Обсуждение SQUID+SAMS with LDAP
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
Желающим принять участие в развитии проекта SAMS 2.0 http://www.permlug.org/forum/sams/
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
делал по http://www.lissyara.su/?id=1811 никак не настроить, помогите пожалуйста
/usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -D ldap@mydomain.ru -W /usr/local/etc/squid/ldap.txt 192.168.0.1
ввожу username password
пишет Ок
в squid.conf:
.....
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAcountName -D ldap@mydomain.ru -W /usr/local/libexec/squid/ldap.txt 192.168.0.1
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
......
acl password proxy_auth REQUIRED
.............
http_access allow password
http_access deny all
..............
ie запрашивает логин и пароль, ввожу, спрашивает 3 раза и вылетает с ошибкой.
подскажите, может там пароль не так передается... всю голову сломал.
/usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -D ldap@mydomain.ru -W /usr/local/etc/squid/ldap.txt 192.168.0.1
ввожу username password
пишет Ок
в squid.conf:
.....
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAcountName -D ldap@mydomain.ru -W /usr/local/libexec/squid/ldap.txt 192.168.0.1
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
......
acl password proxy_auth REQUIRED
.............
http_access allow password
http_access deny all
..............
ie запрашивает логин и пароль, ввожу, спрашивает 3 раза и вылетает с ошибкой.
подскажите, может там пароль не так передается... всю голову сломал.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
Правила форума
Убедительная просьба юзать теги
Убедительная просьба юзать теги
Код: Выделить всё
при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными. [/color][/b]
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
прошу прощения, за невнимательность к правилам, очень надо решить проблему.
система freeBSD 7.2 squid 2.7
делал по http://www.lissyara.su/?id=1811 никак не настроить, помогите пожалуйста
в squid.conf:
ie запрашивает логин и пароль, ввожу, спрашивает 3 раза и вылетает с ошибкой о запрете доступа.
подскажите, может там пароль не так передается... всю голову сломал.
система freeBSD 7.2 squid 2.7
делал по http://www.lissyara.su/?id=1811 никак не настроить, помогите пожалуйста
Код: Выделить всё
/usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -D ldap@mydomain.ru -W /usr/local/etc/squid/ldap.txt 192.168.0.1
username password
Ок
Код: Выделить всё
.....
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAcountName -D ldap@mydomain.ru -W /usr/local/libexec/squid/ldap.txt 192.168.0.1
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
.....
acl password proxy_auth REQUIRED
.....
http_access allow password
http_access deny all
......
подскажите, может там пароль не так передается... всю голову сломал.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
Код: Выделить всё
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth \
-b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \
-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h 192.168.55.1 -p 389
-
- сержант
- Сообщения: 207
- Зарегистрирован: 2008-11-18 16:20:26
Re: Обсуждение SQUID+SAMS with LDAP
лучше пользовать -W, иначе светит пароль в процессахCancer писал(а):Код: Выделить всё
-w password_ldap
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
Так заработало.
я еще убрал "ou=" и то-же работает.
Спасибо. Хотя вроде делал, наверное невнимательно.
Но не спрашивает пароль, а хотелось бы что-бы спрашивал, что-бы другой юзер теоретически перелогинивался, я понимаю, что они это делать не будут, но интересно как.И еще как сделать следующую штуку:
Я в АД создаю группу internet, и проверяю наличие пользователя в этой группе и при наличии его в этой группе у него есть инет, а нет то нет.
я еще убрал "ou=" и то-же работает.
Спасибо. Хотя вроде делал, наверное невнимательно.
Но не спрашивает пароль, а хотелось бы что-бы спрашивал, что-бы другой юзер теоретически перелогинивался, я понимаю, что они это делать не будут, но интересно как.И еще как сделать следующую штуку:
Я в АД создаю группу internet, и проверяю наличие пользователя в этой группе и при наличии его в этой группе у него есть инет, а нет то нет.
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
Да, спасибо, я так и делаюdoker писал(а):лучше пользовать -W, иначе светит пароль в процессахCancer писал(а):Код: Выделить всё
-w password_ldap
-
- сержант
- Сообщения: 207
- Зарегистрирован: 2008-11-18 16:20:26
Re: Обсуждение SQUID+SAMS with LDAP
Код: Выделить всё
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D u_sams@domain.ru -W /usr/local/etc/squid/adpw.txt \
-b "dc=domain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s) \
(memberOf=CN="G_InternetUsers,CN=Users,dc=domain,dc=ru"))" -h dc1.domain.ru -p 389
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
2 Cancer
Если убрать "ou=" - не работает. Не хочеться оздавать OU а домене. Там они есть по подразделениям.
2 doker
А так у меня опять не работает. три раза спрашивает пароль и логин и все.
Если убрать "ou=" - не работает. Не хочеться оздавать OU а домене. Там они есть по подразделениям.
2 doker
А так у меня опять не работает. три раза спрашивает пароль и логин и все.
-
- сержант
- Сообщения: 207
- Зарегистрирован: 2008-11-18 16:20:26
Re: Обсуждение SQUID+SAMS with LDAP
проверь какой DN базовый, точно ли юзеры там сидят ?
и непутай OU и SN
и непутай OU и SN
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
Да точно. DN - правильный. Не, я не путаю, ou и sn. Мне не нужен ou, но если я создаю OU и пихаю в него кого-то то работает, если в squid.conf я убираю ou и оставляю только dc,dc - то не работает. А Ваша строчка - не работает то-же, трижды спрашивает имя пользователя и говорит аксесс денай.
-
- сержант
- Сообщения: 207
- Зарегистрирован: 2008-11-18 16:20:26
Re: Обсуждение SQUID+SAMS with LDAP
да, кста, толи в сквиде, толи ешо где столкнулся с тем что поиск и авторизация проходит только тогда, когда юзвери сидят в SN, попробуй туда перенести, роли несыграет (если только сквид сейчас в АД лезет) а заработает
псы, в dbmail такая фигня
у меня все группы пользователей сидят в OU=Units,DC=domain,DC=ru
на пробу если сделать также ?
псы, в dbmail такая фигня
у меня все группы пользователей сидят в OU=Units,DC=domain,DC=ru
на пробу если сделать также ?
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
Да кстати пользователи в самс добавлены из АД????
и шаблон назначен на ЛДАП ???
и шаблон назначен на ЛДАП ???
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
Да, добавлены и шаблон назначен. Только у меня нет ограничения на трафик, я там выставил 0, и пока ничего не запрещал.
-
- сержант
- Сообщения: 207
- Зарегистрирован: 2008-11-18 16:20:26
Re: Обсуждение SQUID+SAMS with LDAP
а если повысить детализацию логов сквида ?
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
не понял вопроса, поясните пожалуйста? Я честно говоря до самса еще толком не дошел, у меня проблема с авторизацией в сквиде через LDAP.
-
- сержант
- Сообщения: 207
- Зарегистрирован: 2008-11-18 16:20:26
Re: Обсуждение SQUID+SAMS with LDAP
указать сквиду чтобы он в лог выводил отладочную информацию
#And priority could be any of:
#err, warning, notice, info, debug.
access_log /usr/local/squid/logs/access.log debug
#And priority could be any of:
#err, warning, notice, info, debug.
access_log /usr/local/squid/logs/access.log debug
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
вроде все работает. Спасибо всем за советы и участие, теперь вопрос. Судя по статье там нет обязательного запроса пароля, т.е. пишеться только
В таком случает у меня срабатывет правило:
и в access.log
пишется не имя пользователя а его ай-пи. А начальство хочет что-бы пароль пользователи не вводили, но его авторизовать по имени.
Код: Выделить всё
#Recommended minimum configuration per scheme:
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth \
-b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \
-f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h 192.168.55.1 -p 389
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
Код: Выделить всё
...
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
...
http_access allow localnet
...
пишется не имя пользователя а его ай-пи. А начальство хочет что-бы пароль пользователи не вводили, но его авторизовать по имени.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
Я знаю только 4 способа авторизации
1. NCSA (авторизация с запросом логина и пароля, пользователи и пароли хранятся на проксе)
2. LDAP (авторизация по логину и паролю, но пользователи и пароли хранятся в AD)
3. NTLM (авторизация без запроса логина и пароля, пользователи и пароли берутся из AD, авторизуется по сеансу доменного пользователя)
4. IP (тут думаю понятно!, авторизация по IP адресу, без запроса логина и пароля)
1. NCSA (авторизация с запросом логина и пароля, пользователи и пароли хранятся на проксе)
2. LDAP (авторизация по логину и паролю, но пользователи и пароли хранятся в AD)
3. NTLM (авторизация без запроса логина и пароля, пользователи и пароли берутся из AD, авторизуется по сеансу доменного пользователя)
4. IP (тут думаю понятно!, авторизация по IP адресу, без запроса логина и пароля)
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with LDAP
Спасибо всем, все заработало, статистика собираеться и пользователи авторизуются. Единственное но, добавил себя в админы, когда захожу как: admin-qwerty все хорошо, а если как: myname - password то вылетает с ошибкой:
что может быть?
Код: Выделить всё
Warning: mysql_result() [function.mysql-result]: Unable to jump to row 0 on MySQL result index 31 in /usr/local/share/sams/main.php on line 181
Warning: Cannot modify header information - headers already sent by (output started at /usr/local/share/sams/main.php:181) in /usr/local/share/sams/main.php on line 184
Warning: Cannot modify header information - headers already sent by (output started at /usr/local/share/sams/main.php:181) in /usr/local/share/sams/main.php on line 185
Authentication ERROR
-
- сержант
- Сообщения: 207
- Зарегистрирован: 2008-11-18 16:20:26
Re: Обсуждение SQUID+SAMS with LDAP
это старая проблема, насколько я понял прошерстив форум нерешена
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
qwertykma писал(а):Спасибо всем, все заработало, статистика собираеться и пользователи авторизуются. Единственное но, добавил себя в админы, когда захожу как: admin-qwerty все хорошо, а если как: myname - password то вылетает с ошибкой:что может быть?Код: Выделить всё
Warning: mysql_result() [function.mysql-result]: Unable to jump to row 0 on MySQL result index 31 in /usr/local/share/sams/main.php on line 181 Warning: Cannot modify header information - headers already sent by (output started at /usr/local/share/sams/main.php:181) in /usr/local/share/sams/main.php on line 184 Warning: Cannot modify header information - headers already sent by (output started at /usr/local/share/sams/main.php:181) in /usr/local/share/sams/main.php on line 185 Authentication ERROR
если честно слегка не понял???
ты себя в админы(самса) добавил и потом пытаешься под собой зайти, как администратор морды???
Или пытаешься как админ зайти, но вводя данные учетки, которая в AD????? Подробнее можно?
Так как обычно такое бывает только при неправильном логине..... т.е которого нет в администраторах морды
-
- сержант
- Сообщения: 207
- Зарегистрирован: 2008-11-18 16:20:26
Re: Обсуждение SQUID+SAMS with LDAP
у мну такое бывает када заходиш АД пользователем , неважно админ или нет, а при базовой авторизации все шекаладно
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
doker писал(а):у мну такое бывает када заходиш АД пользователем , неважно админ или нет, а при базовой авторизации все шекаладно
Докер не путай зайти под администратором Веб интерфейса или зайти доменным пользователем для того что бы просто посмотреть статистику!
Администраторы веб интерфейса не могут быть пользователи AD....так как администраторы хранятся в БД MySQL
squidctrl---->passwd
Код: Выделить всё
user pass access
Admin ПАРОЛЬ 1
Auditor ПАРОЛЬ 1
cancer ПАРОЛЬ 1