Обсуждение SQUID+SAMS with NTLM

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Cancer » 2009-09-30 7:13:01

Для начала правильно вопрос оформите!, покажите выводы конфигов итд итп

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Pumbey
ефрейтор
Сообщения: 53
Зарегистрирован: 2007-08-29 17:06:55
Откуда: Санкт-Петербург

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Pumbey » 2009-10-06 22:04:33

Здраствуйте.
Обновил самбу до 3.2 и получил массу приятных и не очень сюрпризов

Самый неприятный

Код: Выделить всё

winbindd[50722]: [2009/10/06 22:46:46,  0] winbindd/winbindd_cache.c:initialize_
winbindd[50722]:   initialize_winbindd_cache: clearing cache and re-creating wit
smbd[50716]: [2009/10/06 22:46:47,  0] lib/util_sock.c:open_socket_in(1300)
smbd[50716]:   open_socket_in(): socket() call failed: Protocol not supported
Нашел 2 варианта решения, которые помогли окружающий, но мне не пожелали.
Советовали
1 Добавить smb ports = 445 - и все ок
2 Закоментить netbios name = и тоже как бы все ок.
Пробовал в разных вариантах - не помогло

Код: Выделить всё

[global]
        workgroup = DOMAIN
        security = ADS
        realm = DOMAIN.RU
        netbios name = Gateway
        interfaces = em0
        log level = 10
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        server string = FileServer
        auth methods = winbind
        map to guest = Bad User
        password server = 192.168.0.200
        client NTLMv2 auth = Yes
        client signing = Yes
        disable spoolss = Yes
        preferred master = No
        local master = No
        domain master = No
        dns proxy = No
        hosts allow = 192.168.0., 127.
        interfaces = 192.168.0.101/24, 127.0.0.1/8
        map acl inherit = Yes
        case sensitive = No
        nt acl support = yes
        os level = 10
        socket options = TCP_NODELAY
#        load printers = yes
#        printing = cups
И немного о себе

Код: Выделить всё

uname -a
FreeBSD gateway.domain.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Tue Sep 22 23:09:50 MSD 2009 

openldap-client-2.3.43 
samba-3.2.14
krb5-1.6.3_7 

qwertykma
мл. сержант
Сообщения: 93
Зарегистрирован: 2009-06-19 13:14:04
Откуда: почти С-Пб

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение qwertykma » 2009-10-09 8:40:05

Что-то у меня не получается. Самба видит пользователей и группы. т.е.

Код: Выделить всё

wbinfo -g
выдет ответ

Код: Выделить всё

wbinfo -g
то-же все правильно, все как есть,
а

Код: Выделить всё

Тестировать ответ PDC
возвращает пустую страницу.
и самс не видит пользователей.
все конфиги как 2 месяца назад делал. 8(

shuric
рядовой
Сообщения: 18
Зарегистрирован: 2007-09-07 1:37:27

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение shuric » 2009-10-11 20:24:40

У меня было такое, в настройках самса (веб интерфейсе ) указал путь к wbinfo
/usr/local/bin/
и заработало.

Decard
проходил мимо

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Decard » 2009-10-12 5:11:32

Добрый день коллеги :)
Долго гуглил, но так ничего и не нашел.
Конфа: squid (ntlm)+sams+rejik+kasper, комп HP ML110 (Xeon 3065, 3gb) + дополнительная сетевая карточка

Информация по системе:
# uname -a

Код: Выделить всё

FreeBSD srv-250.my.domain.ru 6.4-RELEASE FreeBSD 6.4-RELEASE #0: Wed Nov 26 08:37:42 UTC 2008     root@palmer.cse.buffalo.edu:/usr/obj/usr/src/sys/SMP  amd64
# ifconfig

Код: Выделить всё

bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>
	inet 10.0.4.250 netmask 0xffffff00 broadcast 10.0.4.255
	ether 00:1f:29:d1:9f:ec
	media: Ethernet autoselect (1000baseTX <full-duplex>)
	status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	options=8<VLAN_MTU>
	inet 192.168.1.2 netmask 0xffffff00 broadcast 192.168.1.255
	ether 00:80:48:17:9a:96
	media: Ethernet autoselect (100baseTX <full-duplex>)
	status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
	inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3 
	inet6 ::1 prefixlen 128 
	inet 127.0.0.1 netmask 0xff000000 
bge0 смотрит в локалку, rl0 в модем, который роутером, не бриджем

# pkg_info

Код: Выделить всё

apache-1.3.41_1     The extremely popular Apache http server. Very fast, very c
kav4proxy-5.5_51    Kaspersky Anti-Virus for Proxy Server
mpd-5.3             Multi-link PPP daemon based on netgraph(4)
mysql-client-5.0.86 Multithreaded SQL database (client)
mysql-server-5.0.86 Multithreaded SQL database (server)
openldap-client-2.4.18 Open source LDAP client implementation
rejik-3.2.2         A squid redirector used for blocking unwanted content
samba-3.0.37,1      A free SMB and CIFS client and server for UNIX
sams-1.0.4,1        Squid 2.x Accounting Management System
squid-3.0.19        HTTP Caching Proxy
# cat /usr/local/etc/squid/squid.conf

Код: Выделить всё

# created by SAMS _sams_ 2009-10-11 10:55:34
# squid.conf

# =========== Авторизация ================
# Описываем процесс авторизации, сначала авторизируем по ntlm, если ntlm не проходит,
# наппример у клиента unix или он не принадлежит к нашему домену, то запрашивается
# basic авторизация по имени и паролю

# путь к программе авторизации ntlm
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

# количество процессов авторизации, если процессов не хвтатет squid будет задерживать
# авторизацию, пока не запишет предидущую в лог
auth_param ntlm children 30

# путь к программе авторизации basic
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic

# Число процессов для базовой аворизации - значительно меньше
# чем для основной, т.к. таких юзеров/программ немного
auth_param basic children 5

# заголовок окна выводимый при запросе авторизации
auth_param basic realm Proxy-server for my.domain.ru

# время жизни авторизации - сколько кэшировать данные
# (для базовой авторизации)
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off


# =========== Список правил ================

# правило для определения cgi-bin
acl QUERY urlpath_regex cgi-bin \?

#===================
# Праила доступа к портам
acl Safe_ports port 80		# http
acl Safe_ports port 20          # ftp
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# SSL
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

#===================
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl manager proto cache_object

# правило определяющее список локальных адресов и доменов
acl local dstdomain .domain.ru

# правило для пользвоталей без авторизации
acl no_auth src "/usr/local/etc/squid/db/no_auth.txt"
acl acl_kav_GET method GET

#+++++++++++++++++++
#===================
# Любимое место sams
#  TAG: acl
acl _sams_4acaaaeb81a15 proxy_auth "/usr/local/etc/squid/4acaaaeb81a15.sams" 
acl _sams_4acaaaeb81a15_time time MTWHFAS 00:00-23:59
acl _sams_4acaab0029a5f proxy_auth "/usr/local/etc/squid/4acaab0029a5f.sams" 
acl _sams_4acaab0029a5f_time time MTWHFAS 00:00-23:59
acl _sams_4acaab171c6ca proxy_auth "/usr/local/etc/squid/4acaab171c6ca.sams" 
acl _sams_4acaab171c6ca_time time MTWHFAS 00:00-23:59
acl _sams_4acaab3c5a4b0 proxy_auth "/usr/local/etc/squid/4acaab3c5a4b0.sams" 
acl _sams_4acaab3c5a4b0_time time MTWHFAS 00:00-23:59
acl _sams_4acaab4e57f69 proxy_auth "/usr/local/etc/squid/4acaab4e57f69.sams" 
acl _sams_4acaab4e57f69_time time MTWHFAS 00:00-23:59
acl _sams_local_ip dst "/usr/local/etc/squid/local_ip.sams"
acl _sams_disabled_id proxy_auth "/usr/local/etc/squid/disabled_id.sams"



# =========== Доступ ================
# Организация доступа

http_access allow manager localhost
http_access deny manager

http_access allow localhost

# Пускаем всех из локальной сети на локальные IP и домены
# Локальные сети нужно прописывать и в sams, иначе будут проблемы с авторизацией
http_access allow all local

# доступ только по определенным портам
http_access deny !Safe_ports

# пускаем тех, кто не авторизуется
http_access allow no_auth

#+++++++++++++++++++
#===================
# Второе любимое место sams
#  TAG: http_access
http_access allow _sams_4acaaaeb81a15  _sams_4acaaaeb81a15_time  
http_access allow _sams_4acaab0029a5f  _sams_4acaab0029a5f_time  
http_access allow _sams_4acaab171c6ca  _sams_4acaab171c6ca_time  
http_access allow _sams_4acaab3c5a4b0  _sams_4acaab3c5a4b0_time  
http_access allow _sams_4acaab4e57f69  _sams_4acaab4e57f69_time  
http_access deny _sams_disabled_id !_sams_local_ip 


# режим всех
http_access deny all

#============= Rejik ===============
#  TAG: url_rewrite_program
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf



#=========== Настройки ==============

# порт прокси
http_port 8080

append_domain .my.domain.ru

# не брать cgi-bin у соседей
hierarchy_stoplist cgi-bin ?

# Запрет кеширования cgi-bin
no_cache deny QUERY

# размер кеша, рекомендуется ставить треть памяти
cache_mem 1024 MB

# Директория для кэша, числа - размер кэша в Mb,
# число директорий первого уровня, число директорий второго
# уровня в каждой директории первого.
cache_dir ufs /usr/local/squid/cache 5000 64 512

# расположение и настроки логов
access_log /var/log/squid/access.log squid
cache_log /var/log/squid/cache.log
cache_store_log none
logfile_rotate 10

#Директория со страницами ошибок
error_directory /usr/local/etc/squid/errors/Russian-1251

# Детализация логов, ALL - все секции, 1-9 уровень детализации
debug_options ALL,2

coredump_dir /usr/local/squid/cache

refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320


# Added by Kaspersky Anti-Virus installer
icap_enable on
icap_send_client_ip on
icap_preview_enable off
icap_service is_kav_req reqmod_precache 0 icap://localhost:1344/av/reqmod
icap_service is_kav_resp respmod_precache 0 icap://localhost:1344/av/respmod
icap_class ic_kav_req is_kav_req
icap_class ic_kav_resp is_kav_resp
icap_access ic_kav_resp allow all
icap_access ic_kav_req allow all !acl_kav_GET !local
# cat /usr/local/etc/smb.conf

Код: Выделить всё

[global]

   workgroup = MY
   server string = Proxy Server
   security = ads
   hosts allow = 192.168.1. 10.0.4. 127.
   log file = /var/log/samba/log.%m
   max log size = 50
   realm = MY.DOMAIN.RU
   interfaces = 192.168.1.0/24 10.0.4.0/24 
   local master = no
   wins support = no
#   dns proxy = yes
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   load printers = no
   disable spoolss = yes
   show add printer wizard = No
   winbind use default domain = no
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes
   winbind separator = +
# cat /etc/krb5.conf

Код: Выделить всё

[libdefaults]
        default_realm = MY.DOMAIN.RU
        clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
                        host = {
                        rcmd = host
                        ftp = ftp
    	                        }
                        plain = {
                        something = something-else
	                        }
                        }

[realms]
        MY.DOMAIN.RU = {
        kdc = 10.0.4.249
        admin_server = 10.0.4.249
        kpasswd_server = 10.0.4.249
                    }

[domain_realm]
        .my.domain.ru = MY.DOMAIN.RU
# kinit

Код: Выделить всё

admin@MY.DOMAIN.RU's Password: 
kinit: NOTICE: ticket renewable lifetime is 1 week
# klist

Код: Выделить всё

Credentials cache: FILE:/tmp/krb5cc_0
        Principal: admin@MY.DOMAIN.RU

  Issued           Expires          Principal                   
Oct 12 10:42:03  Oct 12 20:42:03  krbtgt/MY.DOMAIN.RU@MY.DOMAIN.RU
# getfacl /var/db/samba/winbindd_privileged/

Код: Выделить всё

#file:/var/db/samba/winbindd_privileged/
#owner:0
#group:0
user::rwx
group::r-x
group:squid:r-x
mask::r-x
other::---
Собственно проблема, при загрузке сервочка squid думает с минуту, после чего запускается или нет, как повезет. В логах такие ошибки:
# cat /var/log/messages

Код: Выделить всё

Starting new helpers
2009/10/02 18:08:36| helperOpenServers: Starting 13/25 'ntlm_auth' processes
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
  could not obtain winbind domain name!
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
  could not obtain winbind domain name!
  could not obtain winbind domain name!
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
  could not obtain winbind domain name!
[2009/10/02 18:08:36, 0] utils/ntlm_auth.c:get_winbind_domain(146)
  could not obtain winbind domain name!
Если squid не стартанул руками запускается без проблем.
Когда squid запущен все работает без каких бы то нибыло проблем. Пробовал разные версии самбы, не помогло. Куда смотреть не знаю :(

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение snorlov » 2009-10-12 9:39:35

Я бы
1. в smb.conf в interfaces добавил 127.0.0.1
2. У squid'а указал бы где лежит его pid и на каком адресе/интерфейсе он принимает запросы
3. В скрипте запуска squid'а принудительно указал бы, что он запускается после winbind(samba)

Гость
проходил мимо

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Гость » 2009-10-12 17:32:32

всё настроил по инструкции, но не совсем понял что должно быть быть в конфиге сквида, выложите пожалуйста образец....

Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-12 21:48:03

всё настроил по инструкции, но не совсем понял что должно быть быть в конфиге сквида, выложите пожалуйста образец....
- это писал я, вообщем фишка в том что хожу в инет, прокся всё нормально отдаёт, в SAMS вижу доменных пользователей, конфигурирую настройки и т.д., но прокси работает отдельно, независимо от того поставил я галочки, трафик и т.д. в SAMS

Код: Выделить всё

# created by SAMS _sams_ 2009-10-12 23:30:37
http_port 3128
#icp_port 0
#hierarchy_stoplist cgi-bin ?
#acl QUERY urlpath_regex cgi-bin \?
#no_cache deny QUERY
cache_mem 128 MB
#maximum_object_size 8092 KB
#maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid/cache 2048 64 256
access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
cache_mgr admin@domain.ru
visible_hostname proxy.domain.ru
#tcp_outgoing_address 222.222.222.222


acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 10.0.0.0/255.255.0.0

http_access deny manager all
http_access allow allowed_hosts
http_access deny all

icp_access allow allowed_hosts
icp_access deny all

miss_access allow allowed_hosts
miss_access deny all


refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
file "/usr/local/etc/squid/squid.conf", 73 lines


acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast


acl apache rep_header Server ^Apache
broken_vary_encoding allow apache


proxy


coredump_dir /usr/local/squid/cache





http_access deny all



auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off



url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf


Decard
проходил мимо

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Decard » 2009-10-13 3:36:20

AndreyDPro84 писал(а):
всё настроил по инструкции, но не совсем понял что должно быть быть в конфиге сквида, выложите пожалуйста образец....


В конфиге должны быть теги, иначе sams не знает куда писать, выше в моем конфиге глянь какие.
snorlov писал(а):Я бы
1. в smb.conf в interfaces добавил 127.0.0.1
2. У squid'а указал бы где лежит его pid и на каком адресе/интерфейсе он принимает запросы
3. В скрипте запуска squid'а принудительно указал бы, что он запускается после winbind(samba)
1. Добавил
2. Указал pid файл, запросы принмать видимо так - http_port 10.0.4.250:8080
3. Прописал

Вроде решил проблему, поковырял в конфе самбы, вот, что вышло:
# testparm

Код: Выделить всё

Load smb config files from /usr/local/etc/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
	dos charset = cp866
	unix charset = koi8-r
	display charset = koi8-r
	workgroup = MY
	realm = MY.DOMAIN.RU
	server string = Proxy Server
	interfaces = bge0
	bind interfaces only = Yes
	security = ADS
	allow trusted domains = No
	log level = 3
	log file = /var/log/samba/log.%m
	max log size = 500
	disable netbios = Yes
	load printers = No
	disable spoolss = Yes
	show add printer wizard = No
	local master = No
	dns proxy = No
	idmap uid = 10000-20000
	idmap gid = 10000-20000
	winbind use default domain = Yes
	hosts allow = 10.0.4., 127.
	hosts deny = all
	case sensitive = No
Пока все ок.

Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-13 14:49:43

вроде заработало, но как то криво, при запросе любой страницы выдаётся
Пользователь Иванов Иван Иванович (ivanov.ii)

Доступ к URL http://caravan.ru/services/register/ запрещен!!!
Пользователь ivanov.ii

Доступ к прокси-серверу запрещен
, а если пользователю действительно запретить вход, то выдаётся страничка с пометкой, что запрещён вход потому что вас отключили...

Гость
проходил мимо

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Гость » 2009-10-14 5:31:31

AndreyDPro84 писал(а):вроде заработало, но как то криво, при запросе любой страницы выдаётся
Пользователь Иванов Иван Иванович (ivanov.ii)

Доступ к URL http://caravan.ru/services/register/ запрещен!!!
Пользователь ivanov.ii

Доступ к прокси-серверу запрещен
, а если пользователю действительно запретить вход, то выдаётся страничка с пометкой, что запрещён вход потому что вас отключили...
Покажи новый конфиг сквида

Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-14 13:54:54

Код: Выделить всё

# created by SAMS _sams_ 2009-10-13 16:35:42



# =========== а?аВб?аОб?аИаЗаАб?аИб? ================
# а?аПаИб?б?аВаАаЕаМ аПб?аОб?аЕб?б? аАаВб?аОб?аИаЗаАб?аИаИ, б?аНаАб?аАаЛаА аАаВб?аОб?аИаЗаИб?б?аЕаМ аПаО ntlm, аЕб?аЛаИ ntlm аНаЕ аПб?аОб?аОаДаИб?,
# аНаАаПаПб?аИаМаЕб? б? аКаЛаИаЕаНб?аА unix аИаЛаИ аОаН аНаЕ аПб?аИаНаАаДаЛаЕаЖаИб? аК аНаАб?аЕаМб? аДаОаМаЕаНб?, б?аО аЗаАаПб?аАб?аИаВаАаЕб?б?б?
# basic аАаВб?аОб?аИаЗаАб?аИб? аПаО аИаМаЕаНаИ аИ аПаАб?аОаЛб?

# аПб?б?б? аК аПб?аОаГб?аАаМаМаЕ аАаВб?аОб?аИаЗаАб?аИаИ ntlm
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

# аКаОаЛаИб?аЕб?б?аВаО аПб?аОб?аЕб?б?аОаВ аАаВб?аОб?аИаЗаАб?аИаИ, аЕб?аЛаИ аПб?аОб?аЕб?б?аОаВ аНаЕ б?аВб?аАб?аЕб? squid аБб?аДаЕб? аЗаАаДаЕб?аЖаИаВаАб?б?
# аАаВб?аОб?аИаЗаАб?аИб?, аПаОаКаА аНаЕ аЗаАаПаИб?аЕб? аПб?аЕаДаИаДб?б?б?б? аВ аЛаОаГ
auth_param ntlm children 30

# аПб?б?б? аК аПб?аОаГб?аАаМаМаЕ аАаВб?аОб?аИаЗаАб?аИаИ basic
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic

# аЇаИб?аЛаО аПб?аОб?аЕб?б?аОаВ аДаЛб? аБаАаЗаОаВаОаЙ аАаВаОб?аИаЗаАб?аИаИ - аЗаНаАб?аИб?аЕаЛб?аНаО аМаЕаНб?б?аЕ
# б?аЕаМ аДаЛб? аОб?аНаОаВаНаОаЙ, б?.аК. б?аАаКаИб? б?аЗаЕб?аОаВ/аПб?аОаГб?аАаМаМ аНаЕаМаНаОаГаО
auth_param basic children 5

# аЗаАаГаОаЛаОаВаОаК аОаКаНаА аВб?аВаОаДаИаМб?аЙ аПб?аИ аЗаАаПб?аОб?аЕ аАаВб?аОб?аИаЗаАб?аИаИ
auth_param basic realm Proxy-server for my.domain.ru

# аВб?аЕаМб? аЖаИаЗаНаИ аАаВб?аОб?аИаЗаАб?аИаИ - б?аКаОаЛб?аКаО аКб?б?аИб?аОаВаАб?б? аДаАаНаНб?аЕ
# (аДаЛб? аБаАаЗаОаВаОаЙ аАаВб?аОб?аИаЗаАб?аИаИ)
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off



# =========== аЁаПаИб?аОаК аПб?аАаВаИаЛ ================

# аПб?аАаВаИаЛаО аДаЛб? аОаПб?аЕаДаЕаЛаЕаНаИб? cgi-bin
acl QUERY urlpath_regex cgi-bin \?

#===================
# а?б?аАаИаЛаА аДаОб?б?б?аПаА аК аПаОб?б?аАаМ
acl Safe_ports port 80      # http
acl Safe_ports port 20          # ftp
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # SSL
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT

#===================
#acl localhost src 127.0.0.1/32
#acl to_localhost dst 127.0.0.0/8
#acl manager proto cache_object


acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl allowed_hosts src 10.0.0.0/255.255.0.0



# аПб?аАаВаИаЛаО аОаПб?аЕаДаЕаЛб?б?б?аЕаЕ б?аПаИб?аОаК аЛаОаКаАаЛб?аНб?б? аАаДб?аЕб?аОаВ аИ аДаОаМаЕаНаОаВ
acl local dstdomain .domain.ru

# аПб?аАаВаИаЛаО аДаЛб? аПаОаЛб?аЗаВаОб?аАаЛаЕаЙ аБаЕаЗ аАаВб?аОб?аИаЗаАб?аИаИ
acl no_auth src "/usr/local/etc/squid/db/no_auth.txt"
#acl acl_kav_GET method GET

#+++++++++++++++++++
#===================
# а?б?аБаИаМаОаЕ аМаЕб?б?аО sams
#  TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams" 
acl _sams_default_time time MTWHFAS 00:00-23:00
acl _sams_4ad3246cd45d8 proxy_auth "/usr/local/etc/squid/4ad3246cd45d8.sams" 
acl _sams_4ad3246cd45d8_time time MTWHFAS 00:00-23:59



# =========== а?аОб?б?б?аП ================
# а?б?аГаАаНаИаЗаАб?аИб? аДаОб?б?б?аПаА

http_access allow manager localhost
http_access deny manager

http_access allow localhost


# а?б?б?аКаАаЕаМ аВб?аЕб? аИаЗ аЛаОаКаАаЛб?аНаОаЙ б?аЕб?аИ аНаА аЛаОаКаАаЛб?аНб?аЕ IP аИ аДаОаМаЕаНб?
# а?аОаКаАаЛб?аНб?аЕ б?аЕб?аИ аНб?аЖаНаО аПб?аОаПаИб?б?аВаАб?б? аИ аВ sams, аИаНаАб?аЕ аБб?аДб?б? аПб?аОаБаЛаЕаМб? б? аАаВб?аОб?аИаЗаАб?аИаЕаЙ
http_access allow all local

# аДаОб?б?б?аП б?аОаЛб?аКаО аПаО аОаПб?аЕаДаЕаЛаЕаНаНб?аМ аПаОб?б?аАаМ
http_access deny !Safe_ports

# аПб?б?аКаАаЕаМ б?аЕб?, аКб?аО аНаЕ аАаВб?аОб?аИаЗб?аЕб?б?б?
http_access allow no_auth

#+++++++++++++++++++
#===================
# а?б?аОб?аОаЕ аЛб?аБаИаМаОаЕ аМаЕб?б?аО sams
#  TAG: http_access
http_access allow _sams_default  _sams_default_time  
http_access allow _sams_4ad3246cd45d8  _sams_4ad3246cd45d8_time  


# б?аЕаЖаИаМ аВб?аЕб?
http_access deny all

#============= Rejik ===============
#  TAG: url_rewrite_program
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf






#=========== а?аАб?б?б?аОаЙаКаИ ==============

# аПаОб?б? аПб?аОаКб?аИ
http_port 8080

append_domain .my.domain.ru

# аНаЕ аБб?аАб?б? cgi-bin б? б?аОб?аЕаДаЕаЙ
hierarchy_stoplist cgi-bin ?

# а?аАаПб?аЕб? аКаЕб?аИб?аОаВаАаНаИб? cgi-bin
no_cache deny QUERY

# б?аАаЗаМаЕб? аКаЕб?аА, б?аЕаКаОаМаЕаНаДб?аЕб?б?б? б?б?аАаВаИб?б? б?б?аЕб?б? аПаАаМб?б?аИ
cache_mem 512 MB

# а?аИб?аЕаКб?аОб?аИб? аДаЛб? аКб?б?аА, б?аИб?аЛаА - б?аАаЗаМаЕб? аКб?б?аА аВ Mb,
# б?аИб?аЛаО аДаИб?аЕаКб?аОб?аИаЙ аПаЕб?аВаОаГаО б?б?аОаВаНб?, б?аИб?аЛаО аДаИб?аЕаКб?аОб?аИаЙ аВб?аОб?аОаГаО
# б?б?аОаВаНб? аВ аКаАаЖаДаОаЙ аДаИб?аЕаКб?аОб?аИаИ аПаЕб?аВаОаГаО.
cache_dir ufs /usr/local/squid/cache 4096 64 256

# б?аАб?аПаОаЛаОаЖаЕаНаИаЕ аИ аНаАб?б?б?аОаКаИ аЛаОаГаОаВ
access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
cache_store_log none
logfile_rotate 10

#а?аИб?аЕаКб?аОб?аИб? б?аО б?б?б?аАаНаИб?аАаМаИ аОб?аИаБаОаК
error_directory /usr/local/etc/squid/errors/Russian-1251

# а?аЕб?аАаЛаИаЗаАб?аИб? аЛаОаГаОаВ, ALL - аВб?аЕ б?аЕаКб?аИаИ, 1-9 б?б?аОаВаЕаНб? аДаЕб?аАаЛаИаЗаАб?аИаИ
debug_options ALL,2

coredump_dir /usr/local/squid/cache

refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern .      0   20%   4320


# Added by Kaspersky Anti-Virus installer
#icap_enable on
#icap_send_client_ip on
#icap_preview_enable off
#icap_service is_kav_req reqmod_precache 0 icap://localhost:1344/av/reqmod
#icap_service is_kav_resp respmod_precache 0 icap://localhost:1344/av/respmod
#icap_class ic_kav_req is_kav_req
#icap_class ic_kav_resp is_kav_resp
#icap_access ic_kav_resp allow all
#icap_access ic_kav_req allow all !acl_kav_GET !local
лог является 100% точной копией

Decard
проходил мимо

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Decard » 2009-10-15 11:18:52

Обресуй полностью ситуацию. Режик стоит? Без самса сквид работает? В самсе тест домена проходит? Куча вариантов, опиши подробнее.

Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-15 12:00:57

режик ставил согласно инструкции, ошибок вроде при установке не было,
Без самса сквид работает?
- работает, на сколько я понял, когда конфиг сквида был по минимуму, работало,
В самсе тест домена проходит?
- если правильно понял, то да, т.е. в интерефейсе SAMS я вижу всех кользователей AD, добавляю их в разные группы, меняю разные опции, но срабатывает только одна(надеюсь), это когда я запрещаю доступ пользователю, то на странице блокировки появляется надпись пользователь отключен...

Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-15 12:02:27

режик ставил согласно инструкции, ошибок вроде при установке не было,
Без самса сквид работает?
- работает, на сколько я понял, когда конфиг сквида был по минимуму(без упоминаний о самсе), работало,
В самсе тест домена проходит?
- если правильно понял, то да, т.е. в интерефейсе SAMS я вижу всех кользователей AD, добавляю их в разные группы, меняю разные опции, но срабатывает только одна(надеюсь), это когда я запрещаю доступ пользователю, то на странице блокировки появляется надпись пользователь отключен...

Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-15 15:34:11

когда так:

Код: Выделить всё

auth_param basic realm Proxy-server for my.domain.ru
- происходит то что описывал выше,

когда так:

Код: Выделить всё

auth_param basic realm Proxy-server for настоящее_название_домена.ru
- начинает пускать везде и не блокирует приотключении пользователя в SAMS, но трафик весь считается правильно,

когда так:

Код: Выделить всё

#auth_param basic realm Proxy-server for my.domain.ru
так же как когда так

Код: Выделить всё

auth_param basic realm Proxy-server for настоящее_название_домена.ru

Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-15 15:58:18

делал различные манипуляциями с доменным именем в конфиге сквида, получал различные результаты, но нормального так и не получил, может быть дело и не в этом конфиге, но у меня созрел вопрос, сразу оговорюсь, специалист по UNIX'ам из меня плохой, если мой домен напрмер: durak.ru как и куда я его должен написать в конфиг сквида??????

Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-15 16:44:32

кажется я его доломал, теперь он мне выдаёт что прокси отказывается принимать запрос

Аватара пользователя
Cancer
Гл. Кастратор
Сообщения: 1269
Зарегистрирован: 2008-03-25 12:21:36
Откуда: г. Ростов-на-Дону
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Cancer » 2009-10-15 19:45:51

AndreyDPro84 писал(а):кажется я его доломал, теперь он мне выдаёт что прокси отказывается принимать запрос
Почему бы не использовать стандартный конфиг сквида поправить его под себя ??

Гость
проходил мимо

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Гость » 2009-10-16 4:05:42

AndreyDPro84 писал(а):когда так:

Код: Выделить всё

auth_param basic realm Proxy-server for my.domain.ru
- происходит то что описывал выше,

когда так:

Код: Выделить всё

auth_param basic realm Proxy-server for настоящее_название_домена.ru
- начинает пускать везде и не блокирует приотключении пользователя в SAMS, но трафик весь считается правильно,

когда так:

Код: Выделить всё

#auth_param basic realm Proxy-server for my.domain.ru
так же как когда так

Код: Выделить всё

auth_param basic realm Proxy-server for настоящее_название_домена.ru
Все это не то.

Код: Выделить всё

auth_param basic realm
отвечает только за заголовок при вводе пароля при basic авторизации, домен здесь вообще не причем.
Если делаешь с самсом, то в сквиде должен быть указан только хелпер,

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
т.е. метод авторизации, но сами данные о пользоваетеле, кого можно, а кого нет пускать в нет лежат в файлах такого вида - 4acaaaeb81a15.sams и сквид их берет из этих файлов, а уж потом проверяет через winbind.

Проверь winbind

Код: Выделить всё

wbinfo -a user%pass
или

Код: Выделить всё

wbinfo -a MY\\user%pass
зависит от твоих настроек
ответ должен быть примерно такой

Код: Выделить всё

plaintext password authentication succeeded
challenge/response password authentication succeeded

Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-16 6:55:22

Код: Выделить всё

/usr/home/admin/>wbinfo -a user%pass
plaintext password authentication succeeded
challenge/response password authentication succeeded

Decard
проходил мимо

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Decard » 2009-10-16 9:29:26

AndreyDPro84 писал(а):

Код: Выделить всё

/usr/home/admin/>wbinfo -a user%pass
plaintext password authentication succeeded
challenge/response password authentication succeeded
Тогда попробуй добавить в сквид что-то типа

Код: Выделить всё

acl users proxy_auth "/usr/local/etc/squid/db/users.txt"
http_access allow users
естественно каждую строчку в свое место

В сам файл /usr/local/etc/squid/db/users.txt добавь пользователя и попробуй под ним зайти в нет. И смотри, что в логах сквида в этот момент творится.


Аватара пользователя
AndreyDPro84
рядовой
Сообщения: 27
Зарегистрирован: 2009-10-07 9:40:39
Контактная информация:

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение AndreyDPro84 » 2009-10-16 12:23:57

может есть у кого пример полного конфига сквида под эту http://www.lissyara.su/?id=1808 статью ??, на сколько я понял проблема только в нём так как с доменом машинка общается нормально, видит все группы, всех пользователей, в SAMS появляются новые пользователи недавно заведённые мною в AD...

Decard
проходил мимо

Re: Обсуждение SQUID+SAMS with NTLM

Непрочитанное сообщение Decard » 2009-10-19 3:50:33

AndreyDPro84 писал(а):squid не запускается :shock:
Раз не запускается, посмотри, что в логах, за тебя никто не разберется.