Обсуждение SQUID+SAMS with NTLM

[fox]

Дамы И Господа!
Что в 2010, мы будем курить бамбук? Пока новая версия самса не выйдет в свет?
Если так то печально, интересно с какого перепуга так поступаю разработчики?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Burner]

я так понял, пользователям все равно придется прописывать прокси в браузере при ntlm аутентификации?

[gumeniuc]

Доброго времени суток. проблема такая: поднял связку squid + squidguard + ntlm прикрутил. создал в 2003 двух юзеров (w1, w2). в сквидгарде пишу например w1 запретить качать файлы mp3, а w2 запретить сайт mail.ru.
в итоге :
с w1 всё нормально. авторизовался, качает, его форвардит на страницу с запретом
с w2 всё очень интересно. логинюсь, пускает на mail.ru, запретил качать mp3, всёравно качает. странно как-то получается.
Дальше интереснее
захожу на рабочей станции под локальным аккаунтом. открываю браузер,просит авторизацию. авторизуюсь юзером w2 и уже не могу зайти на mail.ru и качать mp3.
Посему вопрос, с чем может быть связана такая странная работа ??
настраивал ntlm по статье http://www.lissyara.su/articles/freebsd ... ejik-ntlm/
надеюсь на вашу помощь.
спасибо

[Cancer]

Исправление БАГА с датой выше 2009 год

Код: Выделить всё

//> ee /usr/local/share/sams/mysqltools.php

вот эти номера строк в mysqltools.php 484 560 594 676 709
меняем

Код: Выделить всё

for($i=2001;$i<2010;$i++)

на

Код: Выделить всё

for($i=$year-10;$i<=$year+1;$i++)

Подробнее http://www.permlug.org/node/5407

[Burner]

выпустили уже 1.05 версию, там этот баг исправлен.
Поставил все почти по статье, только rejik не стал приделывать, использовал родной редиректор. Прописал прокси в браузере, пытаюсь открыть какой-нибудь сайт, логин-пароль не спрашивает, вместо этого сразу попадаю на страничку "Access to proxy disabled. Access denied". Где какой доступ еще открыть нужно? Можно ли увидеть, по какому правилу зарезалось? Ничего не банил еще, списки url все пустые, template пользователей дефолтный, только квота добавлена.

[AlexN]

2Cancer Спасибо!

[AlexN]

выпустили уже 1.05 версию, там этот баг исправлен.
Поставил все почти по статье, только rejik не стал приделывать, использовал родной редиректор. Прописал прокси в браузере, пытаюсь открыть какой-нибудь сайт, логин-пароль не спрашивает, вместо этого сразу попадаю на страничку "Access to proxy disabled. Access denied". Где какой доступ еще открыть нужно? Можно ли увидеть, по какому правилу зарезалось? Ничего не банил еще, списки url все пустые, template пользователей дефолтный, только квота добавлена.

Сквид какой стоит?

[Burner]

Сквид какой стоит?

2.6stable21

[Burner]

Сквид какой стоит?

2.6stable21

все еще жду идей=)
edit: только что проверил - заработало, спрашивает и нормально аутентифицирует, под 3мя браузерами. Со вчера не менял ничего . Странно как-то.

[InventoR]

Возник вопросик по аунтификации сквида, не проходит, делаю:

Код: Выделить всё

 ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="azocm\squid-allaccess" -d20 -I /tmp

получаю:

Код: Выделить всё

[2010/01/10 03:07:20, 5] lib/debug.c:debug_dump_status(391)
  INFO: Current debug levels:
    all: True/20
    tdb: False/0
    printdrivers: False/0
    lanman: False/0
    smb: False/0
    rpc_parse: False/0
    rpc_srv: False/0
    rpc_cli: False/0
    passdb: False/0
    sam: False/0
    auth: False/0
    winbind: False/0
    vfs: False/0
    idmap: False/0
    quota: False/0
    acls: False/0
    locking: False/0
    msdfs: False/0
    dmapi: False/0

[2010/01/10 03:07:21, 10] utils/ntlm_auth.c:manage_squid_request(2093)
  Got '' from squid (length: 0).
[2010/01/10 03:07:21, 2] utils/ntlm_auth.c:manage_squid_request(2096)
  Invalid Request
ERR

Код: Выделить всё

Router# wbinfo -g
BUILTIN\administrators
BUILTIN\users
domain computers
domain controllers
schema admins
enterprise admins
domain admins
domain users
domain guests
group policy creator owners
dnsupdateproxy
squid-allaccess

Код: Выделить всё

Router# wbinfo -u
administrator
guest
support_388945a0
krbtgt
virtualization1
Router#

Код: Выделить всё

Router# wbinfo -a Administrator%UIDjddj2
plaintext password authentication succeeded
challenge/response password authentication succeeded
Router#

Куда бы еще копнуть чтобы вылечить проблему?

[snorlov]

Полный путь к хелперу самбы пропишите для начала, и второе, там кажется косых должно быть толи 2-е толи 3-и, не проглатывает вашу --require-membership-of="azocm\squid-allaccess"

[InventoR]

В общем он аналогично не проглатывает, хоть две косых, хоть три, хоть с кавычками обычными или двойными.
прописал вот так:

Код: Выделить всё

squid.conf
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl inet_users external nt_group Squid-AllAccess

И на данный момент частично работает.
Но не могу заставить новые системы обновляться через прокси.
Не пойму то ли в самих системах затык то ли MS намудрила с WinHttp

И вот не пойму как прописать?
http://msdn.microsoft.com/en-us/library ... 85%29.aspx
Ему авторизацию через логин и пароль?
Вбил в netsh winhttp proxy
И он определил прокси, но не авторизируется на нем, в логах прокси вот такое:

Код: Выделить всё

2010/01/10 16:47:51.257| aclmatchAclList: 0x28bec010 returning false (AND list entry failed to match)
2010/01/10 16:47:51.257| aclmatchAclList: async=0 nodeMatched=0 async_in_progress=0 lastACLResult() = 0 finished() = 0
2010/01/10 16:47:51.257| ACLChecklist::preCheck: 0x28bec010 checking 'http_access allow inet_users'
2010/01/10 16:47:51.257| ACLList::matches: checking inet_users
2010/01/10 16:47:51.257| ACL::checklistMatches: checking 'inet_users'
2010/01/10 16:47:51.257| authenticateValidateUser: Auth_user_request was NULL!
2010/01/10 16:47:51.257| authenticateAuthenticate: broken auth or no proxy_auth header. Requesting auth header.
2010/01/10 16:47:51.257| Acl.cc(70) AuthenticateAcl: returning 0 sending authentication challenge.
2010/01/10 16:47:51.257| aclMatchExternal: nt_group user not authenticated (0)
2010/01/10 16:47:51.257| ACL::ChecklistMatches: result for 'inet_users' is 0

[Burner]

так, а автоматически пользователей из AD sams не умеет импортировать, что-ли?
И еще вопросы: как заставить его импортировать не только login, но и имя-фамилию? Как пользователю домена выдать права администратора sams?

[vintovkin]

привет!
в юзерстатистикс и далее везде нет 2010 года! как решить?

[Burner]

привет!
в юзерстатистикс и далее везде нет 2010 года! как решить?

прочитать тему. Обновить до последней версии.

[vintovkin]

привет!
в юзерстатистикс и далее везде нет 2010 года! как решить?

прочитать тему. Обновить до последней версии.

севодня порты цвсапнул и проапгрэйдил ...

Код: Выделить всё

zabbix# pkg_info | grep sams
sams-1.0.4,1        Squid 2.x Accounting Management System
zabbix#

но намёк понял спс!!!!!!!!!!!!!!!!

[Cancer]

привет!
в юзерстатистикс и далее везде нет 2010 года! как решить?

прочитать тему. Обновить до последней версии.

севодня порты цвсапнул и проапгрэйдил ...

Код: Выделить всё

zabbix# pkg_info | grep sams
sams-1.0.4,1        Squid 2.x Accounting Management System
zabbix#

но намёк понял спс!!!!!!!!!!!!!!!!

В портах исправленной версии нет еще

[vintovkin]

привет!
в юзерстатистикс и далее везде нет 2010 года! как решить?

прочитать тему. Обновить до последней версии.

севодня порты цвсапнул и проапгрэйдил ...

Код: Выделить всё

zabbix# pkg_info | grep sams
sams-1.0.4,1        Squid 2.x Accounting Management System
zabbix#

но намёк понял спс!!!!!!!!!!!!!!!!

В портах исправленной версии нет еще

да, я знаю.
скоро выложат?

зы.
спасибо за статью!
всё работает!статья супер

[slatim]

Исправление БАГА с датой выше 2009 год

Код: Выделить всё

//> ee /usr/local/share/sams/mysqltools.php

вот эти номера строк в mysqltools.php 484 560 594 676 709
меняем

Код: Выделить всё

for($i=2001;$i<2010;$i++)

на

Код: Выделить всё

for($i=$year-10;$i<=$year+1;$i++)

Подробнее http://www.permlug.org/node/5407

Сделал все по данному посту, в статистике пользователя появился 2010год только в выборе начала периода, конец периода по прежнему 2009 (( не могу ничего подсчитать (( ХЭЛП!!!

[Cancer]

вот эти номера строк в mysqltools.php 484 560 594 676 709

все эти строки поменял ?

[slatim]

вот эти номера строк в mysqltools.php 484 560 594 676 709

все эти строки поменял ?

Да все!!! Порт обновлять обязательно??

[vintovkin]

вот эти номера строк в mysqltools.php 484 560 594 676 709

все эти строки поменял ?

Да все!!! Порт обновлять обязательно??

какой у вас?

[slatim]

вот эти номера строк в mysqltools.php 484 560 594 676 709

все эти строки поменял ?

Да все!!! Порт обновлять обязательно??

какой у вас?

1.0.4

[vintovkin]

последний

[Cancer]

sams-1.0.5,1 в портах

Код: Выделить всё

/usr/ports/>make search name=sams
Port:   sams-1.0.5,1
Path:   /usr/ports/www/sams
Info:   Squid 2.x Accounting Management System
Maint:  uzgrishin@mail.ru

Подробнее http://www.permlug.org/node/4560