Обсуждение SQUID+SAMS with LDAP

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2009-05-23 21:47:30

Желающим принять участие в развитии проекта SAMS 2.0 http://www.permlug.org/forum/sams/

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-06-30 7:46:52

делал по http://www.lissyara.su/?id=1811 никак не настроить, помогите пожалуйста

/usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -D ldap@mydomain.ru -W /usr/local/etc/squid/ldap.txt 192.168.0.1
ввожу username password
пишет Ок

в squid.conf:
.....
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAcountName -D ldap@mydomain.ru -W /usr/local/libexec/squid/ldap.txt 192.168.0.1
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
......
acl password proxy_auth REQUIRED
.............
http_access allow password
http_access deny all
..............

ie запрашивает логин и пароль, ввожу, спрашивает 3 раза и вылетает с ошибкой.

подскажите, может там пароль не так передается... всю голову сломал.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2009-06-30 8:39:55

Правила форума
Убедительная просьба юзать теги

Код: Выделить всё

 при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными. [/color][/b]

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-06-30 9:04:34

прошу прощения, за невнимательность к правилам, очень надо решить проблему. :(

система freeBSD 7.2 squid 2.7
делал по http://www.lissyara.su/?id=1811 никак не настроить, помогите пожалуйста

Код: Выделить всё

/usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -D ldap@mydomain.ru -W /usr/local/etc/squid/ldap.txt 192.168.0.1
username password
Ок
в squid.conf:

Код: Выделить всё

.....
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAcountName -D ldap@mydomain.ru -W /usr/local/libexec/squid/ldap.txt 192.168.0.1
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
.....
acl password proxy_auth REQUIRED
.....
http_access allow password
http_access deny all
......
ie запрашивает логин и пароль, ввожу, спрашивает 3 раза и вылетает с ошибкой о запрете доступа.
подскажите, может там пароль не так передается... всю голову сломал.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2009-06-30 9:20:00

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth \
-b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \
-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h 192.168.55.1 -p 389
так попробуй! поменяй только на свои и еще пользователя в корень AD создай

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение doker » 2009-06-30 10:11:25

Cancer писал(а):

Код: Выделить всё

 -w password_ldap 
лучше пользовать -W, иначе светит пароль в процессах

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-06-30 10:14:59

Так заработало. 8)
я еще убрал "ou=" и то-же работает.
Спасибо. Хотя вроде делал, наверное невнимательно.
Но не спрашивает пароль, а хотелось бы что-бы спрашивал, что-бы другой юзер теоретически перелогинивался, я понимаю, что они это делать не будут, но интересно как.И еще как сделать следующую штуку:
Я в АД создаю группу internet, и проверяю наличие пользователя в этой группе и при наличии его в этой группе у него есть инет, а нет то нет.

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-06-30 10:15:43

doker писал(а):
Cancer писал(а):

Код: Выделить всё

 -w password_ldap 
лучше пользовать -W, иначе светит пароль в процессах
Да, спасибо, я так и делаю 8)

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение doker » 2009-06-30 10:15:59

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D u_sams@domain.ru -W /usr/local/etc/squid/adpw.txt \
-b  "dc=domain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s) \
(memberOf=CN="G_InternetUsers,CN=Users,dc=domain,dc=ru"))" -h dc1.domain.ru -p 389
вот мой вариант, -u я неиспользовал, также акк должен быть в группе G_InternetUsers, иначе пнх.

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-06-30 11:57:14

2 Cancer
Если убрать "ou=" - не работает. :( Не хочеться оздавать OU а домене. Там они есть по подразделениям.

2 doker

А так у меня опять не работает. три раза спрашивает пароль и логин и все.

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение doker » 2009-06-30 12:11:58

проверь какой DN базовый, точно ли юзеры там сидят ?
и непутай OU и SN

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-06-30 12:28:15

Да точно. DN - правильный. Не, я не путаю, :smile: ou и sn. Мне не нужен ou, но если я создаю OU и пихаю в него кого-то то работает, если в squid.conf я убираю ou и оставляю только dc,dc - то не работает. А Ваша строчка - не работает то-же, трижды спрашивает имя пользователя и говорит аксесс денай.

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение doker » 2009-06-30 13:10:15

да, кста, толи в сквиде, толи ешо где столкнулся с тем что поиск и авторизация проходит только тогда, когда юзвери сидят в SN, попробуй туда перенести, роли несыграет (если только сквид сейчас в АД лезет) а заработает
псы, в dbmail такая фигня
у меня все группы пользователей сидят в OU=Units,DC=domain,DC=ru
на пробу если сделать также ?

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2009-06-30 14:10:49

Да кстати пользователи в самс добавлены из АД????
и шаблон назначен на ЛДАП ???

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-06-30 14:35:09

Да, добавлены и шаблон назначен. Только у меня нет ограничения на трафик, я там выставил 0, и пока ничего не запрещал.

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение doker » 2009-06-30 15:17:44

а если повысить детализацию логов сквида ?

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-06-30 15:53:30

не понял вопроса, поясните пожалуйста? Я честно говоря до самса еще толком не дошел, у меня проблема с авторизацией в сквиде через LDAP.

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение doker » 2009-06-30 16:18:08

указать сквиду чтобы он в лог выводил отладочную информацию
#And priority could be any of:
#err, warning, notice, info, debug.
access_log /usr/local/squid/logs/access.log debug

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-07-01 16:15:20

вроде все работает. Спасибо всем за советы и участие, теперь вопрос. Судя по статье там нет обязательного запроса пароля, т.е. пишеться только

Код: Выделить всё

#Recommended minimum configuration per scheme:
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth \
-b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \
-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h 192.168.55.1 -p 389
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
В таком случает у меня срабатывет правило:

Код: Выделить всё

...
acl localnet src 10.0.0.0/8	# RFC1918 possible internal network
acl localnet src 172.16.0.0/12	# RFC1918 possible internal network
acl localnet src 192.168.0.0/16	# RFC1918 possible internal network 
...
http_access allow localnet 
...
и в access.log
пишется не имя пользователя а его ай-пи. А начальство хочет что-бы пароль пользователи не вводили, но его авторизовать по имени.

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2009-07-01 22:46:05

Я знаю только 4 способа авторизации
1. NCSA (авторизация с запросом логина и пароля, пользователи и пароли хранятся на проксе)
2. LDAP (авторизация по логину и паролю, но пользователи и пароли хранятся в AD)
3. NTLM (авторизация без запроса логина и пароля, пользователи и пароли берутся из AD, авторизуется по сеансу доменного пользователя)
4. IP (тут думаю понятно!, авторизация по IP адресу, без запроса логина и пароля)

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение qwertykma » 2009-07-03 8:15:47

Спасибо всем, все заработало, статистика собираеться и пользователи авторизуются. Единственное но, добавил себя в админы, когда захожу как: admin-qwerty все хорошо, а если как: myname - password то вылетает с ошибкой:

Код: Выделить всё

Warning: mysql_result() [function.mysql-result]: Unable to jump to row 0 on MySQL result index 31 in /usr/local/share/sams/main.php on line 181

Warning: Cannot modify header information - headers already sent by (output started at /usr/local/share/sams/main.php:181) in /usr/local/share/sams/main.php on line 184

Warning: Cannot modify header information - headers already sent by (output started at /usr/local/share/sams/main.php:181) in /usr/local/share/sams/main.php on line 185
Authentication ERROR
что может быть?

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение doker » 2009-07-03 8:42:20

это старая проблема, насколько я понял прошерстив форум нерешена

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2009-07-03 12:36:44

qwertykma писал(а):Спасибо всем, все заработало, статистика собираеться и пользователи авторизуются. Единственное но, добавил себя в админы, когда захожу как: admin-qwerty все хорошо, а если как: myname - password то вылетает с ошибкой:

Код: Выделить всё

Warning: mysql_result() [function.mysql-result]: Unable to jump to row 0 on MySQL result index 31 in /usr/local/share/sams/main.php on line 181

Warning: Cannot modify header information - headers already sent by (output started at /usr/local/share/sams/main.php:181) in /usr/local/share/sams/main.php on line 184

Warning: Cannot modify header information - headers already sent by (output started at /usr/local/share/sams/main.php:181) in /usr/local/share/sams/main.php on line 185
Authentication ERROR
что может быть?

если честно слегка не понял???
ты себя в админы(самса) добавил и потом пытаешься под собой зайти, как администратор морды???

Или пытаешься как админ зайти, но вводя данные учетки, которая в AD????? Подробнее можно?


Так как обычно такое бывает только при неправильном логине..... т.е которого нет в администраторах морды

doker
сержант
Сообщения: 207
Зарегистрирован: 2008-11-18 16:20:26

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение doker » 2009-07-03 12:49:44

у мну такое бывает када заходиш АД пользователем , неважно админ или нет, а при базовой авторизации все шекаладно

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with LDAP

Непрочитанное сообщение Cancer » 2009-07-03 13:04:47

doker писал(а):у мну такое бывает када заходиш АД пользователем , неважно админ или нет, а при базовой авторизации все шекаладно

Докер не путай зайти под администратором Веб интерфейса или зайти доменным пользователем для того что бы просто посмотреть статистику!

Администраторы веб интерфейса не могут быть пользователи AD....так как администраторы хранятся в БД MySQL
squidctrl---->passwd

Код: Выделить всё

user          pass           access
Admin        ПАРОЛЬ            1
Auditor 	  ПАРОЛЬ            1
cancer    	ПАРОЛЬ            1