ou=dep,dc=ad,dc=valaam,dc=local" -D ldap@ad.valaam.local -w password_ldap \
> -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \
> -h 192.168.0.106 -p 389
ldap password_ldap
squid_ldap_auth: WARNING, LDAP search error 'No such object'
ERR Success
Возможно в windows server 2008 R2 что-то изменили?
Заранее спасибо, если вопрос тупой не ругайте, новичок..

Curt
проходил мимо

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Curt » 2011-09-07 11:12:59

вообщем поставил я squid сделал аутентификацию LDAP, решил поставить sams, веб интерфейс запустил, пользователи добавились, но проблема в том что он не считает трафик
трафик считается только после завершения команды sams -d автоматически не считается, всю голову сломал

tipaadmin
рядовой
Сообщения: 22
Зарегистрирован: 2011-08-31 13:55:58

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение tipaadmin » 2011-09-07 16:58:31

Вечер добрый не могу пройти авторизацию squida в ldap не подскажите в чем может быть проблемма???!!!!

/usr/local/libexec/squid/squid_ldap_auth -b "ou=название контейнера,dc=домен,dc=домен" -D пользователь@домен.домен -w пароль_ldap -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h ип сервера АД -p 389

хочу настроить SQUID+SAMS Rejik3 c авторизацией по ADLDAP
freeBSD 7.2

densan
ст. сержант
Сообщения: 369
Зарегистрирован: 2007-12-06 10:02:02
Откуда: Penza
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение densan » 2011-12-10 16:07:54

Подскажите, как реализовать след задачу:
В АД есть группы пользователей
Limit150
Limit300
Limin600
LimitOf
только эти пользователи должны иметь доступ с трафиком в зависимости от группы. Остальные пользователи должны иметь доступ только к определенным сайтам (белый список). Есть возможность внести группы и белый список в САМС, а далее только добавлять/отключать пользователей в АД.

mckorven@gmail.com
проходил мимо

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение mckorven@gmail.com » 2011-12-28 13:55:01

Cancer писал(а):Я знаю только 4 способа авторизации
1. NCSA (авторизация с запросом логина и пароля, пользователи и пароли хранятся на проксе)
2. LDAP (авторизация по логину и паролю, но пользователи и пароли хранятся в AD)
3. NTLM (авторизация без запроса логина и пароля, пользователи и пароли берутся из AD, авторизуется по сеансу доменного пользователя)
4. IP (тут думаю понятно!, авторизация по IP адресу, без запроса логина и пароля)
Еще есть kerberos

tangichhan
рядовой
Сообщения: 24
Зарегистрирован: 2011-09-29 9:37:47

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение tangichhan » 2012-02-22 7:33:17

Доброе время суток.
Нашел на сайте вашу статью по управлению прокси сервером.
Выполнил все как в написано в статье.
Проблема такого рода, когда в Web интерфейсе выполняешь "Тестировать ответ PDC" на что получаешь ответ "TEST PDC ERROR FATAL: AD bind failed. Check the login credentials."
Не могу разобраться почему так происходит?
Настройки sams.conf

Код: Выделить всё

[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=sams
MYSQLPASSWORD=password
MYSQLVERSION=5.1
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/usr/local/etc/squid
SQUIDLOGDIR=/usr/local/squid/logs
SQUIDCACHEDIR=/usr/local/squid/cashe
SAMSPATH=/usr/local
SQUIDPATH=/usr/local/sbin
#SQUIDGUARDLOGPATH=/var/log
#SQUIDGUARDDBPATH=/var/db/squidGuard
RECODECOMMAND=/usr/local/bin/iconv -f KOI8-R -t 866 %finp > %fout
#RECODECOMMAND=/usr/local/bin/iconv -f KOI8-R -t CP1251 %finp > %fout
LDAPSERVER=192.158.135.2
LDAPBASEDN=domain.local
LDAPUSER=squidreader
LDAPUSERPASSWD=squidreader
LDAPUSERSGROUP=admin
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=/sbin/shutdown -h now
CACHENUM=0
Конфиг squid.conf

Код: Выделить всё

# created by SAMS _sams_ 2012-2-20 12:16:14
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#acl inetusers external ldap_users InternetUsers
#acl Privilegy_users external ldap_users InternetPrivilegyUsers

#acl ad64 external ldap_users inet_64k
#acl ad128 external ldap_users inet_128k
#acl ad1024 external ldap_users inet_1024k

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/squid/cache 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache

access_log /usr/local/squid/logs/access.log squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

#Recommended minimum configuration per scheme:
/usr/local/libexec/squid/squid_ldap_auth -R -D squidreader@domain.local -W /usr/local/etc/squid/adpw.txt -b "dc=rkbsemashko,dc=local" -f "sAMAccountName=%s" 192.168.135.2
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#http_access allow ad128

#delay_class 3 1
#delay_access 3 allow ad128
#delay_access 3 deny all


Тестирование авторизации в AD

Код: Выделить всё


GW# /usr/local/libexec/squid/squid_ldap_auth -R -D squidreader@domain.local -W /usr/local/etc/squid/adpw.txt -b "dc=domain,dc=local" -f "sAMAccountName=%s" 192.168.135.2
squidreader squidreader
OK
freebsd2 123
OK
Нужно ли ставить SAMBA?

zhna
рядовой
Сообщения: 26
Зарегистрирован: 2011-05-20 10:26:09

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение zhna » 2012-03-20 14:55:23

проблемма заключается в следующем делаю в сё по статье но вот при установке php52(кретична версия или можно ставить любую?)
возникают следующие ошибки

Код: Выделить всё

In file included from /usr/local/included/apache2/httpd.h:44
                                        from /user/ports/lang/php52/work/php-5.2.17/sapi/apache2hedliner/php_apache.h:24

php_apache.h:24,
                                       from /user/ports/lang/php52/work/php-5.2.17/sapi/apache2hedliner/mod_php5.c:26:
/usr/local/include/apache2/ap_regex.h:90: error: conflicting type for 'regoff_t'
/usr/ports/lang/php52/work/php-5.2.17/regex.h:17: error: previous declaration of  'regoff_t' was here
*** Error code 1
1 error
*** Error code 1
 Stop in /usr/ports/lang/php52.

*** Ereror code 1

Stop in /usr/ports/lang/php52.
народ помогите в чём я ошибся !?

AlexandrKim
проходил мимо
Сообщения: 2
Зарегистрирован: 2010-09-13 10:04:54

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение AlexandrKim » 2012-07-11 9:50:47

zhna писал(а):проблемма заключается в следующем делаю в сё по статье но вот при установке php52(кретична версия или можно ставить любую?)
возникают следующие ошибки

Код: Выделить всё

In file included from /usr/local/included/apache2/httpd.h:44
                                        from /user/ports/lang/php52/work/php-5.2.17/sapi/apache2hedliner/php_apache.h:24

php_apache.h:24,
                                       from /user/ports/lang/php52/work/php-5.2.17/sapi/apache2hedliner/mod_php5.c:26:
/usr/local/include/apache2/ap_regex.h:90: error: conflicting type for 'regoff_t'
/usr/ports/lang/php52/work/php-5.2.17/regex.h:17: error: previous declaration of  'regoff_t' was here
*** Error code 1
1 error
*** Error code 1
 Stop in /usr/ports/lang/php52.

*** Ereror code 1

Stop in /usr/ports/lang/php52.
народ помогите в чём я ошибся !?
vi /usr/local/include/apache2/ap_regex.h
typedef int regoff_t
?
/* typedef int regoff_t */

phantom
проходил мимо

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение phantom » 2012-08-16 18:50:09

В инете наткнулся на совет. Если вам нужно использовать имена с пробелами, то пробелы нужно заменять символами "%20", типа как иногда в строке браузера. Например "vasya%20pupkin" или "groupe%20of%20baranoff%20inet". Сам не проверял -- пробуйте.

voidoid
проходил мимо
Сообщения: 1
Зарегистрирован: 2013-09-04 1:42:06

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение voidoid » 2013-09-04 1:45:59

Всем привет. Суть такова: FreeBSD 8.2 amd64, squid 2.7.5, sams 1.05, авторизация через по LDAP в AD на Windows 2008R2. Аккаунты пользователей в AD имеют вид APetrov@domain.local. В таком же виде логины кочуют в SAMS. Авторизация проходит успешно, однако сразу после авторизации сквид выдает страницу Access Denied. Список доступа (ACL), который формирует SAMS, хранится в отдельном файле и имеет вид:

Код: Выделить всё

AIvanov
BPetrov
CSidorov
Если привести его к следующему виду:

Код: Выделить всё

aivanov
bpetrov
csidorov
то все работает. SAMS в конфиге сквида прописывает ACL proxy_auth без ключа -i (который отключает регистрозависимость). Как можно решить эту проблему? Мне видится три пути:

1. покопаться в исходниках SAMS на предмет прописывания ключа -i в конфиг сквида;
2. с помощью параметра RECODECOMMAND в конфиге SAMS при загрузке юзеров с AD привести их к нижнему регистру. Я пробовал прописать там

Код: Выделить всё

RECODECOMMAND=tr "[:upper:]" "[:lower:]" < %finp > %fout
, но ничего не изменилось;
3. Прописать все логины в AD в нижнем регистре :)

Кто-нибудь может подсказать другие варианты?