Обсуждение SQUID+SAMS with NTLM

[Kit1]

Добрый ...
Как можно использовать и режик и встроенный редиректор САМСа, и как можно настроить доступ в инет по группам.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Bubble]

Вот такая ошибка выходит когда я пытаюсь подключиться по ip к Фре.

Код: Выделить всё

Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'sams'@'localhost' (using password: YES) in /usr/local/share/sams/mysqltools.php on line 289
Access denied for user sams@localhost to MySQL

Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) 

т.е. я пытаюсь подключиться без пароля так? как его добавить?

вот так не работает:
//> /usr/local/bin/mysqladmin -u root password 'new_password'
//> /usr/local/bin/mysqladmin -u root -h sams.domain.local password 'new_password'

и ещё вопрос
sams.domain.local -это имя машины или что это означает?

[Cancer]

Вот такая ошибка выходит когда я пытаюсь подключиться по ip к Фре.

Код: Выделить всё

Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'sams'@'localhost' (using password: YES) in /usr/local/share/sams/mysqltools.php on line 289
Access denied for user sams@localhost to MySQL

Warning: mysql_select_db() [function.mysql-select-db]: Access denied for user 'root'@'localhost' (using password: NO) 

т.е. я пытаюсь подключиться без пароля так? как его добавить?

вот так не работает:
//> /usr/local/bin/mysqladmin -u root password 'new_password'
//> /usr/local/bin/mysqladmin -u root -h sams.domain.local password 'new_password'

и ещё вопрос
sams.domain.local -это имя машины или что это означает?

Это задаем пароль рута БД муси

Код: Выделить всё

//> /usr/local/bin/mysqladmin -u root password 'new_password'

sams.domain.local полное имя тачелы.

если вы копи пастер то у вас пароль у рута new_password

[Bubble]

пользователей я добавил так

Код: Выделить всё

mysql -u root -p 
GRANT ALL ON squidctrl.* TO sams@localhost IDENTIFIED BY "yourpassword"; 
GRANT ALL ON squidlog.* TO sams@localhost IDENTIFIED BY "yourpassword"; 

после сего вот такая ошибка

Код: Выделить всё

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/share/sams/mysqltools.php on line 235
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/share/sams/mysqltools.php on line 248
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/share/sams/mysqltools.php on line 265
Warning: require() [function.require]: Unable to access ./lang/lang. in /usr/local/share/sams/lframe.php on line 38
Warning: require(./lang/lang.) [function.require]: failed to open stream: No such file or directory in /usr/local/share/sams/lframe.php on line 38
Fatal error: require() [function.require]: Failed opening required './lang/lang.' (include_path='.:/usr/local/share/pear') in /usr/local/share/sams/lframe.php on line 38

это я права какие то где не выставил или что не так?

[Bubble]

Создал базу и всё норм!

[AndreyDPro84]

пытался присоеденить к домену, а получил вот такое сообщение, судя по нему неправильно прописан адрес сервера контролера домена, но ничего такого я не увидел или я ошибаюсь?

Код: Выделить всё

admin's password:
[2010/01/27 16:56:07, 0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Failed to join domain: No logon servers

постоянно ругается на строчку "shells: files" в /etc/nsswitch.conf

[quest777]

Всем добрый день, и скажу большое спасибо автору статьи.
Т.к. это мой первый проксик, то наткнулся на ряд проблем, решения которых хотел спросить у вас:
Все делал по статье и вроде все получилось, но когда уже стал пробовать то наткнулся:
1. Если у пользователя в домене пароль вбит английской раскладке, то все норм, а если на русской, то в статистику SAMS'а не пропускает...
2. файл access.log всегда пустой, т.е. размер =0, пробовал удалять, но нет...
3. после удачного входа в систему и в статистику SAMS'а пользователя не пускает в инет вообще, а в логах нет ничего об этом, т.е. логах самса, сквида, самбы и т.д.

Подскажите пожалуйста куда копать или скажите логи чего показать, просто уже голова болит, а начальство все пилит и пилит.

Заранее спасибо...

[Cancer]

Выводы конфигов, и логов показывайте!

[Bubble]

такая ситуация:
настраивал всё как в статье с авторизацией NTLM

теперь решил пускать всех по ip
изменил конф сквида.
по ip пускает
прикручиваю самс
создаю пользователей даю доступ
реконфигурирую сквид
и всё перестает работать
возвращаю предыдущий конфиг сквида опять всё работает.

sams.conf

Код: Выделить всё

[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=samsik
MYSQLPASSWORD=12345
MYSQLVERSION=5.0
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/usr/local/etc/squid/
SQUIDLOGDIR=/usr/local/squid/logs/
SQUIDCACHEDIR=/var/spool/squid/
SAMSPATH=/usr/local/
SQUIDPATH=/usr/local/sbin/
#SQUIDGUARDLOGPATH=/var/log
#SQUIDGUARDDBPATH=/var/db/squidGuard
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout 
#LDAPSERVER=
#LDAPBASEDN=
#LDAPUSER=
#LDAPUSERPASSWD=
#LDAPUSERSGROUP=Users
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=/sbin/shutdown -h now
CACHENUM=0

squid.conf( самса )

Код: Выделить всё

# created by SAMS _sams_ 2010-2-3 16:37:21
#  TAG: acl
acl _sams_4b6651bc7a1fd src "/usr/local/etc/squid//4b6651bc7a1fd.sams" 
acl _sams_4b6651bc7a1fd_time time MTWHFAS 00:00-23:59
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563 5223
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 5190        # icq
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl Safe_ports port 5222        # jabber
acl Safe_ports port 1025-65535  # unregistered ports
acl CONNECT method CONNECT


#  TAG: http_access
http_access allow _sams_4b6651bc7a1fd  _sams_4b6651bc7a1fd_time  

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
#  TAG: icp_access
icp_access allow localhost
icp_access deny all
#  TAG: http_port
http_port 9090
#  TAG: cache_peer
cache_peer 10.9.43.49 parent 3128 3130 proxy-only 
#  TAG: hierarchy_stoplist
hierarchy_stoplist cgi-bin ?
#  TAG: cache_mem
cache_mem 64 MB
#  TAG: cache_dir
cache_dir ufs /usr/local/squid/cache 1000 16 256
#  TAG: access_log
access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
#  TAG: url_rewrite_program
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf
#  TAG: refresh_pattern
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
#  TAG: upgrade_http0.9
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
#  TAG: broken_vary_encoding
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
#  TAG: coredump_dir
coredump_dir /usr/local/squid/cache

squid.conf кот работает

Код: Выделить всё

http_port 9090
cache_peer 10.9.43.49 parent 3128 0 no-query

acl localhost src 127.0.0.1/255.255.255.255
acl all src 0.0.0.0/0.0.0.0
acl ya src 10.0.3.54
acl viktor src 10.0.1.135

acl SSL_ports port 443

acl Safe_ports port 80		# http
acl Safe_ports port 21		# ftp
acl Safe_ports port 443		# https
acl Safe_ports port 70		# gopher
acl Safe_ports port 210		# wais
acl Safe_ports port 1025-65535	# unregistered ports
acl Safe_ports port 280		# http-mgmt
acl Safe_ports port 488		# gss-http
acl Safe_ports port 591		# filemaker
acl Safe_ports port 777		# multiling http
acl CONNECT method CONNECT

http_access allow localhost
http_access allow viktor
http_access allow ya
http_access deny all

never_direct allow all
hierarchy_stoplist cgi-bin ?
access_log /usr/local/squid/logs/access.log squid
refresh_pattern ^ftp:		1440	20%	10080
refresh_pattern ^gopher:	1440	0%	1440
refresh_pattern -i (/cgi-bin/|\?) 0	0%	0
refresh_pattern .		0	20%	4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
coredump_dir /usr/local/squid/cache
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf

в настройках самса на ip аутентификацию поменял!
что тут не так?

[guest777]

Добрый день...
Кто подскажит как сделать, чтоб при добавлении пользователя автоматически подтягивались Фамилия, Имя и Отчества из домена?

И Такой вопрос, что делает эта строчка в конфиге самса:
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout
т.е. какие имена она перекодирует, которые лежат в access.log?

дело в том, что у меня в системе KOI8-R, а мускул скомпилирован с кодировкой cp1251, но чтобы я не подставлял все равно работает и считает трафик (или это я заблуждаюсь), т.е:
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout
RECODECOMMAND=iconv -f cp1251 -t 866 %finp > %fout

[AndreyDPro84]

Добрый день, опять попытался настроить всё по статье, всё работает, вот только пользователей не рубит после превышения трафика. Где подкрутить?

P.S.: конфиг сквида стандартный, кроме добавления своих сетей в список разрешённых и настроек сквида со статьи...

[Night Elf]

Всем доброго времени суток.

У меня проблема в следующем не хочет выдавать билет керберос.
сначало настроил по этой статье http://www.lissyara.su/articles/freebsd ... ejik-ldap/ потом заметил лучший вариант начал настроивать по нему т.е. по этому варианту http://www.lissyara.su/articles/freebsd ... ejik-ntlm/
поставил Керберос из портов. Теперь при вводе команды kinit -p <администратор домена> выдает следущее

kinit: password incorrect

хотя 100% пароль верный. В чем тут может быть проблема ?

Заранее спасибо.

[Cancer]

Всем доброго времени суток.

У меня проблема в следующем не хочет выдавать билет керберос.
сначало настроил по этой статье http://www.lissyara.su/articles/freebsd ... ejik-ldap/ потом заметил лучший вариант начал настроивать по нему т.е. по этому варианту http://www.lissyara.su/articles/freebsd ... ejik-ntlm/
поставил Керберос из портов. Теперь при вводе команды kinit -p <администратор домена> выдает следущее

kinit: password incorrect

хотя 100% пароль верный. В чем тут может быть проблема ?

Заранее спасибо.

смотрите в настройки /etc/krb5.conf

[Night Elf]

смотрите в настройки /etc/krb5.conf

НАстраивал полностью по статье.

файл /etc/krb5.conf

(example.ru - мой домен)

[libdefaults]
default_realm = example.ru
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}

[realms]
example.ru = {
kdc = 192.168.2.2
admin_server = 192.168.2.2
kpasswd_server = 192.168.2.2

}
[domain_realm]
.example.ru = example.ru


Что не так тут может быть ?

[AndreyDPro]

/etc/krbb5.conf

Код: Выделить всё

[libdefaults]
default_realm = DOMEN.RU
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}

[realms]
DOMEN.RU = {
kdc = 10.0.0.1
admin_server = 10.0.0.1
kpasswd_server = 10.0.0.1

}
[domain_realm]
.domen.ru = DOMEN.RU

/etc/nsswitch.conf

Код: Выделить всё

group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
#rpc: files

с такими настройками у меня без проблем в домен всё затащилось...

[Burner]

настроен squid-2.6.STABLE21+sams-1.0.5+ntlm, пока тестировали работало нормально, как пришло время запускать - не пускает пользователей в веб-интерфейс самс для просмотра статистики (сам сквид авторизует, интернет есть). В логах

Код: Выделить всё

[2010/03/12 11:38:05, 3] nsswitch/winbindd_misc.c:winbindd_domain_name(501)
  [ 8034]: request domain name
[2010/03/12 11:38:05, 10] nsswitch/winbindd.c:process_request(326)
  process_request: request fn AUTH_CRAP
[2010/03/12 11:38:05, 2] nsswitch/winbindd_pam.c:winbindd_pam_auth_crap(1664)
  winbindd_pam_auth_crap: non-privileged access denied.  !
  winbindd_pam_auth_crap: Ensure permissions on /var/cache/samba/winbindd_privileged are set correctly.
[2010/03/12 11:38:05, 5] nsswitch/winbindd_pam.c:winbindd_pam_auth_crap(1713)
  CRAP authentication for DOMAIN\user returned NT_STATUS_ACCESS_DENIED (PAM: 4)

разрешения корректные:

Код: Выделить всё

[root@proxy samba]# ls -l /var/cache/samba | grep privileged
drwxr-x--- 2 root squid  4096 Mar 12 11:37 winbindd_privileged
[root@proxy samba]# ls -l /var/cache/samba/winbindd_privileged/
total 0
srwxrwxrwx 1 root root 0 Mar 12 11:37 pipe

что еще проверить?

[Night Elf]

У меня еще такой вопрос вот настроил я полностью прокси сервер по этой статье подключил внешний интернет, подключил прокси к внутренней сети. А как теперь указать рабочей станции под управлением XP что она будет получать интернет именно от этого сервера?
Просто прописать в свойсвах обозревателя - подключения - настройка сети - в графе прокси сервер ip адрес моего прокси и все ??? или как это сделать ?

[Cancer]

У меня еще такой вопрос вот настроил я полностью прокси сервер по этой статье подключил внешний интернет, подключил прокси к внутренней сети. А как теперь указать рабочей станции под управлением XP что она будет получать интернет именно от этого сервера?
Просто прописать в свойсвах обозревателя - подключения - настройка сети - в графе прокси сервер ip адрес моего прокси и все ??? или как это сделать ?

Браузеру сказать нужно!

[Night Elf]

Браузеру сказать нужно!

Какой специальный ??? или стандартный подойдет.
И какой там порт нужно указывать если делать точно по статье ?

Не судите строга я только осваиваю FreeBSD.

[thorin]

Доброго времени суток.
Работает squid+sams с ntlm авторизацией. ОС - debian.
Имеется три проблемы:
1. не могу сделать так, чтобы определенные компы пускало неавторизованными. В access.log идет 403 denied анониму.
2. проблемы с компьютерами с установленной windows 7 - авторизация не проходит. В домене решается проблема через GPO, но как быть с недоменными машинами?
3. Прет трафик на контрлолер домена, периодически чересчур активный.
192.168.218.4 - PDC
192.168.218.35 - SQUID

[click80]

Привет!!
у меня несколько вопросов.
1. Sams может работать с локальными группами АД, или он видит только глобальные?
2. Будет ли САМС считать трафик пользователя другого домена. т.е. у меня DOMAIN1.TEST.RU, а нада чтобы он считал трафик у некоторых пользователей из DOMAIN2.TEST.RU

[AZD]

sams не отсекает пользователей привысивших лимит

[Cancer]

sams не отсекает пользователей привысивших лимит

Проверяйте работу редиректора режика, есть ли он в конфиге sams.conf squid.conf ?

[Гость]

Привет всем. Пособираю с нуля все по статье. После установки САМС создаю базы, запускаю WEB интерфейс, в разделе "WEB interface settings" нет не одной кнопки (попробовал в эксплорере открыть - вообще на месте кнопок 500 ошибка)
Отличие от статьи: ставил апач2 ( + система 8.0-RELEASE FreeBSD)
(+ во время конфигугирования php5-extensions не нашел PCRE а при сборке пхп (5.3.2) небыло FASTCGI и PATHINFO)
Грешу на апач или на php... подскажите куда копнуть? Кто нибудь сталкивался с такой проблемой?

[Гость]

В дополнение тут [url] permlug.org/node/[url] 5544 нашел тоже самое тока на мандриве... решения не найдено