Обсуждение SQUID+SAMS with NTLM

[MBear]

поправил пост

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[kolesya]

я в коменты к статье вчера вечером кинул. думаю автору надо подрихтовать статью.
сам просидел 2 дня пока понял изза чего пулы не фурыкают

[MBear]

А кстати, у меня php валит апач в кору, если в safe-mode, так что работает в обычном.
Насколько это критично?

[kolesya]

А кстати, у меня php валит апач в кору, если в safe-mode, так что работает в обычном.
Насколько это критично?

Хрен его знает.

Вот что у меня на 7.1 вертится.

Код: Выделить всё

root# httpd -v
Server version: Apache/2.2.11 (FreeBSD)
Server built:   Feb 19 2009 13:16:08

root# php -v 
PHP 5.2.8 with Suhosin-Patch 0.9.6.3 (cli) (built: Feb 19 2009 13:42:37)
Copyright (c) 1997-2008 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2008 Zend Technologies

root# php -m
[PHP Modules]
bz2
ctype
curl
date
dom
gd
gettext
hash
iconv
imap
json
ldap
libxml
mbstring
mcrypt
mhash
mysql
mysqli
openssl
pcre
pdf
PDO
pdo_sqlite
posix
pspell
Reflection
session
SimpleXML
SPL
SQLite
standard
tokenizer
xml
xmlreader
xmlwriter
zlib

[Zend Modules]

[MBear]

тоже 7.1

Код: Выделить всё

httpd -v
Server version: Apache/1.3.41 (Unix)
Server built:   Apr  1 2009 11:10:05

 php  -v
PHP 5.2.9 with Suhosin-Patch 0.9.7 (cli) (built: Apr  2 2009 16:22:27)
Copyright (c) 1997-2009 The PHP Group
Zend Engine v2.2.0, Copyright (c) 1998-2009 Zend Technologies

 php -m
[PHP Modules]
ctype
curl
date
dom
filter
gd
gettext
hash
iconv
json
ldap
libxml
mysql
mysqli
pcre
pdf
PDO
pdo_sqlite
posix
Reflection
session
SimpleXML
SPL
SQLite
standard
tokenizer
xml
xmlreader
xmlwriter
zlib

[Zend Modules]

как оказалось валится независимо от опции safe
скотина ((( если бы стабильно валился, а то ведь то работает-то не работает

[kolesya]

апач сменить на 2ку попробуй ...

[Makleking]

Перекодировку настрой, и будет счастье (1251)

В настройки WEB интерфейса поставил все же .Russian KOI8-R
А добавил в /usr/local/etc/smb.conf

Код: Выделить всё

        display charset = koi8-r
        unix charset = koi8-r

После этого нажимаю загрузить всех пользователей домена, в появившемся списке вижу пользователей написанные кириллицей. Но выглядит это несколько убого и не правильно. К примеру, если в домене был пользователей "Иванов Иван", то в приведенном списке есть две строчки "Иванов" и "Иван". При выборе "Иванов" создается пользователь "Иванов", а при выборе "Иван" пользователь "Иван". Если вручную поправить любого из созданных пользователей до "Иванов Иван", то получившийся пользователей не сопоставляется с доменным и статистика о нем не отражается в мониторинге.

Кроме этого, если запустить базовую авторизацию в консоле, то не понятно как правильно вводить пользователя, написанного кирилицей:
freebsd# /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Иванов Иван 123
[2009/04/02 14:28:32, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
NT_STATUS_NO_SUCH_USER: No such user (0xc0000064)
ERR
"Иванов Иван" 123
[2009/04/02 14:28:48, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
NT_STATUS_NO_SUCH_USER: No such user (0xc0000064)
ERR

[kolesya]

Как вариант
"Иванов Иван" 123

Но кто-то когда-то писал на форуме, если хочеш иметь доступ к инету, то будеш ivanov ....

Мое мнение: логин кириллицей это ненужный гемор

[MBear]

Внимание!
Кто конфиги пишет с нуля, запомните,для корректной работы sams требуется в squid.conf теги
Все теги определены ?

Код: Выделить всё

# TAG: acl
# TAG: http_access
#  TAG: delay_class       (два пробела после решетки)

А кстати, в режике такой байды нету? Что-то в нем тоже не хочет конфиг править...

[kolesya]

Внимание!
Кто конфиги пишет с нуля, запомните,для корректной работы sams требуется в squid.conf теги
Все теги определены ?

Код: Выделить всё

# TAG: acl
# TAG: http_access
#  TAG: delay_class       (два пробела после решетки)

А кстати, в режике такой байды нету? Что-то в нем тоже не хочет конфиг править...

а самс разве еще и конфиг режика должен править ?

[MBear]

Он у меня его как-то раз даже поправил и создал в директории режика свои файлы/папки...

[kolesya]

Он у меня его как-то раз даже поправил и создал в директории режика свои файлы/папки...

сори, не досмотрел .... действительно sams правил файлы, но это было кажись до установки настройки в
"самс \ аднинистрирование\ Редиректор" в значение Rejik

[Makleking]

Как вариант
"Иванов Иван" 123

Не прокатывает такой вариант. Может еще какие-нибудь есть?

[kolesya]

Как вариант
"Иванов Иван" 123

Не прокатывает такой вариант. Может еще какие-нибудь есть?

Самый лучший
Иванов Иван -> Ivanov.Ivan

[Makleking]

Из-за чего это происходит:

Код: Выделить всё

freebsd# samsdaemon -d9
Starting process: pid = 968
ERROR: program with PID /var/run/samsdaemon.pid is running: pid = 754

[kolesya]

Код: Выделить всё

ps ax | grep sams

samsdaemon уже запущен

[Makleking]

Как вариант
"Иванов Иван" 123

Не прокатывает такой вариант. Может еще какие-нибудь есть?

Самый лучший
Иванов Иван -> Ivanov.Ivan

В смысле переименовать пользователя в домене?

[ASD]

в squid 3 не работает rejik ни кто не сталкивался? во 2ом сквиде все было без проблем...т.е. он даже не запускается...

[kolesya]

Как вариант
"Иванов Иван" 123

Не прокатывает такой вариант. Может еще какие-нибудь есть?

Самый лучший
Иванов Иван -> Ivanov.Ivan

В смысле переименовать пользователя в домене?

да, потом проще будет

[Cancer]

Кстати замечена бага что в NTLM авторизации что и в LDAP.
Если пользователь домена или пароль его на русской раскладке, то пользователя не блокирует он идет в инет есть он в самсе или нет.

P.S то ли я дурак то ли действительно бага ............

кто встречал такое ?????


Сам использую ща NCSA авторизацию.

[kolesya]

Кстати замечена бага что в NTLM авторизации что и в LDAP.
Если пользователь домена или пароль его на русской раскладке, то пользователя не блокирует он идет в инет есть он в самсе или нет.

P.S то ли я дурак то ли действительно бага ............

кто встречал такое ?????
Сам использую ща NCSA авторизацию.

Рекомендую поставить авторизацию в сквиде по определенной группе.
- новые юзеры домена НЕ пройдут авторизацию "со старта на проксе"
- возможно баги/небаги о которых говорит камрад Cancer тож канут в никуда.

Код: Выделить всё

auth_param ntlm  program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN\\internet

Постараюся проверить с русским логином и пасом в понедельник, но на ntlm. Авторизацию ldap на текущий момент нет ресурсов для проверки.
P.S. киньте ссылок на описание NSCA (не сталкивался с таким)

[Cancer]

NCSA
NTLM
LDAP

[kolesya]

кусок из access.log (авторизация NTLM)

Код: Выделить всё

CONNECT urs.microsoft.com:443 %d4%c5%d3%d4 NONE/- text/html

%d4%c5%d3%d4 это юзер "тест"

Выводы делайте сами.
на NCSA можно попробовать скормить htpasswd и "криптованый" логин юзера, но что из этого выйдет

[Makleking]

Рекомендую поставить авторизацию в сквиде по определенной группе.
- новые юзеры домена НЕ пройдут авторизацию "со старта на проксе"
- возможно баги/небаги о которых говорит камрад Cancer тож канут в никуда.

Код: Выделить всё

auth_param ntlm  program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN\\internet

Лучше писать так:

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --domain=DOMAIN --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN\\internet

[kolesya]

Почему ? Аргументы ?