Обсуждение SQUID+SAMS with LDAP

[qwertykma]

2 Cancer

Я добавил себя в группу админи, захожу на страничку //proxy/sams, выбираю "зайти под другим суперпользователем" ввожу сое имя и пароль и получаю выше указанные ошибки, если я слева выбираю Пользователь - Administrators - my name и ввожу пароль - все хорошо. Смущает надпись "ведите пароль пользователя "Администратор"" при входе суперпользователем. Я уже понял что это не то-же что член группы Administrators. Т.е. я могу править конфиг только под учетной записью admin? А под учетной записью в группе administrators - управлять всей статистикой?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[doker]

ну скажем так, под встроенным Admin захожу без проблем, а под юзером АД с правами администратора (или без)SAMS выдает вышеуказанную ошибку

[Cancer]

Ребята боже мой, смотрите действия...(не путайте AD пользователей и пользователей морды)

в морду http://proxy/sams
Зайти под супер пользователем
login : admin
password : qwerty

Далее там будет справа значок Добавить пользователя с правами администратора

Код: Выделить всё

login:      [       ]
Password:	[       ]
Retype:     [       ]

           [Добавить]

Добавляете и пробуйте под ним заходить........

Супер пользователи ВебИнтерфейса (SAMS) не могут находится в АД только непосредственно в БД squictrl в таблице passwd и добавлять их можно только из веб морды....но из AD нельзя "никак"
Пользователи из АД только для того что бы выпускать их в Инет и считать трафик за ними, но никак нельзя его назначить супер пользователем Веб Интерфейса...(Максимум разрешить просмотр статистики группы в которой он находится)

[qwertykma]

Спасибо, все понятно.

[Cancer]

Спасибо, все понятно.

Получилось???

[qwertykma]

Да. спасибо за помощь.

[doker]

Ребята боже мой, смотрите действия...(не путайте AD пользователей и пользователей морды)

кароч )) мы горворим об одном и томже

Да. спасибо за помощь.

поделись чтоль как победил ))

[Cancer]

Ребята боже мой, смотрите действия...(не путайте AD пользователей и пользователей морды)

кароч )) мы горворим об одном и томже

Да. спасибо за помощь.

поделись чтоль как победил ))

Опиши само что ни наесть подробно как заводишь супер администратора....
и тогда думаю поймем что не так делаешь....

[qwertykma]

Сейчас у меня при заходе в интернет спрашивает логин и пароль, но это не очень удобно, хочется что-бы пользователь один раз ввел пароль запукская windows и больше не вводил этот пароль, т.е. я хочу т.н. "сквозную аутентификацию". Я так понял что мне в данном случае нужна NTLM аутентификация? Я прав?

[doker]

да

[Cancer]

Сейчас у меня при заходе в интернет спрашивает логин и пароль, но это не очень удобно, хочется что-бы пользователь один раз ввел пароль запукская windows и больше не вводил этот пароль, т.е. я хочу т.н. "сквозную аутентификацию". Я так понял что мне в данном случае нужна NTLM аутентификация? Я прав?

NTLM не подразумевает ввода пароля и логина, браузер авторизуется сам (при заходе в систему под pupkin ты и будешь в инет под ним ходить)

[qwertykma]

сделал по статье http://www.lissyara.su/?id=1811
все работает. Но когда добовляю пользователя: пользователи - добавить пользователя, выбираб имярек/домен - не заполняються поля ФИО, как при LDAP авторизации, можно ли что подкрутить что-бы эта инфа отображалась?

[Cancer]

сделал по статье http://www.lissyara.su/?id=1811
все работает. Но когда добовляю пользователя: пользователи - добавить пользователя, выбираб имярек/домен - не заполняються поля ФИО, как при LDAP авторизации, можно ли что подкрутить что-бы эта инфа отображалась?

стоп ты какой то бред написал

не заполняються поля ФИО, как при LDAP авторизации,

Ты же пишешь не в NTLM а в Обсуждение SQUID+SAMS with LDAP и статью указал Установка Прокси сервера SQUID+SAMS Rejik3 c авторизацией по LDAP

При LDAP авторизации заполняются поля ФИО, а при NTLM нет. Берется только логин..
Делали мы это как то, смотреть нужно в

Код: Выделить всё

/usr/local/share/sams/src/usersbuttom_1_domain.php

Не помню честно, поищи на форуме пермлага , там может кто писал...
Я если достучусь до чувака то напишу обязательно!

[qwertykma]

Спасибо!

[Cancer]

Решение проблемы с тем что если пользователь на русской раскладке и его нету в самсе, то сквид его пускал в инет
раскоментим строку http_access deny all

Код: Выделить всё

#  TAG: http_access
#       Allowing or Denying access based on defined access lists
#
#       Access to the HTTP port:
#       http_access allow|deny [!]aclname ...
#
#       NOTE on default values:
#
#       If there are no "access" lines present, the default is to deny
#       the request.
#
#       If none of the "access" lines cause a match, the default is the
#       opposite of the last line in the list.  If the last line was
#       deny, the default is allow.  Conversely, if the last line
#       is allow, the default will be deny.  For these reasons, it is a
#       good idea to have an "deny all" or "allow all" entry at the end
#       of your access lists to avoid potential confusion.
#
#Default:
http_access deny all

[Cancer]

Читать всем http://www.permlug.org/node/5382

[Cancer]

Исправление БАГА с датой выше 2009 год

Код: Выделить всё

//> ee /usr/local/share/sams/mysqltools.php

вот эти номера строк в mysqltools.php 484 560 594 676 709
меняем

Код: Выделить всё

for($i=2001;$i<2010;$i++)

на

Код: Выделить всё

for($i=$year-10;$i<=$year+1;$i++)

Подробнее http://www.permlug.org/node/5407

[xmaster83]

у меня там проблема может из-за того что использую OpenLdap

при

/usr/local/libexec/squid/squid_ldap_auth -b "ou=adress,dc=freebsd-riestr,dc=com" -D root@freebsd-riestr.com -w XXXX6488 -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h 192.168.3.12 -p 389

пишет привводе логина и пароля

squid_ldap_auth: WARNING, could not bind to binddn 'Invalid DN syntax'
ERR Success

в debug.log

Jan 14 09:42:00 freebsd-riestr slapd[1723]: bind: invalid dn (root@freebsd-riestr.com)
Jan 14 09:42:00 freebsd-riestr slapd[1723]: conn=440 op=0 RESULT tag=97 err=34 text=invalid DN
Jan 14 09:42:00 freebsd-riestr slapd[1723]: conn=440 op=1 UNBIND
Jan 14 09:42:00 freebsd-riestr slapd[1723]: conn=440 fd=15 closed

и есть ещё пару вопросов
сам Опенлдап работает так как я там через PhpLdapadmin править всё могу при указании пароля надо писать его такак есть или как в sldap.conf тоеть {SSH}**********

далее аккаунты должны быть в корне и иметь posixAccount ?

За ранее Спасибо всем за помощь жду

[Cancer]

А с чего ты взял что запросы одинаковые?

У виндового ЛДАП отличается запрос от OpenLDAP

Смотри еще самс 1.х вроде не умеет работать с OpenLDAP

[xmaster83]

Спасибо за правильное направление
для тех кто делает на OpenLdap /usr/local/libexec/squid/squid_ldap_auth -v 3 -b "dc=*******, dc=com" -f "uid=%s" -h 192.168.3.12 -p 389
перерыл до информации дофига помогло это
http://www.gentoo.ru/node/10107
http://www.cyberciti.biz/tips/howto-con ... ation.html
и фаилик прикрепил (не удалось так как в php.ini ограничение на 4 мб)

[Cancer]

sams-1.0.5,1 в портах

Код: Выделить всё

/usr/ports/>make search name=sams
Port:   sams-1.0.5,1
Path:   /usr/ports/www/sams
Info:   Squid 2.x Accounting Management System
Maint:  uzgrishin@mail.ru

Подробнее http://www.permlug.org/node/4560

[Marchd]

Доброго времени суток, у меня проблема вот уже второй день бьюсь:
Все делал по статье, после добавления хотя бы одного пользователя в один единственный шаблон в самсе и реконфигурации aquid, запускаю Squid

Код: Выделить всё

 /usr/local/etc/rc.d/squid start
Starting squid.
2010/05/28 22:26:59| Invalid Proxy Auth ACL 'acl _sams_4c0007474ad18 proxy_auth "/usr/local/etc/squid/4c0007474ad18.sams" ' because no authentication schemes are fully configured.
FATAL: Bungled squid.conf line 431: acl _sams_4c0007474ad18 proxy_auth "/usr/local/etc/squid/4c0007474ad18.sams"
Squid Cache (Version 2.7.STABLE7): Terminated abnormally.
/usr/local/etc/rc.d/squid: WARNING: failed to start squid

ничего с этим поделать не могу, делал все заново и не раз, пересоздал шаблон, удалял пользователей, все проверил все четко... и все к одному... Гугль ответов не дал хоть заройся
Помогите плиз!!!

[Marchd]

В общем у меня все получилось, загвоздка была в конфиге squid. Надоело ковыряться с дефолтным конфигом, очень уж он неудобный большой, кто вообще придумал делать коменты по 200 строк, взял конфиг одного из члена этого прекрасного форума и исправил ошибки общем вот что получилось, поправьте если я где-то чего-то не учел, я новичок во фре, но конфиг полностью рабочий (по крайней мере у меня работает:))

Код: Выделить всё

# created by SAMS _sams_ 2010-5-29 4:5:24
http_port 3128

#  TAG: cache_effective_user
cache_effective_user squid

#  TAG: cache_effective_group
cache_effective_group squid

#  TAG: visible_hostname
visible_hostname gate.domain.local

cache_log /usr/local/squid/logs/cache.log
cache_store_log none

access_log /usr/local/squid/logs/access.log squid

debug_options ALL,5

append_domain .domain.local

# TAG: auth_param
# NTLM
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D freebsd@domain.local \
 -W /usr/local/etc/squid/adpw.txt -b "dc=domain,dc=local" -f "sAMAccountName=%s" 192.168.1.3
# Basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

#external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

#  TAG: acl
acl _sams_4c004c018d4b0 proxy_auth "/usr/local/etc/squid/4c004c018d4b0.sams" 
acl _sams_4c004c018d4b0_time time MTWHFAS 00:00-23:59
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
acl _sams_local_url dstdomain "/usr/local/etc/squid/local_url.sams"

#
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8     # RFC1918 possible internal network
acl localnet src 172.16.0.0/12  # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
#
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT


#  TAG: http_access
http_access allow _sams_4c004c018d4b0  _sams_4c004c018d4b0_time  

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports 

error_directory /usr/local/etc/squid/errors/Russian-koi8-r

[Marchd]

Сори там ошибка в коментах где NTLM там на самом дела LDAP просто у я и так и так пробовал

[vgasys]

"/usr/local/libexec/squid/squid_ldap_auth -R -b "dc=mydomain,dc=ru" -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -D ldap@mydomain.ru -W /usr/local/etc/squid/ldap.txt 192.168.0.1
username password
Ок"
но при этом же если username="Imya Familiya" то не работает
подскажите где копать
если можно примером покажите