Обсуждение SQUID+SAMS with NTLM

[Cancer]

Желающим принять участие в развитии проекта SAMS 2.0 http://www.permlug.org/forum/sams/

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Daishell]

Здравствуйте.
Не стал создавать отдельную тему, спрошу здесь.
Всё, в принципе, работает, кроме одного. Скрипт wbinfo_group.pl не помогает разделить на группы.

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl     inet_users      external nt_group internet
http_access     allow   inet_users

Т.е. в группу internet включены несколько пользователей, которые могут выходить в Интернет. Однако пользователи, не включенные в эту группу, тоже имею доступ. В чём может быть проблема?

[kolesya]

Весь squid.conf показывай, у тебя скорее всего не прописана обязательная авторизация, или прописана "очень поздно"

[Daishell]

Код: Выделить всё

http_port 192.168.10.6:3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /var/spool/squid 20000 256 256

logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt

access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Package(.gz)*)$        0       20%     2880
refresh_pattern .               0       20%     4320

acl shoutcast rep_header X-HTTP09-First-Line ^ICY\s[0-9]
upgrade_http0.9 deny shoutcast

acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

extension_methods REPORT MERGE MKACTIVITY CHECKOUT

hosts_file /etc/hosts

coredump_dir /var/spool/squid

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#external_acl_type nt_group ttl=60 concurrency=5 %LOGIN /usr/lib/squid/wbinfo_group.pl
external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl

acl inet_full external nt_group internet

acl SSL_ports port 443 563
acl Safe_ports port 21 80
acl Safe_ports port 443 5190
acl Other_ports port 1025-65535
acl CONNECT method CONNECT

acl all src all
acl localhost src 127.0.0.1/255.255.255.255

http_access allow inet_full all
http_access deny Other_ports
http_access deny !Safe_ports
http_access deny all

icp_access deny all

Пользователей из домена пускает всех, вне домена - после авторизации.

[kolesya]

попробуй заменить

Код: Выделить всё

http_access allow inet_full all

на

Код: Выделить всё

acl inet_full proxy_auth REQUIRED src 192.168.0.0/16
http_access allow inet_full

У меня через winbind авторизация идет, куски конфига

Код: Выделить всё

auth_param ntlm  program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN\\internet
auth_param ntlm children 20
auth_param ntlm keep_alive on

auth_param basic  program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=DOMAIN\\internet
auth_param basic children 2
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive off

# по ходу и хвост ослику подрежем чуток
acl msie browser MSIE
acl domain_users proxy_auth REQUIRED src 192.168.0.0/16

http_access allow domain_users !msie

[Daishell]

Добавил --require-membership-of=DOMAIN\\internet заработало как надо. Но этот вариант предусмартивает использование только одной группы, а хотелось бы нескольких.

Не помогли также способы замены, предложенные Вами.
Но всё равно спасибо за помощь.

[Cancer]

Т.е. в группу internet включены несколько пользователей, которые могут выходить в Интернет. Однако пользователи, не включенные в эту группу, тоже имею доступ. В чём может быть проблема?

Создай шаблон с трафиком 0 или 1 мб, далее всех пользователей из АД добавь в этот шаблон и запрет сделай на все сайты.
Еще баг есть описывал тут http://www.permlug.org/node/4940/

[JoyStick]

Привет
Подскажите в чём может быть проблема, режет сайт и только один этот сайт, не какой другой не режет! Сайт на флеше, специально лазил по флешовым сайтам, всё нормальна грузится

Cancer. Ставил по твоему ману,

Код: Выделить всё

http://www.lissyara.su/?id=1808

Кто сталкивался с такими граблями?

[Cancer]

Это случайно не твой сайт? если да то проверяй ДНС зоны и показывай логи сквида при обращении на этот сайт...

[JoyStick]

Сайт компании, висит где то у Америкосов!
вот логи

Код: Выделить всё

1244025864.058      1 192.168.1.11 TCP_DENIED/407 1841 GET http://plastilin.ua/m1/res/resource/m_part_ke.gif - NONE/- text/html
1244025864.060      1 192.168.1.11 TCP_DENIED/407 1838 GET http://plastilin.ua/m1/res/resource/pn_white.png - NONE/- text/html
1244025864.060      1 192.168.1.11 TCP_DENIED/407 1838 GET http://plastilin.ua/m1/res/resource/austrian.jpg - NONE/- text/html
1244025864.067      2 192.168.1.11 TCP_DENIED/407 2055 GET http://plastilin.ua/m1/res/resource/m_part_ke.gif - NONE/- text/html
1244025864.069      2 192.168.1.11 TCP_DENIED/407 2052 GET http://plastilin.ua/m1/res/resource/austrian.jpg - NONE/- text/html
1244025864.069      2 192.168.1.11 TCP_DENIED/407 2052 GET http://plastilin.ua/m1/res/resource/pn_white.png - NONE/- text/html
1244025864.320    470 192.168.1.11 TCP_MISS/502 1895 GET http://plastilin.ua/m1/res/resource/common2.css osipenko DIRECT/208.109.254.108 text/html
1244025864.367    506 192.168.1.11 TCP_MISS/502 1894 GET http://plastilin.ua/m1/res/resource/color1.css osipenko DIRECT/208.109.254.108 text/html
1244025864.377      0 192.168.1.11 TCP_DENIED/407 1862 GET http://plastilin.ua/m1/res/resource/MainPage_2009_04.jpg - NONE/- text/html
1244025864.391      1 192.168.1.11 TCP_DENIED/407 2076 GET http://plastilin.ua/m1/res/resource/MainPage_2009_04.jpg - NONE/- text/html
1244025864.409      0 192.168.1.11 TCP_DENIED/407 1865 GET http://plastilin.ua/m1/res/resource/flash/shapka_101.swf? - NONE/- text/html
1244025864.422      1 192.168.1.11 TCP_DENIED/407 2079 GET http://plastilin.ua/m1/res/resource/flash/shapka_101.swf? - NONE/- text/html
1244025864.551    481 192.168.1.11 TCP_MISS/502 2156 GET http://plastilin.ua/m1/res/resource/m_part_ke.gif osipenko DIRECT/208.109.254.108 text/html
1244025864.636    566 192.168.1.11 TCP_MISS/502 2155 GET http://plastilin.ua/m1/res/resource/austrian.jpg osipenko DIRECT/208.109.254.108 text/html
1244025864.649    578 192.168.1.11 TCP_MISS/502 2155 GET http://plastilin.ua/m1/res/resource/pn_white.png osipenko DIRECT/208.109.254.108 text/html
1244025864.786      0 192.168.1.11 TCP_DENIED/407 1817 GET http://plastilin.ua/m1/res/resource/t.gif - NONE/- text/html
1244025864.788      1 192.168.1.11 TCP_DENIED/407 1838 GET http://plastilin.ua/m1/res/resource/ico_mail.gif - NONE/- text/html
1244025864.789      1 192.168.1.11 TCP_DENIED/407 1832 GET http://plastilin.ua/m1/res/resource/m1logo.jpg - NONE/- text/html
1244025864.818      2 192.168.1.11 TCP_DENIED/407 2031 GET http://plastilin.ua/m1/res/resource/t.gif - NONE/- text/html
1244025864.820      2 192.168.1.11 TCP_DENIED/407 2046 GET http://plastilin.ua/m1/res/resource/m1logo.jpg - NONE/- text/html
1244025864.820      3 192.168.1.11 TCP_DENIED/407 2052 GET http://plastilin.ua/m1/res/resource/ico_mail.gif - NONE/- text/html
1244025864.917    507 192.168.1.11 TCP_MISS/502 2163 GET http://plastilin.ua/m1/res/resource/MainPage_2009_04.jpg osipenko DIRECT/208.109.254.108 text/html
1244025864.962    538 192.168.1.11 TCP_MISS/502 2203 GET http://plastilin.ua/m1/res/resource/flash/shapka_101.swf? osipenko DIRECT/208.109.254.108 text/html
1244025864.991   2462 192.168.1.11 TCP_MISS/200 7460 GET http://plastilin.ua/m1/ru/ osipenko DIRECT/208.109.254.108 text/html
1244025865.341    519 192.168.1.11 TCP_MISS/502 2153 GET http://plastilin.ua/m1/res/resource/m1logo.jpg osipenko DIRECT/208.109.254.108 text/html
1244025865.375    554 192.168.1.11 TCP_MISS/502 2155 GET http://plastilin.ua/m1/res/resource/ico_mail.gif osipenko DIRECT/208.109.254.108 text/html
1244025865.396    576 192.168.1.11 TCP_MISS/502 2148 GET http://plastilin.ua/m1/res/resource/t.gif osipenko DIRECT/208.109.254.108 text/html
1244025865.403      0 192.168.1.11 TCP_DENIED/407 1787 GET http://plastilin.ua/favicon.ico - NONE/- text/html
1244025865.407      0 192.168.1.11 TCP_DENIED/407 1781 GET http://bar-navig.yandex.ru/u? - NONE/- text/html
1244025865.425      1 192.168.1.11 TCP_DENIED/407 2001 GET http://plastilin.ua/favicon.ico - NONE/- text/html
1244025865.427      1 192.168.1.11 TCP_DENIED/407 1995 GET http://bar-navig.yandex.ru/u? - NONE/- text/html
1244025865.473     46 192.168.1.11 TCP_HIT/200 2931 GET http://plastilin.ua/favicon.ico osipenko NONE/- text/plain

[Cancer]

Странно, а пробовал режик отключать?

[JoyStick]

Странно, а пробовал режик отключать?

Не полностью я его не отрубал, меня он по сути та и не режет

Код: Выделить всё

allow_ip 192.168.1.11

Хотя надо будет попробовать отрубить. Ладно, буду искать грабли, отпишусь если что !

[simple123]

Помогите кто чем может три дня уже бьюсь не могу настроить, самба настроил билет получил, в домен тачка входит wbinfo -u показывает юзверей, так же видит все группы, правда есть одно юзвери и группы в винде все на русскмим именами, так вот суть в том что не могу получить id admin в ответ id: admin: no such user
Что делать ума не приложу


FreeBSD gate.*********.local 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 11:05:30 UTC 2007 root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP i386

[emi]

Привет Всем!

Коллеги есть вопрос:
Можно ли Winbind заставить смотреть не всех пользователей леса, а только определенный Organization Unit?

Система:

FreeBSD i901svgp04 6.3-RELEASE FreeBSD 6.3-RELEASE #0: Wed Jan 16 04:45:45 UTC 2008 root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP i386

Собственно проблема в чем:
У меня довольно большой лес, плюс к нему несколько трастов к чужим доменам добавлено. Так вот на команду wbinfo -g, сервер, после минутного раздумья отвечает списком групп из всех доменов леса и тех с которыми доверительные отношения. А вот на wbinfo -u его уже видимо не хватает, пишет Error looking up domain users , а в log.winbind,

[2009/06/11 04:01:21, 1] nsswitch/winbindd_ads.c:query_user_list(209)
Not a user account? atype=0x30000000
[2009/06/11 04:02:07, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
ads reopen failed after error Timed out
[2009/06/11 04:02:07, 1] nsswitch/winbindd_ads.c:query_user_list(180)
query_user_list ads_search: Timed out.

Собственно конфиг самбы:

[global]
workgroup = RU01
server string = Proxy
security = ADS
hosts allow = 10.18. 10.77. 127.
load printers = yes
log file = /var/log/samba/log.%m
max log size = 50
password server = i901svdc03.ru01.ad.inchcape.com
realm = RU01.AD.INCHCAPE.COM
dns proxy = no
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
[homes]
comment = Home Directories
browseable = no
writable = yes
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes

winbind separator = +
winbind use default domain = yes
winbind uid = 10000-150000
winbind gid = 10000-150000
winbind enum users = no
winbind enum groups = no
winbind cache time = 60

[Гость]

Помогите кто чем может три дня уже бьюсь не могу настроить, самба настроил билет получил, в домен тачка входит wbinfo -u показывает юзверей, так же видит все группы, правда есть одно юзвери и группы в винде все на русскмим именами, так вот суть в том что не могу получить id admin в ответ id: admin: no such user
Что делать ума не приложу


FreeBSD gate.*********.local 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 11:05:30 UTC 2007 root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP i386

Так ведь у тебя и юзера с именем admin видимо нет, я прав?

[simple123]

Помогите кто чем может три дня уже бьюсь не могу настроить, самба настроил билет получил, в домен тачка входит wbinfo -u показывает юзверей, так же видит все группы, правда есть одно юзвери и группы в винде все на русскмим именами, так вот суть в том что не могу получить id admin в ответ id: admin: no such user
Что делать ума не приложу


FreeBSD gate.*********.local 6.2-RELEASE FreeBSD 6.2-RELEASE #0: Fri Jan 12 11:05:30 UTC 2007 root@dessler.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP i386

Так ведь у тебя и юзера с именем admin видимо нет, я прав?

Я этим юзером в вожу его в домен !!!

[Cancer]

пользователь admin есть у тебя в АД ?

[simple123]

пользователь admin есть у тебя в АД ?

Еще раз, я пользователем admin водил машину с freebsd в домен AD
!!!

[snorlov]

пользователь admin есть у тебя в АД ?

Еще раз, я пользователем admin водил машину с freebsd в домен AD
!!!

У вас пользователь admin входит в большое количество групп, я думаю больше 16-ти, а про другого пользователя,
который в меньшее количество групп входит, что говорит?

[simple123]

пользователь admin есть у тебя в АД ?

Еще раз, я пользователем admin водил машину с freebsd в домен AD
!!!

У вас пользователь admin входит в большое количество групп, я думаю больше 16-ти, а про другого пользователя,
который в меньшее количество групп входит, что говорит?

Этот пользователь admin был заведен для этих целей и он только в ходит в одну группу Администраторы домена, такая беда со всеми пользователями!!!
Да еще после того как стартовал winbind он пишет такое:

log.winbindd
Copyright Andrew Tridgell and the Samba Team 1992-2009
[2009/06/15 19:13:34, 0] param/loadparm.c:lp_do_parameter(3545)
Global parameter winbind separator found in service section!
[2009/06/15 19:13:34, 0] param/loadparm.c:lp_do_parameter(3545)
Global parameter winbind use default domain found in service section!
[2009/06/15 19:13:34, 0] param/loadparm.c:lp_do_parameter(3545)
Global parameter winbind uid found in service section!
[2009/06/15 19:13:34, 0] param/loadparm.c:lp_do_parameter(3545)
Global parameter winbind gid found in service section!
[2009/06/15 19:13:34, 0] param/loadparm.c:lp_do_parameter(3545)
Global parameter winbind enum users found in service section!
[2009/06/15 19:13:34, 0] param/loadparm.c:lp_do_parameter(3545)
Global parameter winbind enum groups found in service section!
[2009/06/15 19:13:34, 0] param/loadparm.c:lp_do_parameter(3545)
Global parameter client use spnego found in service section!
[2009/06/15 19:13:34, 0] param/loadparm.c:lp_do_parameter(3545)
Global parameter use spnego found in service section!
[2009/06/15 19:13:34, 0] param/loadparm.c:lp_do_parameter(3545)
Global parameter encrypt passwords found in service section!
[2009/06/15 19:13:34, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2230)
initialize_winbindd_cache: clearing cache and re-creating with version number 1


log.winbindd-idmap

[2009/06/15 19:14:38, 1] nsswitch/idmap.c:idmap_init(377)
Initializing idmap domains
[2009/06/15 19:14:38, 1] nsswitch/idmap_tdb.c:idmap_tdb_alloc_init(397)
idmap uid range missing or invalid
idmap will be unable to map foreign SIDs
[2009/06/15 19:14:38, 0] nsswitch/idmap.c:idmap_init(772)
ERROR: Initialization failed for alloc backend tdb, deferred!
[2009/06/15 19:14:38, 1] nsswitch/idmap_tdb.c:idmap_tdb_alloc_init(397)
idmap uid range missing or invalid
idmap will be unable to map foreign SIDs
[2009/06/15 19:14:38, 0] nsswitch/idmap.c:idmap_alloc_init(820)
ERROR: Initialization failed for alloc backend, deferred!
[2009/06/15 19:14:38, 1] nsswitch/idmap_tdb.c:idmap_tdb_alloc_init(397)
idmap uid range missing or invalid
idmap will be unable to map foreign SIDs
[2009/06/15 19:14:38, 0] nsswitch/idmap.c:idmap_alloc_init(820)
ERROR: Initialization failed for alloc backend, deferred!
[2009/06/15 19:14:38, 1] nsswitch/idmap_tdb.c:idmap_tdb_alloc_init(397)
idmap uid range missing or invalid
idmap will be unable to map foreign SIDs
[2009/06/15 19:14:38, 0] nsswitch/idmap.c:idmap_alloc_init(820)
ERROR: Initialization failed for alloc backend, deferred!

С чем это связано!!! и Как лечить !!!

[simple123]

Похоже кончились гуру на белом свете

[Cancer]

Проверь

Код: Выделить всё

ps axw | grep winb

и версию ldap-clent покажи


Правила форума
Убедительная просьба юзать теги при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.

[simple123]

ладно пока забью на это дело, что может означать эта ошибка
smbd[991]: [2009/06/18 19:17:48, 0] lib/util_sock.c:open_socket_in(1300)
smbd[991]: open_socket_in(): socket() call failed: Protocol not supported

[Cancer]

Правила форума
Убедительная просьба юзать теги при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.

[simple123]

ладно пока забью на это дело, что может означать эта ошибка
smbd[991]: [2009/06/18 19:17:48, 0] lib/util_sock.c:open_socket_in(1300)
smbd[991]: open_socket_in(): socket() call failed: Protocol not supported

Все победил это ерунду, убрал с конфига самбы netbios name= и все завелось!!!