Обсуждение SQUID+SAMS with NTLM

[wary]

Добрался до установки самса, после подключения к нему с левой стороны следующие ошибки:

Код: Выделить всё

Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'sams'@'localhost' (using password: YES) in /usr/local/share/sams/mysqltools.php on line 289
Access denied for user sams@localhost to MySQL

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/share/sams/mysqltools.php on line 235

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/share/sams/mysqltools.php on line 248

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/share/sams/mysqltools.php on line 265

Warning: require() [function.require]: Unable to access ./lang/lang. in /usr/local/share/sams/lframe.php on line 38

Warning: require(./lang/lang.) [function.require]: failed to open stream: No such file or directory in /usr/local/share/sams/lframe.php on line 38

Fatal error: require() [function.require]: Failed opening required './lang/lang.' (include_path='.:/usr/local/share/pear') in /usr/local/share/sams/lframe.php on line 38

Подскажите куда копать ?????

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[wary]

проблема решена!!!!!
Затырка была в пароле на рута в мускл и пользователя самс!!! В пароле использовал % , как убрал все заработало!!!

[hr84]

Подскажите пожалуйста всё таки как заставить SQUID пускать людей в инет? где посмотреть логи?
В статье указаны некоторые настройки squid.conf для squid 2.7.5, можно ли их использовать если версия squid 3.0?

[Cancer]

Подскажите пожалуйста всё таки как заставить SQUID пускать людей в инет? где посмотреть логи?
В статье указаны некоторые настройки squid.conf для squid 2.7.5, можно ли их использовать если версия squid 3.0?

3 версия SQUID, вроде будет нормально работать токо с САМС 2.0

[wary]

Скажите билет kerberos автоматически будет обновляться?? или как это вообще выглядит, просто у меня он уже устарел - но при этом все продолжает работать....

Код: Выделить всё

  Issued           Expires        Principal
Dec  4 15:37:24  >>>Expired<<<  krbtgt/MYDOMAIN.LOCAL@MYDOMAIN.LOCAL

[Alex Keda]

работает - не трожь

[wary]

работает - не трожь

Ну это конечно понятно...так и делаю, но просто хотелось бы знать...чтобы когда оно перестанет работать, быть в курсе что делать и куда бежать....

[warzoni]

работает - не трожь

придержуюсь .

[Mad_caterpillar]

Доброго времени суток.
Спасибо за отличную статью. Проблема возникла при авторизации пользователей Vista. Подскажите пожалуйста варианты решения.
Спасибо.

[root@inet2 ~] uname -v
FreeBSD 6.2-RELEASE #1: Tue Jul 3 17:17:35 EEST 2007 root@inet2.intellecom.int:/usr/obj/usr/src/sys/MYKERN

[root@inet2 ~] pkg_info | egrep "samba|squid"
samba-3.0.32_2,1 A free SMB and CIFS client and server for UNIX
squid-2.7.5 HTTP Caching Proxy

sams-1.0.4

[smash_necros]

виста под дефолту использует NTLM v2, поставь штобы использовалась v1, мб поможет.
просто раньше с самбой и вистой были крабли из-за етого у меня

[Mad_caterpillar]

виста под дефолту использует NTLM v2, поставь штобы использовалась v1, мб поможет.
просто раньше с самбой и вистой были крабли из-за етого у меня

Спасибо.
А чем чревата опция "client ntlmv2 auth = yes" в smb.conf?

[wary]

Ребят у меня очередные проблемы....
1. Не отключается пользователь превышевший лемит. (под значком мигает красный квадратик, что мол польз-ль превысил лемит....но не откл)
2. Трафик считается, но при нажатии кномки "Обнулить" - обнуляется, но через некоторое время опять подтягивается....
3. Есть еще следующая проблема: удаляю доменного пользователя, и шаблон где он был. Создаю новый шаблон, добавляю из домена пользователя которого удалил - подтягивается старая статистика по трафику (которая была до удаления этого пользователя) ....Это нормально, или както нужно вручную чистить всю саттистику

???????????????????????????

[-=Shadow=-]

Доброе.
Установил SQUID+SAMS с авторизацией в домене (NTLM). До подключения в самсе wbinfo, сквид пускал в интернет без авторизации. После чего, указал в самсе где находится wbinfo. Добавил пользователей из домена. И вот после этого прокси перестал работать. Пользователя в интернет не пускает.

Весь софт ставил из портов.

Код: Выделить всё

squid -v
Squid Cache: Version 2.7.STABLE5
configure options:  '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB LDAP YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd null' '--enable-delay-pools' '--disable-internal-dns' '--with-large-files' '--enable-large-cache-files'

Есть мысль что виноват сквид. В документации самса сказано что сквид должен быть собран с опциями:

Код: Выделить всё

--enable-auth="ntlm,basic"
--enable-basic-auth-helpers="winbind"
--enable-ntlm-auth-helpers="winbind" 

В правильную ли я сторону копаю? Вопрос, как установить squid из портов с данными опциями? тупо добавить их в makefile в /usr/ports/www/squid?

Или проблема в другом?

Заранее спасибо за помощь.

[wary]

make config

Код: Выделить всё

   +--------------------------------------------------------------------+
     |                   Options for squid 2.7.5                          |

     | +----------------------------------------------------------------+ |
     | |  [X] SQUID_LDAP_AUTH      Install LDAP authentication helpers  | |
     | |  [ ] SQUID_SASL_AUTH      Install SASL authentication helpers  | |
     | |  [X] SQUID_DELAY_POOLS    Enable delay pools                   | |
     | |  [ ] SQUID_SNMP           Enable SNMP support                  | |
     | |  [X] SQUID_CARP           Enable CARP support                  | |
     | |  [ ] SQUID_SSL            Enable SSL support for reverse proxies |
     | |  [ ] SQUID_PINGER         Install the icmp helper              | |
     | |  [X] SQUID_DNS_HELPER     Use the old 'dnsserver' helper       | |
     | |  [ ] SQUID_HTCP           Enable HTCP support                  | |
     | |  [ ] SQUID_VIA_DB         Enable forward/via database          | |
     | |  [ ] SQUID_CACHE_DIGESTS  Enable cache digests                 | |
     | |  [X] SQUID_WCCP           Enable Web Cache Coordination Prot. v1 |
     | |  [ ] SQUID_WCCPV2         Enable Web Cache Coordination Prot. v2 |
     | |  [ ] SQUID_STRICT_HTTP    Be strictly HTTP compliant           | |
     | |  [X] SQUID_IDENT          Enable ident (RFC 931) lookups       | |
     | |  [ ] SQUID_REFERER_LOG    Enable Referer-header logging        | |
     | |  [ ] SQUID_USERAGENT_LOG  Enable User-Agent-header logging     | |
     | |  [ ] SQUID_ARP_ACL        Enable ACLs based on ethernet address| |
     | |  [ ] SQUID_PF             Enable transparent proxying with PF  | |
     | |  [ ] SQUID_IPFILTER       Enable transp. proxying with IPFilter| |
     | |  [ ] SQUID_FOLLOW_XFF     Follow X-Forwarded-For headers       | |
     | |  [ ] SQUID_AUFS           Enable the aufs storage scheme       | |
     | |  [ ] SQUID_COSS           Enable the COSS storage scheme       | |
     | |  [X] SQUID_KQUEUE         Use kqueue(2) instead of poll(2)     | |
     | |  [X] SQUID_LARGEFILE      Support log and cache files >2GB     | |
     | |  [ ] SQUID_STACKTRACES    Create backtraces on fatal errors    | |
     | |  [X] MYSQLI  MySQL 4.1+ back-end (use mysqli PHP extension)    | |
     | |  [ ] PGSQL   PostgreSQL back-end (use pgsql PHP extension)     | |
     | |                                                                | |
     +-+------v(+)------------------------------------------------------+-+
     |                       [  OK  ]       Cancel                        |
     +--------------------------------------------------------------------+

make install
make clean

====
ps: подробнее тут http://www.lissyara.su/?id=1808

[-=Shadow=-]

Подправил конфиги. Была ошибка в конфиге самса и сквида. Тем не менее проблема осталась. Кроме этого, при запуске самса пишет:

Код: Выделить всё

/usr/local/etc/rc.d]# ./sams start
Starting sams.
/usr/local/etc/bin/samsf: not found

демон samsf лежит в папке вместе с другими демонами самса по адресу /usr/local/bin
вот скрипт запуска самса:

Код: Выделить всё

#!/bin/sh
# $FreeBSD: ports/www/sams/files/sams.sh.in,v 1.1 2006/12/29 20:18:35 miwi Exp $

# PROVIDE: sams
# REQUIRE: mysql
# KEYWORD: shutdown

# Define these sams_* variables in one of these files:
# /etc/rc.conf
# /etc/rc.conf.local
# /etc/rc.conf.d/sams
#
# DO NOT CHANGE THESE DEFAULT VALUES HERE
#
sams_enable=${sams_enable-"NO"}
sams_flags=${sams_flags-""}
sams_pidfile=${sams_pidfile-"/var/run/samsdaemon.pid"}

. /etc/rc.subr

name="sams"
rcvar=`set_rcvar`
command="/usr/local/bin/samsdaemon"

load_rc_config $name

pidfile="${sams_pidfile}"

run_rc_command "$1"

При попытке реконфигурации сквида в самсе на консоль выдает:

Код: Выделить всё

squid: ERROR: Could not send signal 1 to process 13081: (3) No such process

Код: Выделить всё

ps axw | grep squid
13079  ??  Is     0:00.00 /usr/local/sbin/squid -D
15023  ??  I      0:00.03 (squid) -D (squid)
15050  ??  Is     0:00.09 (ntlm_auth) --helper-protocol=squid-2.5-ntlmssp (ntlm_auth)
15052  ??  Is     0:00.09 (ntlm_auth) --helper-protocol=squid-2.5-ntlmssp (ntlm_auth)
15053  ??  Is     0:00.09 (ntlm_auth) --helper-protocol=squid-2.5-ntlmssp (ntlm_auth)
15055  ??  Is     0:00.09 (ntlm_auth) --helper-protocol=squid-2.5-ntlmssp (ntlm_auth)
15056  ??  Is     0:00.09 (ntlm_auth) --helper-protocol=squid-2.5-ntlmssp (ntlm_auth)
15057  ??  Is     0:00.09 (ntlm_auth) --helper-protocol=squid-2.5-basic (ntlm_auth)
15058  ??  Is     0:00.09 (ntlm_auth) --helper-protocol=squid-2.5-basic (ntlm_auth)
15059  ??  Is     0:00.09 (ntlm_auth) --helper-protocol=squid-2.5-basic (ntlm_auth)
15060  ??  Is     0:00.09 (ntlm_auth) --helper-protocol=squid-2.5-basic (ntlm_auth)
15061  ??  Is     0:00.06 (ntlm_auth) --helper-protocol=squid-2.5-basic (ntlm_auth)
15597  p1  S+     0:00.00 grep squid

Настройки самс:

Код: Выделить всё

[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=sams
MYSQLPASSWORD=xxxxx
MYSQLVERSION=5.0
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/usr/local/etc/squid
SQUIDLOGDIR=/usr/local/squid/logs
SQUIDCACHEDIR=/usr/local/squid/cache
SAMSPATH=/usr/local/etc
SQUIDPATH=/usr/local/sbin
#SQUIDGUARDLOGPATH=/var/log
#SQUIDGUARDDBPATH=/var/db/squidGuard
RECODECOMMAND=${LOCALBASE}/bin/iconv -f KOI8-R -t 866 %finp > %fout
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=/sbin/shutdown -h now
CACHENUM=0

Сквид:

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
#auth_param ntlm max_challenge_reuses 0
#auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off

p.s. сорри, пред. сообщение можно удалить. неправильно оформил.

[-=Shadow=-]

В общем, пока вопрос остался как самсу сказать чтобы он демон samsf смотрел там где он лежит. Ибо, банальное копирование файла в папку где он его ищет, решило проблему с авторизацией пользователя. Интернет заработал. Может кто подскажет?

[Mad_caterpillar]

В общем, пока вопрос остался как самсу сказать чтобы он демон samsf смотрел там где он лежит. Ибо, банальное копирование файла в папку где он его ищет, решило проблему с авторизацией пользователя. Интернет заработал. Может кто подскажет?

Попробуйте обратится на форум самса http://www.permlug.org/node/4621/

[Cancer]

В общем, пока вопрос остался как самсу сказать чтобы он демон samsf смотрел там где он лежит. Ибо, банальное копирование файла в папку где он его ищет, решило проблему с авторизацией пользователя. Интернет заработал. Может кто подскажет?

Попробуй указать путь не такой

Код: Выделить всё

SAMSPATH=/usr/local/etc

а такой

Код: Выделить всё

SAMSPATH=/usr/local

и перезапусти демон самса

[-=Shadow=-]

В общем, пока вопрос остался как самсу сказать чтобы он демон samsf смотрел там где он лежит. Ибо, банальное копирование файла в папку где он его ищет, решило проблему с авторизацией пользователя. Интернет заработал. Может кто подскажет?

Попробуй указать путь не такой

Код: Выделить всё

SAMSPATH=/usr/local/etc

а такой

Код: Выделить всё

SAMSPATH=/usr/local

и перезапусти демон самса

Ок. Спасибо, попробую. Еще вопрос.
Сквид перестает писать логи. Создается файл |access.log с нулевым размером. Если его удалить
и перезапустить сквид, то все нормально, в лог пишутся записи. Но, потом снова не работает.

Код: Выделить всё

ls -l
total 2522
prw-rw-rw-  1 root   squid        0 Dec 12 15:19 access.log
-rw-r-----  1 squid  squid   525558 Dec 11 14:42 access.log.20081211
-rw-r-----  1 squid  squid    88152 Dec 12 15:19 access.log.20081212
-rw-r-----  1 squid  squid   321867 Dec 12 23:51 cache.log
-rw-r--r--  1 squid  squid        4 Dec 12 23:51 squid.pid
-rw-r-----  1 squid  squid  1568282 Dec 12 23:51 store.log

[-=Shadow=-]

Хм. Вот что написано в документации к SAMS.

Код: Выделить всё

samsf
Утилита, замещающая файл access.log fifo файлом (/var/log/squid/!access.log), и заносящая данные о трафике пользователей в базу данных данных. SQUID заносит данные непосредственно в fifo файл, на вход samsf. Данные обрабатываются непрерывно, и при превышении объема трафика, полученного пользователем, выдается команда на его отключение. 

и

Код: Выделить всё

#

Обработка логов SQUID производится двумя утилитами:
# sams
# samsf

программа sams регулярно вызывается демоном samsdaemon для чтения файла логов SQUID access.log и занесения данных в базу данных MySQL. При превышении пользователем квоты трафика происходит отключение пользователя и выдача команды на реконфигурирование SQUID.

демон samsf запускается демоном samsdaemon и создает fifo файл access.log, в кторой SQUID пишет свои логи. Если уже существовал текстовый файл access.log, он переносится в файл access.log.{time stamp}. Демон samsf заносит данные о трафике в базу данных MySQL.
Обработка данных демоном samsf происходит непрерывно, и реакция на превышение пользователем трафика более быстрая, чем утилиты sams. [b]При превышении пользователем квоты трафика происходит отключение пользователя и выдача команды на реконфигурирование SQUID.[/b] 

Получается одновременно работать может либо sams, либо samsf. Тогда непонятно, почему при превышении трафика пользователь не отключается?

[nick_name]

а у меня совсем другая проблема, чет немогу понять из за чего, настаривал правда не по этой статье но все тоже самое.
в вебморде самса невидно пользователей домена, нажимаю тестировать, открываеться пустое окно, wbinfo -u выдает списко юзверей. путь к wbinfo в самсе прописал, в sams.conf прописал имя админа и пароль и адрес сервера, но весрано недает(


забыл про php.ini

работает

[CYXOB]

связка sams-1.0.3,1+squid-2.6.22+NTLM аутентификация
в данный момент sams работает просто как анализатор логов сквида. как сделать чтобы sams при превышении лимита отключал ползователей
у меня сейчат есть перловый скрипт и есть файл вида "user_name limit", перловый скрипт видит данные от lightsquid сравнивает с файлом лимитов и в случае превышения отправляет пользователя в бан лист. так вот хотелось бы убрать лишнее (перл+файл лимотов+lightsquid) и оставить только sams.

[Cancer]

связка sams-1.0.3,1+squid-2.6.22+NTLM аутентификация
в данный момент sams работает просто как анализатор логов сквида. как сделать чтобы sams при превышении лимита отключал ползователей
у меня сейчат есть перловый скрипт и есть файл вида "user_name limit", перловый скрипт видит данные от lightsquid сравнивает с файлом лимитов и в случае превышения отправляет пользователя в бан лист. так вот хотелось бы убрать лишнее (перл+файл лимотов+lightsquid) и оставить только sams.

Тебе нужен редиректор.
Встроенный SAMS, rejik или squidGuard

[CYXOB]

хм... как тогда такое реализовать?
если я в конфиге сквида прописываю самс в качестве редиректора и при заходе на любую страницу мне говорят что доступ запрещен
а в логах сквида строка TCP_MISS/200 817 GET http://ya.ru/ pupkinvv DIRECT/192.168.0.251 text/html

Код: Выделить всё

http_port 192.168.0.251:3128

icp_port 0

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 8 MB

#Default:
cache_dir ufs /usr/local/squid/cache 256 16 256
ftp_passive on

access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-298477039-2038239928-2145925819-1305
#auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=proxyusers
#auth_param ntlm max_challenge_lifetime 5 minutes
auth_param ntlm children 5
auth_param basic realm Squid Proxy Cache
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

auth_param basic program /usr/local/libexec/squid/pam_auth
auth_param basic children 5
auth_param basic realm Squid Proxy Cache
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

#redirect sams
redirect_program /usr/local/bin/samsredir
# DNS
dns_nameservers 192.168.0.254

#=========================================================================================================
acl all src 192.168.0.0/255.255.255.0
acl manager proto cache_object
acl dial_pr proto HTTP FTP
acl localhost dst 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 53 5190 5300 15100
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 22          # ssh
acl Safe_ports port 2222        # momentum.ru
acl Safe_ports port 443 563 43 53  # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 110         # 110
acl Safe_ports port 25          # 25
acl Safe_ports port 33333       # 33333 ib.chelinvest.ru
acl Safe_ports port 5300        # 5300 uniastrum
acl Safe_ports port 15100       # 15100 uniastrum
acl CONNECT method CONNECT

acl ad-users    proxy_auth      REQUIRED

#=========================================================================================================

#redirector_access deny SSL_ports
#redirector_access deny localhost

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow ad-users
http_access deny all

miss_access allow ad-users
coredump_dir /var/cache/squid/

authenticate_ttl 60 seconds
error_directory /usr/local/etc/squid/errors/Russian-1251

icp_access allow all

debug_options ALL,2

visible_hostname jabber-srv.drive.local

forwarded_for on

nonhierarchical_direct off

prefer_direct off

coredump_dir /var/cache/squid

ie_refresh on

logfile_rotate 14

[Cancer]

Если честно не пробовал встроенный редиректор, попробуй поставить режик.