Обсуждение SQUID+SAMS with NTLM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
Для начала правильно вопрос оформите!, покажите выводы конфигов итд итп
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- ефрейтор
- Сообщения: 53
- Зарегистрирован: 2007-08-29 17:06:55
- Откуда: Санкт-Петербург
Re: Обсуждение SQUID+SAMS with NTLM
Здраствуйте.
Обновил самбу до 3.2 и получил массу приятных и не очень сюрпризов
Самый неприятный
Нашел 2 варианта решения, которые помогли окружающий, но мне не пожелали.
Советовали
1 Добавить smb ports = 445 - и все ок
2 Закоментить netbios name = и тоже как бы все ок.
Пробовал в разных вариантах - не помогло
И немного о себе
Обновил самбу до 3.2 и получил массу приятных и не очень сюрпризов
Самый неприятный
Код: Выделить всё
winbindd[50722]: [2009/10/06 22:46:46, 0] winbindd/winbindd_cache.c:initialize_
winbindd[50722]: initialize_winbindd_cache: clearing cache and re-creating wit
smbd[50716]: [2009/10/06 22:46:47, 0] lib/util_sock.c:open_socket_in(1300)
smbd[50716]: open_socket_in(): socket() call failed: Protocol not supported
Советовали
1 Добавить smb ports = 445 - и все ок
2 Закоментить netbios name = и тоже как бы все ок.
Пробовал в разных вариантах - не помогло
Код: Выделить всё
[global]
workgroup = DOMAIN
security = ADS
realm = DOMAIN.RU
netbios name = Gateway
interfaces = em0
log level = 10
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = 866
server string = FileServer
auth methods = winbind
map to guest = Bad User
password server = 192.168.0.200
client NTLMv2 auth = Yes
client signing = Yes
disable spoolss = Yes
preferred master = No
local master = No
domain master = No
dns proxy = No
hosts allow = 192.168.0., 127.
interfaces = 192.168.0.101/24, 127.0.0.1/8
map acl inherit = Yes
case sensitive = No
nt acl support = yes
os level = 10
socket options = TCP_NODELAY
# load printers = yes
# printing = cups
Код: Выделить всё
uname -a
FreeBSD gateway.domain.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Tue Sep 22 23:09:50 MSD 2009
openldap-client-2.3.43
samba-3.2.14
krb5-1.6.3_7
-
- мл. сержант
- Сообщения: 93
- Зарегистрирован: 2009-06-19 13:14:04
- Откуда: почти С-Пб
Re: Обсуждение SQUID+SAMS with NTLM
Что-то у меня не получается. Самба видит пользователей и группы. т.е.
выдет ответ
то-же все правильно, все как есть,
а возвращает пустую страницу.
и самс не видит пользователей.
все конфиги как 2 месяца назад делал. 8(
Код: Выделить всё
wbinfo -g
Код: Выделить всё
wbinfo -g
а
Код: Выделить всё
Тестировать ответ PDC
и самс не видит пользователей.
все конфиги как 2 месяца назад делал. 8(
-
- рядовой
- Сообщения: 18
- Зарегистрирован: 2007-09-07 1:37:27
Re: Обсуждение SQUID+SAMS with NTLM
У меня было такое, в настройках самса (веб интерфейсе ) указал путь к wbinfo
и заработало./usr/local/bin/
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with NTLM
Добрый день коллеги
Долго гуглил, но так ничего и не нашел.
Конфа: squid (ntlm)+sams+rejik+kasper, комп HP ML110 (Xeon 3065, 3gb) + дополнительная сетевая карточка
Информация по системе:
# uname -a
# ifconfig
bge0 смотрит в локалку, rl0 в модем, который роутером, не бриджем
# pkg_info
# cat /usr/local/etc/squid/squid.conf
# cat /usr/local/etc/smb.conf
# cat /etc/krb5.conf
# kinit
# klist
# getfacl /var/db/samba/winbindd_privileged/
Собственно проблема, при загрузке сервочка squid думает с минуту, после чего запускается или нет, как повезет. В логах такие ошибки:
# cat /var/log/messages
Если squid не стартанул руками запускается без проблем.
Когда squid запущен все работает без каких бы то нибыло проблем. Пробовал разные версии самбы, не помогло. Куда смотреть не знаю
Долго гуглил, но так ничего и не нашел.
Конфа: squid (ntlm)+sams+rejik+kasper, комп HP ML110 (Xeon 3065, 3gb) + дополнительная сетевая карточка
Информация по системе:
# uname -a
Код: Выделить всё
FreeBSD srv-250.my.domain.ru 6.4-RELEASE FreeBSD 6.4-RELEASE #0: Wed Nov 26 08:37:42 UTC 2008 root@palmer.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP amd64
Код: Выделить всё
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
inet 10.0.4.250 netmask 0xffffff00 broadcast 10.0.4.255
ether 00:1f:29:d1:9f:ec
media: Ethernet autoselect (1000baseTX <full-duplex>)
status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
ether 00:80:48:17:9a:96
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
# pkg_info
Код: Выделить всё
apache-1.3.41_1 The extremely popular Apache http server. Very fast, very c
kav4proxy-5.5_51 Kaspersky Anti-Virus for Proxy Server
mpd-5.3 Multi-link PPP daemon based on netgraph(4)
mysql-client-5.0.86 Multithreaded SQL database (client)
mysql-server-5.0.86 Multithreaded SQL database (server)
openldap-client-2.4.18 Open source LDAP client implementation
rejik-3.2.2 A squid redirector used for blocking unwanted content
samba-3.0.37,1 A free SMB and CIFS client and server for UNIX
sams-1.0.4,1 Squid 2.x Accounting Management System
squid-3.0.19 HTTP Caching Proxy
Код: Выделить всё
# created by SAMS _sams_ 2009-10-11 10:55:34
# squid.conf
# =========== Авторизация ================
# Описываем процесс авторизации, сначала авторизируем по ntlm, если ntlm не проходит,
# наппример у клиента unix или он не принадлежит к нашему домену, то запрашивается
# basic авторизация по имени и паролю
# путь к программе авторизации ntlm
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
# количество процессов авторизации, если процессов не хвтатет squid будет задерживать
# авторизацию, пока не запишет предидущую в лог
auth_param ntlm children 30
# путь к программе авторизации basic
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
# Число процессов для базовой аворизации - значительно меньше
# чем для основной, т.к. таких юзеров/программ немного
auth_param basic children 5
# заголовок окна выводимый при запросе авторизации
auth_param basic realm Proxy-server for my.domain.ru
# время жизни авторизации - сколько кэшировать данные
# (для базовой авторизации)
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
# =========== Список правил ================
# правило для определения cgi-bin
acl QUERY urlpath_regex cgi-bin \?
#===================
# Праила доступа к портам
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # SSL
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#===================
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl manager proto cache_object
# правило определяющее список локальных адресов и доменов
acl local dstdomain .domain.ru
# правило для пользвоталей без авторизации
acl no_auth src "/usr/local/etc/squid/db/no_auth.txt"
acl acl_kav_GET method GET
#+++++++++++++++++++
#===================
# Любимое место sams
# TAG: acl
acl _sams_4acaaaeb81a15 proxy_auth "/usr/local/etc/squid/4acaaaeb81a15.sams"
acl _sams_4acaaaeb81a15_time time MTWHFAS 00:00-23:59
acl _sams_4acaab0029a5f proxy_auth "/usr/local/etc/squid/4acaab0029a5f.sams"
acl _sams_4acaab0029a5f_time time MTWHFAS 00:00-23:59
acl _sams_4acaab171c6ca proxy_auth "/usr/local/etc/squid/4acaab171c6ca.sams"
acl _sams_4acaab171c6ca_time time MTWHFAS 00:00-23:59
acl _sams_4acaab3c5a4b0 proxy_auth "/usr/local/etc/squid/4acaab3c5a4b0.sams"
acl _sams_4acaab3c5a4b0_time time MTWHFAS 00:00-23:59
acl _sams_4acaab4e57f69 proxy_auth "/usr/local/etc/squid/4acaab4e57f69.sams"
acl _sams_4acaab4e57f69_time time MTWHFAS 00:00-23:59
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
acl _sams_disabled_id proxy_auth "/usr/local/etc/squid/disabled_id.sams"
# =========== Доступ ================
# Организация доступа
http_access allow manager localhost
http_access deny manager
http_access allow localhost
# Пускаем всех из локальной сети на локальные IP и домены
# Локальные сети нужно прописывать и в sams, иначе будут проблемы с авторизацией
http_access allow all local
# доступ только по определенным портам
http_access deny !Safe_ports
# пускаем тех, кто не авторизуется
http_access allow no_auth
#+++++++++++++++++++
#===================
# Второе любимое место sams
# TAG: http_access
http_access allow _sams_4acaaaeb81a15 _sams_4acaaaeb81a15_time
http_access allow _sams_4acaab0029a5f _sams_4acaab0029a5f_time
http_access allow _sams_4acaab171c6ca _sams_4acaab171c6ca_time
http_access allow _sams_4acaab3c5a4b0 _sams_4acaab3c5a4b0_time
http_access allow _sams_4acaab4e57f69 _sams_4acaab4e57f69_time
http_access deny _sams_disabled_id !_sams_local_ip
# режим всех
http_access deny all
#============= Rejik ===============
# TAG: url_rewrite_program
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf
#=========== Настройки ==============
# порт прокси
http_port 8080
append_domain .my.domain.ru
# не брать cgi-bin у соседей
hierarchy_stoplist cgi-bin ?
# Запрет кеширования cgi-bin
no_cache deny QUERY
# размер кеша, рекомендуется ставить треть памяти
cache_mem 1024 MB
# Директория для кэша, числа - размер кэша в Mb,
# число директорий первого уровня, число директорий второго
# уровня в каждой директории первого.
cache_dir ufs /usr/local/squid/cache 5000 64 512
# расположение и настроки логов
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
logfile_rotate 10
#Директория со страницами ошибок
error_directory /usr/local/etc/squid/errors/Russian-1251
# Детализация логов, ALL - все секции, 1-9 уровень детализации
debug_options ALL,2
coredump_dir /usr/local/squid/cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
# Added by Kaspersky Anti-Virus installer
icap_enable on
icap_send_client_ip on
icap_preview_enable off
icap_service is_kav_req reqmod_precache 0 icap://localhost:1344/av/reqmod
icap_service is_kav_resp respmod_precache 0 icap://localhost:1344/av/respmod
icap_class ic_kav_req is_kav_req
icap_class ic_kav_resp is_kav_resp
icap_access ic_kav_resp allow all
icap_access ic_kav_req allow all !acl_kav_GET !local
Код: Выделить всё
[global]
workgroup = MY
server string = Proxy Server
security = ads
hosts allow = 192.168.1. 10.0.4. 127.
log file = /var/log/samba/log.%m
max log size = 50
realm = MY.DOMAIN.RU
interfaces = 192.168.1.0/24 10.0.4.0/24
local master = no
wins support = no
# dns proxy = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
load printers = no
disable spoolss = yes
show add printer wizard = No
winbind use default domain = no
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind separator = +
Код: Выделить всё
[libdefaults]
default_realm = MY.DOMAIN.RU
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
MY.DOMAIN.RU = {
kdc = 10.0.4.249
admin_server = 10.0.4.249
kpasswd_server = 10.0.4.249
}
[domain_realm]
.my.domain.ru = MY.DOMAIN.RU
Код: Выделить всё
admin@MY.DOMAIN.RU's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
Код: Выделить всё
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@MY.DOMAIN.RU
Issued Expires Principal
Oct 12 10:42:03 Oct 12 20:42:03 krbtgt/MY.DOMAIN.RU@MY.DOMAIN.RU
Код: Выделить всё
#file:/var/db/samba/winbindd_privileged/
#owner:0
#group:0
user::rwx
group::r-x
group:squid:r-x
mask::r-x
other::---
# cat /var/log/messages
Код: Выделить всё
Starting new helpers
2009/10/02 18:08:36| helperOpenServers: Starting 13/25 'ntlm_auth' processes
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
could not obtain winbind domain name!
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
could not obtain winbind domain name!
could not obtain winbind domain name!
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
could not obtain winbind domain name!
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
could not obtain winbind domain name!
Когда squid запущен все работает без каких бы то нибыло проблем. Пробовал разные версии самбы, не помогло. Куда смотреть не знаю
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: Обсуждение SQUID+SAMS with NTLM
Я бы
1. в smb.conf в interfaces добавил 127.0.0.1
2. У squid'а указал бы где лежит его pid и на каком адресе/интерфейсе он принимает запросы
3. В скрипте запуска squid'а принудительно указал бы, что он запускается после winbind(samba)
1. в smb.conf в interfaces добавил 127.0.0.1
2. У squid'а указал бы где лежит его pid и на каком адресе/интерфейсе он принимает запросы
3. В скрипте запуска squid'а принудительно указал бы, что он запускается после winbind(samba)
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with NTLM
всё настроил по инструкции, но не совсем понял что должно быть быть в конфиге сквида, выложите пожалуйста образец....
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
- это писал я, вообщем фишка в том что хожу в инет, прокся всё нормально отдаёт, в SAMS вижу доменных пользователей, конфигурирую настройки и т.д., но прокси работает отдельно, независимо от того поставил я галочки, трафик и т.д. в SAMSвсё настроил по инструкции, но не совсем понял что должно быть быть в конфиге сквида, выложите пожалуйста образец....
Код: Выделить всё
# created by SAMS _sams_ 2009-10-12 23:30:37
http_port 3128
#icp_port 0
#hierarchy_stoplist cgi-bin ?
#acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY
cache_mem 128 MB
#maximum_object_size 8092 KB
#maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@domain.ru
visible_hostname proxy.domain.ru
#tcp_outgoing_address 222.222.222.222
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 10.0.0.0/255.255.0.0
http_access deny manager all
http_access allow allowed_hosts
http_access deny all
icp_access allow allowed_hosts
icp_access deny all
miss_access allow allowed_hosts
miss_access deny all
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
file "/usr/local/etc/squid/squid.conf", 73 lines
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
proxy
coredump_dir /usr/local/squid/cache
http_access deny all
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with NTLM
1. ДобавилAndreyDPro84 писал(а):всё настроил по инструкции, но не совсем понял что должно быть быть в конфиге сквида, выложите пожалуйста образец....
В конфиге должны быть теги, иначе sams не знает куда писать, выше в моем конфиге глянь какие.
snorlov писал(а):Я бы
1. в smb.conf в interfaces добавил 127.0.0.1
2. У squid'а указал бы где лежит его pid и на каком адресе/интерфейсе он принимает запросы
3. В скрипте запуска squid'а принудительно указал бы, что он запускается после winbind(samba)
2. Указал pid файл, запросы принмать видимо так - http_port 10.0.4.250:8080
3. Прописал
Вроде решил проблему, поковырял в конфе самбы, вот, что вышло:
# testparm
Код: Выделить всё
Load smb config files from /usr/local/etc/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
dos charset = cp866
unix charset = koi8-r
display charset = koi8-r
workgroup = MY
realm = MY.DOMAIN.RU
server string = Proxy Server
interfaces = bge0
bind interfaces only = Yes
security = ADS
allow trusted domains = No
log level = 3
log file = /var/log/samba/log.%m
max log size = 500
disable netbios = Yes
load printers = No
disable spoolss = Yes
show add printer wizard = No
local master = No
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = Yes
hosts allow = 10.0.4., 127.
hosts deny = all
case sensitive = No
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
вроде заработало, но как то криво, при запросе любой страницы выдаётся
, а если пользователю действительно запретить вход, то выдаётся страничка с пометкой, что запрещён вход потому что вас отключили...Пользователь Иванов Иван Иванович (ivanov.ii)
Доступ к URL http://caravan.ru/services/register/ запрещен!!!
Пользователь ivanov.ii
Доступ к прокси-серверу запрещен
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with NTLM
Покажи новый конфиг сквидаAndreyDPro84 писал(а):вроде заработало, но как то криво, при запросе любой страницы выдаётся, а если пользователю действительно запретить вход, то выдаётся страничка с пометкой, что запрещён вход потому что вас отключили...Пользователь Иванов Иван Иванович (ivanov.ii)
Доступ к URL http://caravan.ru/services/register/ запрещен!!!
Пользователь ivanov.ii
Доступ к прокси-серверу запрещен
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
Код: Выделить всё
# created by SAMS _sams_ 2009-10-13 16:35:42
# =========== а?аВб?аОб?аИаЗаАб?аИб? ================
# а?аПаИб?б?аВаАаЕаМ аПб?аОб?аЕб?б? аАаВб?аОб?аИаЗаАб?аИаИ, б?аНаАб?аАаЛаА аАаВб?аОб?аИаЗаИб?б?аЕаМ аПаО ntlm, аЕб?аЛаИ ntlm аНаЕ аПб?аОб?аОаДаИб?,
# аНаАаПаПб?аИаМаЕб? б? аКаЛаИаЕаНб?аА unix аИаЛаИ аОаН аНаЕ аПб?аИаНаАаДаЛаЕаЖаИб? аК аНаАб?аЕаМб? аДаОаМаЕаНб?, б?аО аЗаАаПб?аАб?аИаВаАаЕб?б?б?
# basic аАаВб?аОб?аИаЗаАб?аИб? аПаО аИаМаЕаНаИ аИ аПаАб?аОаЛб?
# аПб?б?б? аК аПб?аОаГб?аАаМаМаЕ аАаВб?аОб?аИаЗаАб?аИаИ ntlm
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
# аКаОаЛаИб?аЕб?б?аВаО аПб?аОб?аЕб?б?аОаВ аАаВб?аОб?аИаЗаАб?аИаИ, аЕб?аЛаИ аПб?аОб?аЕб?б?аОаВ аНаЕ б?аВб?аАб?аЕб? squid аБб?аДаЕб? аЗаАаДаЕб?аЖаИаВаАб?б?
# аАаВб?аОб?аИаЗаАб?аИб?, аПаОаКаА аНаЕ аЗаАаПаИб?аЕб? аПб?аЕаДаИаДб?б?б?б? аВ аЛаОаГ
auth_param ntlm children 30
# аПб?б?б? аК аПб?аОаГб?аАаМаМаЕ аАаВб?аОб?аИаЗаАб?аИаИ basic
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
# аЇаИб?аЛаО аПб?аОб?аЕб?б?аОаВ аДаЛб? аБаАаЗаОаВаОаЙ аАаВаОб?аИаЗаАб?аИаИ - аЗаНаАб?аИб?аЕаЛб?аНаО аМаЕаНб?б?аЕ
# б?аЕаМ аДаЛб? аОб?аНаОаВаНаОаЙ, б?.аК. б?аАаКаИб? б?аЗаЕб?аОаВ/аПб?аОаГб?аАаМаМ аНаЕаМаНаОаГаО
auth_param basic children 5
# аЗаАаГаОаЛаОаВаОаК аОаКаНаА аВб?аВаОаДаИаМб?аЙ аПб?аИ аЗаАаПб?аОб?аЕ аАаВб?аОб?аИаЗаАб?аИаИ
auth_param basic realm Proxy-server for my.domain.ru
# аВб?аЕаМб? аЖаИаЗаНаИ аАаВб?аОб?аИаЗаАб?аИаИ - б?аКаОаЛб?аКаО аКб?б?аИб?аОаВаАб?б? аДаАаНаНб?аЕ
# (аДаЛб? аБаАаЗаОаВаОаЙ аАаВб?аОб?аИаЗаАб?аИаИ)
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
# =========== аЁаПаИб?аОаК аПб?аАаВаИаЛ ================
# аПб?аАаВаИаЛаО аДаЛб? аОаПб?аЕаДаЕаЛаЕаНаИб? cgi-bin
acl QUERY urlpath_regex cgi-bin \?
#===================
# а?б?аАаИаЛаА аДаОб?б?б?аПаА аК аПаОб?б?аАаМ
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # SSL
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
#===================
#acl localhost src 127.0.0.1/32
#acl to_localhost dst 127.0.0.0/8
#acl manager proto cache_object
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 10.0.0.0/255.255.0.0
# аПб?аАаВаИаЛаО аОаПб?аЕаДаЕаЛб?б?б?аЕаЕ б?аПаИб?аОаК аЛаОаКаАаЛб?аНб?б? аАаДб?аЕб?аОаВ аИ аДаОаМаЕаНаОаВ
acl local dstdomain .domain.ru
# аПб?аАаВаИаЛаО аДаЛб? аПаОаЛб?аЗаВаОб?аАаЛаЕаЙ аБаЕаЗ аАаВб?аОб?аИаЗаАб?аИаИ
acl no_auth src "/usr/local/etc/squid/db/no_auth.txt"
#acl acl_kav_GET method GET
#+++++++++++++++++++
#===================
# а?б?аБаИаМаОаЕ аМаЕб?б?аО sams
# TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_default_time time MTWHFAS 00:00-23:00
acl _sams_4ad3246cd45d8 proxy_auth "/usr/local/etc/squid/4ad3246cd45d8.sams"
acl _sams_4ad3246cd45d8_time time MTWHFAS 00:00-23:59
# =========== а?аОб?б?б?аП ================
# а?б?аГаАаНаИаЗаАб?аИб? аДаОб?б?б?аПаА
http_access allow manager localhost
http_access deny manager
http_access allow localhost
# а?б?б?аКаАаЕаМ аВб?аЕб? аИаЗ аЛаОаКаАаЛб?аНаОаЙ б?аЕб?аИ аНаА аЛаОаКаАаЛб?аНб?аЕ IP аИ аДаОаМаЕаНб?
# а?аОаКаАаЛб?аНб?аЕ б?аЕб?аИ аНб?аЖаНаО аПб?аОаПаИб?б?аВаАб?б? аИ аВ sams, аИаНаАб?аЕ аБб?аДб?б? аПб?аОаБаЛаЕаМб? б? аАаВб?аОб?аИаЗаАб?аИаЕаЙ
http_access allow all local
# аДаОб?б?б?аП б?аОаЛб?аКаО аПаО аОаПб?аЕаДаЕаЛаЕаНаНб?аМ аПаОб?б?аАаМ
http_access deny !Safe_ports
# аПб?б?аКаАаЕаМ б?аЕб?, аКб?аО аНаЕ аАаВб?аОб?аИаЗб?аЕб?б?б?
http_access allow no_auth
#+++++++++++++++++++
#===================
# а?б?аОб?аОаЕ аЛб?аБаИаМаОаЕ аМаЕб?б?аО sams
# TAG: http_access
http_access allow _sams_default _sams_default_time
http_access allow _sams_4ad3246cd45d8 _sams_4ad3246cd45d8_time
# б?аЕаЖаИаМ аВб?аЕб?
http_access deny all
#============= Rejik ===============
# TAG: url_rewrite_program
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf
#=========== а?аАб?б?б?аОаЙаКаИ ==============
# аПаОб?б? аПб?аОаКб?аИ
http_port 8080
append_domain .my.domain.ru
# аНаЕ аБб?аАб?б? cgi-bin б? б?аОб?аЕаДаЕаЙ
hierarchy_stoplist cgi-bin ?
# а?аАаПб?аЕб? аКаЕб?аИб?аОаВаАаНаИб? cgi-bin
no_cache deny QUERY
# б?аАаЗаМаЕб? аКаЕб?аА, б?аЕаКаОаМаЕаНаДб?аЕб?б?б? б?б?аАаВаИб?б? б?б?аЕб?б? аПаАаМб?б?аИ
cache_mem 512 MB
# а?аИб?аЕаКб?аОб?аИб? аДаЛб? аКб?б?аА, б?аИб?аЛаА - б?аАаЗаМаЕб? аКб?б?аА аВ Mb,
# б?аИб?аЛаО аДаИб?аЕаКб?аОб?аИаЙ аПаЕб?аВаОаГаО б?б?аОаВаНб?, б?аИб?аЛаО аДаИб?аЕаКб?аОб?аИаЙ аВб?аОб?аОаГаО
# б?б?аОаВаНб? аВ аКаАаЖаДаОаЙ аДаИб?аЕаКб?аОб?аИаИ аПаЕб?аВаОаГаО.
cache_dir ufs /usr/local/squid/cache 4096 64 256
# б?аАб?аПаОаЛаОаЖаЕаНаИаЕ аИ аНаАб?б?б?аОаКаИ аЛаОаГаОаВ
access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
cache_store_log none
logfile_rotate 10
#а?аИб?аЕаКб?аОб?аИб? б?аО б?б?б?аАаНаИб?аАаМаИ аОб?аИаБаОаК
error_directory /usr/local/etc/squid/errors/Russian-1251
# а?аЕб?аАаЛаИаЗаАб?аИб? аЛаОаГаОаВ, ALL - аВб?аЕ б?аЕаКб?аИаИ, 1-9 б?б?аОаВаЕаНб? аДаЕб?аАаЛаИаЗаАб?аИаИ
debug_options ALL,2
coredump_dir /usr/local/squid/cache
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
# Added by Kaspersky Anti-Virus installer
#icap_enable on
#icap_send_client_ip on
#icap_preview_enable off
#icap_service is_kav_req reqmod_precache 0 icap://localhost:1344/av/reqmod
#icap_service is_kav_resp respmod_precache 0 icap://localhost:1344/av/respmod
#icap_class ic_kav_req is_kav_req
#icap_class ic_kav_resp is_kav_resp
#icap_access ic_kav_resp allow all
#icap_access ic_kav_req allow all !acl_kav_GET !local
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with NTLM
Обресуй полностью ситуацию. Режик стоит? Без самса сквид работает? В самсе тест домена проходит? Куча вариантов, опиши подробнее.
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
режик ставил согласно инструкции, ошибок вроде при установке не было,
- работает, на сколько я понял, когда конфиг сквида был по минимуму, работало,Без самса сквид работает?
- если правильно понял, то да, т.е. в интерефейсе SAMS я вижу всех кользователей AD, добавляю их в разные группы, меняю разные опции, но срабатывает только одна(надеюсь), это когда я запрещаю доступ пользователю, то на странице блокировки появляется надпись пользователь отключен...В самсе тест домена проходит?
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
режик ставил согласно инструкции, ошибок вроде при установке не было,
- работает, на сколько я понял, когда конфиг сквида был по минимуму(без упоминаний о самсе), работало,Без самса сквид работает?
- если правильно понял, то да, т.е. в интерефейсе SAMS я вижу всех кользователей AD, добавляю их в разные группы, меняю разные опции, но срабатывает только одна(надеюсь), это когда я запрещаю доступ пользователю, то на странице блокировки появляется надпись пользователь отключен...В самсе тест домена проходит?
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
когда так: - происходит то что описывал выше,
когда так: - начинает пускать везде и не блокирует приотключении пользователя в SAMS, но трафик весь считается правильно,
когда так: так же как когда так
Код: Выделить всё
auth_param basic realm Proxy-server for my.domain.ru
когда так:
Код: Выделить всё
auth_param basic realm Proxy-server for настоящее_название_домена.ru
когда так:
Код: Выделить всё
#auth_param basic realm Proxy-server for my.domain.ru
Код: Выделить всё
auth_param basic realm Proxy-server for настоящее_название_домена.ru
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
делал различные манипуляциями с доменным именем в конфиге сквида, получал различные результаты, но нормального так и не получил, может быть дело и не в этом конфиге, но у меня созрел вопрос, сразу оговорюсь, специалист по UNIX'ам из меня плохой, если мой домен напрмер: durak.ru как и куда я его должен написать в конфиг сквида??????
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
кажется я его доломал, теперь он мне выдаёт что прокси отказывается принимать запрос
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
Почему бы не использовать стандартный конфиг сквида поправить его под себя ??AndreyDPro84 писал(а):кажется я его доломал, теперь он мне выдаёт что прокси отказывается принимать запрос
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with NTLM
Все это не то.AndreyDPro84 писал(а):когда так:- происходит то что описывал выше,Код: Выделить всё
auth_param basic realm Proxy-server for my.domain.ru
когда так:- начинает пускать везде и не блокирует приотключении пользователя в SAMS, но трафик весь считается правильно,Код: Выделить всё
auth_param basic realm Proxy-server for настоящее_название_домена.ru
когда так:так же как когда такКод: Выделить всё
#auth_param basic realm Proxy-server for my.domain.ru
Код: Выделить всё
auth_param basic realm Proxy-server for настоящее_название_домена.ru
Код: Выделить всё
auth_param basic realm
Если делаешь с самсом, то в сквиде должен быть указан только хелпер,
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
Проверь winbind
Код: Выделить всё
wbinfo -a user%pass
Код: Выделить всё
wbinfo -a MY\\user%pass
ответ должен быть примерно такой
Код: Выделить всё
plaintext password authentication succeeded
challenge/response password authentication succeeded
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
Код: Выделить всё
/usr/home/admin/>wbinfo -a user%pass
plaintext password authentication succeeded
challenge/response password authentication succeeded
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with NTLM
Тогда попробуй добавить в сквид что-то типаAndreyDPro84 писал(а):Код: Выделить всё
/usr/home/admin/>wbinfo -a user%pass plaintext password authentication succeeded challenge/response password authentication succeeded
Код: Выделить всё
acl users proxy_auth "/usr/local/etc/squid/db/users.txt"
http_access allow users
В сам файл /usr/local/etc/squid/db/users.txt добавь пользователя и попробуй под ним зайти в нет. И смотри, что в логах сквида в этот момент творится.
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
squid не запускается
- AndreyDPro84
- рядовой
- Сообщения: 27
- Зарегистрирован: 2009-10-07 9:40:39
- Контактная информация:
Re: Обсуждение SQUID+SAMS with NTLM
может есть у кого пример полного конфига сквида под эту http://www.lissyara.su/?id=1808 статью ??, на сколько я понял проблема только в нём так как с доменом машинка общается нормально, видит все группы, всех пользователей, в SAMS появляются новые пользователи недавно заведённые мною в AD...
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with NTLM
Раз не запускается, посмотри, что в логах, за тебя никто не разберется.AndreyDPro84 писал(а):squid не запускается