Обсуждение SQUID+SAMS with LDAP

[Cancer]

"/usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -D ldap@mydomain.ru -W /usr/local/etc/squid/ldap.txt 192.168.0.1
username password
Ок"
но при этом же если username="Imya Familiya" то не работает
подскажите где копать
если можно примером покажите

логин имеет вид "some name" состоит из двух частей ?
если да, интересно для чего так делать , но да ладно, ща посмотрю

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Cancer]

В общем в веб интерфейсе самс видет моего пользователя onotole vaserman как двух разных поьзователей

А именно onotole и vaserman

Совет заводите пользователей без пробелом, а именно popov, ivanov или sidorov

[Time]

Добрый день, подскажите а в связке с windows server 2008 пробовал кто то ставить? пойдет нет?может есть какие то нюансы?

[jrmm]

Добрый день, поставил sams по статье, конфиг сквида был почти дефолтный.

Сразу после (успешной) авторизации вижу:
"Доступ к прокси-серверу запрещен
Access denied"

В статьях нигде не указано как настраивать squid.conf - у меня sams прописывает какие-то строки после TAG: ACL - создаёт часть файлов:

gw# ll /usr/local/etc/squid/*sams
-rw-r--r-- 1 root squid 29 May 24 18:15 /usr/local/etc/squid/default.sams
-rw-r--r-- 1 root squid 84 May 24 18:15 /usr/local/etc/squid/local_ip.sams
-rw-r--r-- 1 root squid 21 May 24 18:15 /usr/local/etc/squid/local_url.sams

Пробовал указать chat.ru в "Запрет доступа по URL" - в базу строка сохраняется. Но в сквид ничего не уходит:


gw# pwd ; grep chat.ru * -c
/usr/local/etc/squid
cachemgr.conf:0
cachemgr.conf.default:0
default.sams:0
errors:0
icons:0
local_ip.sams:0
local_url.sams:0
mib.txt:0
mime.conf:0
mime.conf.default:0
msntauth.conf:0
msntauth.conf.default:0
passwd:0
squid.conf:0
squid.conf.bak:0
squid.conf.default:0

В squid.conf вручную прописал
redirect_program /usr/local/bin/samsredir
иначе тупо работал http_access allow стоящий в конце squid.conf

Поделитесь пожалуйста своим squid.conf


gw# uname -v
FreeBSD 8.1-RELEASE #0: Mon Jul 19 02:55:53 UTC 2010 root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC

gw# pkg_info|grep squid
squid-3.0.25_3 HTTP Caching Proxy
gw# pkg_info | grep sams
sams-1.0.5_4,1 Squid 2.x Accounting Management System
gw# pkg_info | grep php
php5-5.3.5 PHP Scripting Language

[Cancer]

ХЗ, ХЗ может какие-то тонкости с 3-им сквидом, пока что не могу и подсказать
Попробуй на форуме разработчиков написать.
http://www.permlug.org/forum/sams

Надеюсь у вас авторизация проходит тестовая как в статье написано!

Код: Выделить всё

//> /usr/local/libexec/squid/squid_ldap_auth \
-b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \
-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \
-h 192.168.55.1 -p 389
# Далее вводим логин и пароль пользователя из AD (через пробел)
user password
OK            (Значит все отлично)
ERR Success   (Значит аутентификация не прошла)

[jrmm]

повторюсь - авторизация не нужна. лдапа нет. домена нет.
нужно управлять списком баннеров и порнухи через веб (начальник не умеет ssh) и их блокировать.

[kurono]

Выложите пожалуйста, рабочий squid.conf для данной темы, тестирую SQUID+SAMS with LDAP на виртуалках, но аутентификации через ldap не происходит, понимаю что засада в конфиге сквида, но что именно в нём править не очень.

[guest]

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "dc=domain,dc=ru" -D login@domain.ru -w password -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h ip_domain_serv -p 389
auth_param basic children 5
auth_param basic realm login \ password "bla bla bla" :)
auth_param basic credentialsttl 2 hours

[geonew]

Добрый день. Делал по статье http://www.lissyara.su/articles/freebsd ... ik-adldap/
Но на шаге:

Код: Выделить всё

Проверим
//> /usr/local/libexec/squid/squid_ldap_auth \
-b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \
-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \
-h 192.168.55.1 -p 389

в результате получаем

Код: Выделить всё

[root@proxy /]# /usr/local/libexec/squid/squid_ldap_auth \ -b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \ -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \ -h 192.168.55.1 -p 389
Usage: squid_ldap_auth -b basedn [options] [ldap_server_name[:port]]...

        -b basedn (REQUIRED)    base dn under which to search
        -f filter               search filter to locate user DN
        -u userattr             username DN attribute
        -s base|one|sub         search scope
        -D binddn               DN to bind as to perform searches
        -w bindpasswd           password for binddn
        -W secretfile           read password for binddn from file secretfile
        -H URI                  LDAPURI (defaults to ldap://localhost)
        -h server               LDAP server (defaults to localhost)
        -p port                 LDAP server port
        -P                      persistent LDAP connection
        -c timeout              connect timeout
        -t timelimit            search time limit
        -R                      do not follow referrals
        -a never|always|search|find
                                when to dereference aliases
        -v 2|3                  LDAP version
        -Z                      TLS encrypt the LDAP connection, requires LDAP version 3
        -d                      enable debug mode

        If no search filter is specified, then the dn <userattr>=user,basedn
        will be used (same as specifying a search filter of '<userattr>=',
        but quicker as as there is no need to search for the user DN)

        If you need to bind as a user to perform searches then use the
        -D binddn -w bindpasswd or -D binddn -W secretfile options

видимо ключи команды изменились, версия: FreeBsd 8.2.

Заранее спасибо

[geonew]

Разобрался с этим. Но другая проблема, проконсультируйте пожалуйста новичка
есть группа-valaam
в ней домен-ad, netbios name сервера Server-Ad(но это, как я понял и не нужно)
пользователь ldap лежит в самом корне.
Widonws Server 2008 R2
192.168.0.106 - FreeBsd 8.2
squid.conf -

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth \
	-b "ou=dep,dc=ad,dc=valaam,dc=local" -D ldap@ad.valaam.local -w password_ldap \
	-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \
	-h 192.168.0.106 -p 389

Получаю

Код: Выделить всё

[root@proxy ~]# /usr/local/libexec/squid/squid_ldap_auth \
> -b "ou=dep,dc=ad,dc=valaam,dc=local" -D ldap@ad.valaam.local -w password_ldap \
> -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \
> -h 192.168.0.106 -p 389
ldap password_ldap
squid_ldap_auth: WARNING, LDAP search error 'No such object'
ERR Success

Возможно в windows server 2008 R2 что-то изменили?
Заранее спасибо, если вопрос тупой не ругайте, новичок..

[Curt]

вообщем поставил я squid сделал аутентификацию LDAP, решил поставить sams, веб интерфейс запустил, пользователи добавились, но проблема в том что он не считает трафик
трафик считается только после завершения команды sams -d автоматически не считается, всю голову сломал

[tipaadmin]

Вечер добрый не могу пройти авторизацию squida в ldap не подскажите в чем может быть проблемма???!!!!

/usr/local/libexec/squid/squid_ldap_auth -b "ou=название контейнера,dc=домен,dc=домен" -D пользователь@домен.домен -w пароль_ldap -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h ип сервера АД -p 389

хочу настроить SQUID+SAMS Rejik3 c авторизацией по ADLDAP
freeBSD 7.2

[densan]

Подскажите, как реализовать след задачу:
В АД есть группы пользователей
Limit150
Limit300
Limin600
LimitOf
только эти пользователи должны иметь доступ с трафиком в зависимости от группы. Остальные пользователи должны иметь доступ только к определенным сайтам (белый список). Есть возможность внести группы и белый список в САМС, а далее только добавлять/отключать пользователей в АД.

[mckorven@gmail.com]

Я знаю только 4 способа авторизации
1. NCSA (авторизация с запросом логина и пароля, пользователи и пароли хранятся на проксе)
2. LDAP (авторизация по логину и паролю, но пользователи и пароли хранятся в AD)
3. NTLM (авторизация без запроса логина и пароля, пользователи и пароли берутся из AD, авторизуется по сеансу доменного пользователя)
4. IP (тут думаю понятно!, авторизация по IP адресу, без запроса логина и пароля)

Еще есть kerberos

[tangichhan]

Доброе время суток.
Нашел на сайте вашу статью по управлению прокси сервером.
Выполнил все как в написано в статье.
Проблема такого рода, когда в Web интерфейсе выполняешь "Тестировать ответ PDC" на что получаешь ответ "TEST PDC ERROR FATAL: AD bind failed. Check the login credentials."
Не могу разобраться почему так происходит?
Настройки sams.conf

Код: Выделить всё

[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=sams
MYSQLPASSWORD=password
MYSQLVERSION=5.1
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/usr/local/etc/squid
SQUIDLOGDIR=/usr/local/squid/logs
SQUIDCACHEDIR=/usr/local/squid/cashe
SAMSPATH=/usr/local
SQUIDPATH=/usr/local/sbin
#SQUIDGUARDLOGPATH=/var/log
#SQUIDGUARDDBPATH=/var/db/squidGuard
RECODECOMMAND=/usr/local/bin/iconv -f KOI8-R -t 866 %finp > %fout
#RECODECOMMAND=/usr/local/bin/iconv -f KOI8-R -t CP1251 %finp > %fout
LDAPSERVER=192.158.135.2
LDAPBASEDN=domain.local
LDAPUSER=squidreader
LDAPUSERPASSWD=squidreader
LDAPUSERSGROUP=admin
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=/sbin/shutdown -h now
CACHENUM=0

Конфиг squid.conf

Код: Выделить всё

# created by SAMS _sams_ 2012-2-20 12:16:14
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
acl localnet src fc00::/7       # RFC 4193 local private network range
acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#acl inetusers external ldap_users InternetUsers
#acl Privilegy_users external ldap_users InternetPrivilegyUsers

#acl ad64 external ldap_users inet_64k
#acl ad128 external ldap_users inet_128k
#acl ad1024 external ldap_users inet_1024k

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports
# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/squid/cache 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/squid/cache

access_log /usr/local/squid/logs/access.log squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320

#Recommended minimum configuration per scheme:
/usr/local/libexec/squid/squid_ldap_auth -R -D squidreader@domain.local -W /usr/local/etc/squid/adpw.txt -b "dc=rkbsemashko,dc=local" -f "sAMAccountName=%s" 192.168.135.2
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#http_access allow ad128

#delay_class 3 1
#delay_access 3 allow ad128
#delay_access 3 deny all

Тестирование авторизации в AD

Код: Выделить всё

GW# /usr/local/libexec/squid/squid_ldap_auth -R -D squidreader@domain.local -W /usr/local/etc/squid/adpw.txt -b "dc=domain,dc=local" -f "sAMAccountName=%s" 192.168.135.2
squidreader squidreader
OK
freebsd2 123
OK

Нужно ли ставить SAMBA?

[zhna]

проблемма заключается в следующем делаю в сё по статье но вот при установке php52(кретична версия или можно ставить любую?)
возникают следующие ошибки

Код: Выделить всё

In file included from /usr/local/included/apache2/httpd.h:44
                                        from /user/ports/lang/php52/work/php-5.2.17/sapi/apache2hedliner/php_apache.h:24

php_apache.h:24,
                                       from /user/ports/lang/php52/work/php-5.2.17/sapi/apache2hedliner/mod_php5.c:26:
/usr/local/include/apache2/ap_regex.h:90: error: conflicting type for 'regoff_t'
/usr/ports/lang/php52/work/php-5.2.17/regex.h:17: error: previous declaration of  'regoff_t' was here
*** Error code 1
1 error
*** Error code 1
 Stop in /usr/ports/lang/php52.

*** Ereror code 1

Stop in /usr/ports/lang/php52.

народ помогите в чём я ошибся !?

[AlexandrKim]

проблемма заключается в следующем делаю в сё по статье но вот при установке php52(кретична версия или можно ставить любую?)
возникают следующие ошибки

Код: Выделить всё

In file included from /usr/local/included/apache2/httpd.h:44
                                        from /user/ports/lang/php52/work/php-5.2.17/sapi/apache2hedliner/php_apache.h:24

php_apache.h:24,
                                       from /user/ports/lang/php52/work/php-5.2.17/sapi/apache2hedliner/mod_php5.c:26:
/usr/local/include/apache2/ap_regex.h:90: error: conflicting type for 'regoff_t'
/usr/ports/lang/php52/work/php-5.2.17/regex.h:17: error: previous declaration of  'regoff_t' was here
*** Error code 1
1 error
*** Error code 1
 Stop in /usr/ports/lang/php52.

*** Ereror code 1

Stop in /usr/ports/lang/php52.

народ помогите в чём я ошибся !?

vi /usr/local/include/apache2/ap_regex.h
typedef int regoff_t
?
/* typedef int regoff_t */

[phantom]

В инете наткнулся на совет. Если вам нужно использовать имена с пробелами, то пробелы нужно заменять символами "%20", типа как иногда в строке браузера. Например "vasya%20pupkin" или "groupe%20of%20baranoff%20inet". Сам не проверял -- пробуйте.

[voidoid]

Всем привет. Суть такова: FreeBSD 8.2 amd64, squid 2.7.5, sams 1.05, авторизация через по LDAP в AD на Windows 2008R2. Аккаунты пользователей в AD имеют вид APetrov@domain.local. В таком же виде логины кочуют в SAMS. Авторизация проходит успешно, однако сразу после авторизации сквид выдает страницу Access Denied. Список доступа (ACL), который формирует SAMS, хранится в отдельном файле и имеет вид:

Код: Выделить всё

AIvanov
BPetrov
CSidorov

Если привести его к следующему виду:

Код: Выделить всё

aivanov
bpetrov
csidorov

то все работает. SAMS в конфиге сквида прописывает ACL proxy_auth без ключа -i (который отключает регистрозависимость). Как можно решить эту проблему? Мне видится три пути:

1. покопаться в исходниках SAMS на предмет прописывания ключа -i в конфиг сквида;
2. с помощью параметра RECODECOMMAND в конфиге SAMS при загрузке юзеров с AD привести их к нижнему регистру. Я пробовал прописать там

Код: Выделить всё

RECODECOMMAND=tr "[:upper:]" "[:lower:]" < %finp > %fout

, но ничего не изменилось;
3. Прописать все логины в AD в нижнем регистре

Кто-нибудь может подсказать другие варианты?