Обсуждение SQUID+SAMS with LDAP

[Jeque]

Подскажите пожалуйста, при таком типе авторизации, она проходит прозрачно для пользователей домена или нужно вручную вводить пароль для доступа в интернет?

ненужно вводить логин и пароль

А надолго он его запоминает? Как часто требуется вводить логин и пароль?

Вообще не должен ты его вводить, он его из АД постоянно получает.

Извиняюсь, я ваш первый ответ невнимательно прочитал.
Т.е. работает прозрачно, также как и через NTLM? Имя пользователя и пароль берутся доменные?
А как в этом случае работают пользователи, которые к домену не подключены. Предусмотрена ли при такой конфигурации обычная авторизация с логином и паролем? И где их нужно хранить, в AD или в SAMS?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Cancer]

Ой извиняюсь, он будет пароль просить после каждого перезапуска браузера, авторизация похожая на NCSA

[Jeque]

Ой извиняюсь, он будет пароль просить после каждого перезапуска браузера, авторизация похожая на NCSA

Ну вот, а я уже обрадовался.

Кстати, хотел спросить, зачем вы пишете "make && make install && make clean", если можно просто "make install clean"?
И почему не ставите rejik и SAMS из портов? По краиней мере в настоящий момент, там все версии актуальные.

[Jeque]

И ещё хочу спросить, если можно, раз уж зашёл такой разговор.
Чем вы меряете отличный от http трафик? Речь идёт как об общеизвестных (FTP, ICQ, POP, IMAP, SSH), так и о разных других хитрых сервисах, работающих на верхних портах (типа torrents или бухгалтерских программ).
Решений, вроде представлено много, но нет ни одного оптимального, т.к. приходится жёстко привязывать пользователей к IP-адресам, с которых они работают и дописывать их в конфигурационные файлы вручную и менять эту таблицу, когда адреса поменялись. Я очень долго думал, но так и не нашёл способа вытаскивать из домена Windows информацию о соответствии имени доменного пользователя IP-адресу с которого он работает. Была мысль экспортировать базу DHCP с Windows Server и вытаскивать из неё соответствие IP-адреса и имени рабочей станции, а потом разбирать лог-файлы контроллера домена для того чтобы вытащить оттуда какой именно пользователь залогинился с конкретной рабочей станции. Все средства для этого в Windows Server есть (в том числе и для работы из скриптов и командной строки), но у меня всё равно не получилось.

[Cancer]

Ой извиняюсь, он будет пароль просить после каждого перезапуска браузера, авторизация похожая на NCSA

Ну вот, а я уже обрадовался.

Кстати, хотел спросить, зачем вы пишете "make && make install && make clean", если можно просто "make install clean"?
И почему не ставите rejik и SAMS из портов? По краиней мере в настоящий момент, там все версии актуальные.

Статья была написана ранее чем SAMS появился в потах.

Про NCSA переписал, нужно будет и LDAP и NTLM переписывать.

[Cancer]

Jeque
FTP отлично считается через обыкновенный браузер типа Firefox, ICQ поддерживает прокси,
POP IMAP SMTP собственный Почтовый сервер, SSH просто проброс портов и не считаю его совсем.
Банковские программы - лиибо авторизация по IP (можно посчитать траф), либо не считать и просто натить pf.

[Jeque]

Jeque
FTP отлично считается через обыкновенный браузер типа Firefox, ICQ поддерживает прокси,
POP IMAP SMTP собственный Почтовый сервер, SSH просто проброс портов и не считаю его совсем.
Банковские программы - лиибо авторизация по IP (можно посчитать траф), либо не считать и просто натить pf.

Вот я об этом и говорю, что нет нормального полноценного решения для подсчёта всего трафика. Из того, что мне известно, только netams и traffpro считают всё и дают полный отчёт по всему трафику, но нет интеграции с Windows Domain и поэтому пользователей приходится администрировать вручную.

[Cancer]

Jeque
FTP отлично считается через обыкновенный браузер типа Firefox, ICQ поддерживает прокси,
POP IMAP SMTP собственный Почтовый сервер, SSH просто проброс портов и не считаю его совсем.
Банковские программы - лиибо авторизация по IP (можно посчитать траф), либо не считать и просто натить pf.

Вот я об этом и говорю, что нет нормального полноценного решения для подсчёта всего трафика. Из того, что мне известно, только netams и traffpro считают всё и дают полный отчёт по всему трафику, но нет интеграции с Windows Domain и поэтому пользователей приходится администрировать вручную.

По идее можно весь трафик считать и в такой связке, токо аутентифиуацию делать по IP и pf-ом заворачивать 80 25 110 порты на проксю, делать (этак прозрачный)
Пример тут есть http://www.lissyara.su/?id=1833

[Jeque]

У меня примерно так сейчас и работает. Статистику по http-трафику показываю юзерам через lightsquid. К сожалению, в случае прозрачного прокси я имею статистику только по IP-адресам, а хотелось бы показывать в ней имена пользователей и привязывать трафик именно к пользователям. Если учесть, что IP-адреса раздаются через DHCP, то иногда получается путаница.
Кстати, кто-нибудь пробовал настраивать авторизацию через AD с прозрачным SQUID?
Почему именно прозрачный? У нас в сети много маков, а им прокси через групповые политики не пропишешь придётся бегать и менять вручную.

[Cancer]

У меня примерно так сейчас и работает. Статистику по http-трафику показываю юзерам через lightsquid. К сожалению, в случае прозрачного прокси я имею статистику только по IP-адресам, а хотелось бы показывать в ней имена пользователей и привязывать трафик именно к пользователям. Если учесть, что IP-адреса раздаются через DHCP, то иногда получается путаница.
Кстати, кто-нибудь пробовал настраивать авторизацию через AD с прозрачным SQUID?
Почему именно прозрачный? У нас в сети много маков, а им прокси через групповые политики не пропишешь придётся бегать и менять вручную.

С этим вопросом лучше обратиться http://sams.permlug.org/ так как сам я такого не делал, но хотелось бы

[Smile]

Здравствуйте, если честно, то ООООЧЕНЬ много вопросов:

1. /usr/ports/www/squid - make config

[X] MYSQLI MySQL 4.1+ back-end (use mysqli PHP extension)
[ ] PGSQL PostgreSQL back-end (use pgsql PHP extension)

А где вы это там нашли? БСД 6.4, порты обновлены, сквид тот же самый (2.7.5) - но этих строк нету. Как это вызвать то, и надо ли?

2. Куча софта тащит за собой другую кучу и спрашивает как ее настраивать (тот же пхп экстеншенс тащит софтин 10, и у каждой куча параметров в конфиг скрине) - или достаточно все оставлять в дефолте?

3. Ну и с хелпером куча проблем. Структура домена такая, что контейнер Users пустой. Зато есть контейнер "Company Users" , в нем три сабконтейнера (Москва, Питер, Ростов) и в каждом из них еще по 3-5 подконтейнера (склады, магазины, офисы). И например нельзя сказать что нужные объекты в одном контейнере. Например магазины раскиданы по 3-му уровню во всех трех основных контейнерах(московские, питерские и ростовско-краснодарские), и у них потом будет режим белого списка сайтов, а в офисах рестриктед режимы разные (с черным списком) и тд.
Причем естественно это контейнеры, под инет просто группки создадим, internet_full, internet_regular, internet_restricted. Но вот как в хелпере прописать правильно это извращение, чтобы авторизовывал? Третий день бьемся с вариантами - то одних авторизовывает, а других нет, то наоборот.
Помогите да

[Cancer]

Код: Выделить всё

[X] MYSQLI MySQL 4.1+ back-end (use mysqli PHP extension)
[ ] PGSQL PostgreSQL back-end (use pgsql PHP extension)

Убрал походу когда статьи переписывал прицепом от чего то другого прихватил, а ваша структура прям офигеть.

Думаю можно попробовать, мне аж интересно стало . пиши 354195три42 (три=3)

[Jan]

у и с хелпером куча проблем. Структура домена такая, что контейнер Users пустой. Зато есть контейнер "Company Users" , в нем три сабконтейнера (Москва, Питер, Ростов) и в каждом из них еще по 3-5 подконтейнера (склады, магазины, офисы). И например нельзя сказать что нужные объекты в одном контейнере. Например магазины раскиданы по 3-му уровню во всех трех основных контейнерах(московские, питерские и ростовско-краснодарские), и у них потом будет режим белого списка сайтов, а в офисах рестриктед режимы разные (с черным списком) и тд.

Та же самая проблема.
Юзера находятся не в Users, а в других контейнерах, которые я создал по отделам (так удобнее груп полиси присваивать)
Вот и получаетцо, что Контейнер Users пустой

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "cn=Users,dc=domain,dc=local"

- не проходит
А другие контейнера, где лежать юзвери имею вид ou=Имя отдела,cn=Имя пользователя итд аля dc=domain,dc=local
Бьюсь уже неделю, не хочется выводить назад всех в Users.

[Cancer]

у и с хелпером куча проблем. Структура домена такая, что контейнер Users пустой. Зато есть контейнер "Company Users" , в нем три сабконтейнера (Москва, Питер, Ростов) и в каждом из них еще по 3-5 подконтейнера (склады, магазины, офисы). И например нельзя сказать что нужные объекты в одном контейнере. Например магазины раскиданы по 3-му уровню во всех трех основных контейнерах(московские, питерские и ростовско-краснодарские), и у них потом будет режим белого списка сайтов, а в офисах рестриктед режимы разные (с черным списком) и тд.

Та же самая проблема.
Юзера находятся не в Users, а в других контейнерах, которые я создал по отделам (так удобнее груп полиси присваивать)
Вот и получаетцо, что Контейнер Users пустой

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "cn=Users,dc=domain,dc=local"

- не проходит
А другие контейнера, где лежать юзвери имею вид ou=Имя отдела,cn=Имя пользователя итд аля dc=domain,dc=local
Бьюсь уже неделю, не хочется выводить назад всех в Users.

Вообще покажите полный запрос и как у вас организованы контейнеры в АД Win 2003K
(информации больше нужно, а не так что "не работает у меня", а дальше форумчане сами догадывайтесь что и как почему у меня не работает)

попробуйте без указания контейнера

Код: Выделить всё

"dc=domain,dc=local"

[Jan]

попробуйте без указания контейнера

Код: Выделить всё • Развернуть

"dc=domain,dc=local"

пробовал - поссле ввода логин пароль получаю

ERR Success

.

Вообще покажите полный запрос и как у вас организованы контейнеры в АД Win 2003K

Как и писал выше контейнеры у меня организованы следующим образом:

В дереве AD контенер с Именем отдела, например Бухгалтерия OU=Buh затем идёт сам юзверь, например Вася Тазиков CN=Вася Тазиков.
Тобишь вся ветка состоит из DC=domain,DC=local - CN=Вася Тазиков,OU=Buh,DC=domain,DC=local

Полный запрос в сквиде выглядит так:

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "cn=Users,dc=domain,dc=local" -D Administrator@domain.local -w Парол_админа -f  "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h IP-Контроллера_домена -p 389

Сам САМС видит пользователей из AD, проблема возникла с авторизацией этих пользователей на сквиде. Те. пользователю, открывшему броузер, предлагается ввести логин и пароль. Вот тут и нисего не помогает. Опять же, если в контейнере ан контроллере домена Users этот юзверь есть (логин/пароль), пускает, а в другие контейнеры - ни-ни (((

[Cancer]

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "cn=Users,dc=domain,dc=local" -D Administrator@domain.local -w Парол_админа -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h IP-Контроллера_домена -p 389

Я так понял Users у тя Контейнер ?

Так почему ты ему говоришь CN ? нужно OU

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "ou=Users,dc=domain,dc=local" -D Administrator@domain.local -w Парол_админа -f  "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h IP-Контроллера_домена -p 389

[Jan]

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "cn=Users,dc=domain,dc=local" -D Administrator@domain.local -w Парол_админа -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h IP-Контроллера_домена -p 389

Я так понял Users у тя Контейнер ?

Так почему ты ему говоришь CN ? нужно OU

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -b "ou=Users,dc=domain,dc=local" -D Administrator@domain.local -w Парол_админа -f  "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h IP-Контроллера_домена -p 389

Отчего же??? Поднял на серваке ADSI Edit и вижу контейнеры CN=Users + полоучаю в настройках SAMS правильный ответ от PDC со всеми пользователями. Проблема возникает в аторизации самих же пользователей + как следствие трафф не считает (((

[akela]

При на стройки SAMS возникла несколько проблем если можете подскажите в чем затыки .
С AD под управлением win2k3 всех пользователей перенес нормально, SAMS считает по ним трафик и на этом все, больше SAMS не чего не делает.
1. Не работает в SAMS не какие запреты. на запрещенный URL (porno и.т.д)
2. Если ставить пользователь запрет на выход в интернет то он в него все ровно выходит.
Вот ложу конфиг SQUID подскажите пожалуйсто что не так.
SQUID настраивался гораздо раньше тоже мною.

Код: Выделить всё

# created by SAMS _sams_ 2009-2-25 14:15:27
http_port 3128
https_port 443
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 64 MB
error_directory /usr/local/share/errors/Russian-koi8-r
maximum_object_size 16384 KB

cache_dns_program /usr/local/libexec/squid/dnsserver
cache_dir ufs /usr/local/squid/cache 5000 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
ftp_user ftp@sigma.zp.ua

quick_abort_pct 60

negative_ttl 1 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 5 minutes
half_closed_clients on

cache_mgr admin@sigma.zp.ua
cache_effective_user squid
cache_effective_group squid

forwarded_for off 
client_db on
 
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -require-membership-of="SIGMA" 
auth_param ntlm children 5
auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp -require-membership-of="SIGMA"
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

acl vse_ src 0.0.0.0/0.0.0.0
acl internet external nt_group internet
acl internet_limit external nt_group internet_limit
acl internet_corp external nt_group internet_corp

acl allow_resurs dstdomain "/usr/local/squid/db/allow"
acl deny_resurs dstdomain "/usr/local/squid/db/deny"
acl deny_baners dstdomain "/usr/local/squid/db/pcre"
acl deny_urls dstdomain  "/usr/local/squid/db/urls"
acl deny_jurls dstdomain "/usr/local/squid/db/jurls"
acl deny_mp3 dstdomain "/usr/local/squid/db/mp3"
acl deny_porno dstdomain "/usr/local/squid/db/porno"
acl en url_regex -i "/usr/local/squid/db/fuck"
http_access deny internet_corp en
http_access deny internet_corp deny_porno
http_access deny internet_corp deny_mp3
http_access deny internet_corp deny_jurls
http_access deny internet_corp deny_urls
http_access deny internet_corp deny_baners
http_access deny internet_corp deny_resurs 

http_access allow internet_corp 
http_access allow internet 
http_access allow internet_limit allow_resurs 
http_access deny vse_


acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443 563	# https, snews
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl Safe_ports port 44016	
acl Safe_ports port 44017
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
http_reply_access allow all
icp_access allow all

url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf

А также есть ещё одна проблема SAMS не хочет экспортировать групу с AD
И может ли SAMS Автоматически экспортировать пользователей с АД которые находятся в определённх группах например "internet" .
P.S. при этой конфигурации SQUID пароль пользователя не спрашивает пароль а берет его из своей базы тоесть для пользователей она прозрачна.

[Cancer]

1. Не работает в SAMS не какие запреты. на запрещенный URL (porno и.т.д)

На списках запретах поставь галочки на Шаблонах

Код: Выделить всё

Шаблоны пользователей -> Default
Cписки SAMS:
Перенаправление запроса
                     [X] Banners
                     [X] Counters
[ ] Доступ запрещен ко всем URL
    Запрет доступа
                     [X] Chats
                     [X] Porno
                     [X] Localdomains
Способ авторизации пользователей: NTLM


Пользователи -> Загрузить всех пользователей домена
Найдены пользователи домена: И там будет список пользователей вашего домена

И при Лдап аутентификации логины и пароли будет спрашивать читайте в статье я это писал.

А ты тут описываешь NTLM аутентификацию, так что пишешь не в ту ветку.


Да и надеюсь у тя конфиг SQUID со всеми тегами

[akela]

Там все стоит .

[$aVa]

У меня на шаге установки "Ставим PHP5-Extensions" появились ошибки:

Код: Выделить всё

=> port manually into /usr/ports/distfiles/ and try again.
*** Error code 1
Stop in /usr/ports/print/pdflib
*** Error code 1
Stop in /usr/ports/print/pecl-pdflib
*** Error code 1
Stop in /usr/ports/print/php5-extensions
*** Error code 1
Stop in /usr/ports/print/php5-extensions

Куда дальше рыть?
И еще

Добавляем следующие строки в /usr/local/etc/apache/httpd.conf
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps

При добавлении этих строк выпадала ошибка, без них все нормально, страница http://ip_tachki/index.php запускается успешно.

[Jan]

У меня на шаге установки "Ставим PHP5-Extensions" появились ошибки:

Код: Выделить всё

=> port manually into /usr/ports/distfiles/ and try again.
*** Error code 1
Stop in /usr/ports/print/pdflib
*** Error code 1
Stop in /usr/ports/print/pecl-pdflib
*** Error code 1
Stop in /usr/ports/print/php5-extensions
*** Error code 1
Stop in /usr/ports/print/php5-extensions

Куда дальше рыть?
И еще

Добавляем следующие строки в /usr/local/etc/apache/httpd.conf
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps

При добавлении этих строк выпадала ошибка, без них все нормально, страница http://ip_tachki/index.php запускается успешно.

Обнови порты. Я ставил, не обновлёнными, пришлось PHP 5.2.9 вручную в /usr/ports/distfiles/ пихать. Туда же и PDFlib-Lite-7.0.3.tar.gz кидай.
Или опять же - накати порты.

[Cancer]

Кстати замечена бага что в NTLM авторизации что и в LDAP.
Если пользователь домена или пароль его на русской раскладке, то пользователя не блокирует он идет в инет есть он в самсе или нет.

P.S то ли я дурак то ли действительно бага ............

кто встречал такое ?????


Сам использую ща NCSA авторизацию.

[Jan]

Кстати замечена бага что в NTLM авторизации что и в LDAP.
Если пользователь домена или пароль его на русской раскладке, то пользователя не блокирует он идет в инет есть он в самсе или нет.

P.S то ли я дурак то ли действительно бага ............

кто встречал такое ?????


Сам использую ща NCSA авторизацию.

У меня такое есть ((( действительно бага. Предложил юзеру сменить пасс.
П.С: Спасибо за предложенную помощь (это я о лс и аськи твоей) не стал заморачиваться - перекинул всех в Users и всё. Хотя не думаю, что это решение (((

[Cancer]

В Sams был найден баг...

После обновления с 1.0.1 до 1.0.4 падал демон

Код: Выделить всё

сегментации(core dumped)

Решение такое:
Смотреть если есть пустые группы без пользователей то удалять их.
И еще если пользователь остался без Профиля (обязательно назначьте ему профиль)...