Обсуждение SQUID+SAMS with NTLM

[decrups]

После обновления samba рестартанул сервер теперь на
wbinfo -g пишет

Код: Выделить всё

Error looking up domain groups

это лучше или хуже стало

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[LIIaLoPaI]

Время синхронизируется в Win и Free?
man smb.conf внимательнее

Код: Выделить всё

server string = sams (имя машины)
password server = fls.ВАШ.ДОМЕН
client NTLMv2 auth =Yes (смотри man как проходят проверку, plaintext, lanman, ntlm в No если не стоит по умолчанию)

зачем

Код: Выделить всё

winbind uid = 10000-15000
winbind gid = 10000-15000

может

Код: Выделить всё

idmap uid = 10000-20000
idmap gid = 10000-20000

дальше man smb.conf, зачем?

Код: Выделить всё

winbind separator = +

Winbind

Код: Выделить всё

auth methods = winbind
winbind use default domain = yes
winbind cache time = 60
winbind enum users = Yes
winbind enum groups = Yes
winbind refresh tickets =Yes

пусть слушает на интерфейсе

Код: Выделить всё

bind interfaces only = yes
interfaces = rl0 (например)

С DNS все хорошо? убейте WINS!

Код: Выделить всё

wins proxy = No
wins support = No

Ну и читайте man

[LIIaLoPaI]

nsswitch.conf поправили?

[LIIaLoPaI]

Совсем что то плохой стал...
в домен то Free ввели?

Код: Выделить всё

net ads join -U Administrator

ибо больно сообщение

Код: Выделить всё

Error looking up domain groups

похоже на то что в домен не ввели

[decrups]

ввел в домен

Код: Выделить всё

et ads join -U Administrator

то же самое

[LIIaLoPaI]

после

Код: Выделить всё

net ads join -U

должно сказать типа

Код: Выделить всё

Joined 'FLS' to realm domain 'ВАШ.ДОМЕН'

после етого wbinfo не пройдет нужно перегрузить Free.
В Win2k машина с именем fls появилась в оснастке управление пользователями и группами AD?
Если нет начит смотрим smb.conf.
Время синхронизируется?
nsswitch поправил?
Сегодня заканчиваю настройку SQUID+SAMS+AD
Стоит FreeBSD8.2, apache2.2.21, mysql5.5.17, php5, samba3.4.14, squid2.7.9.1, sams2.0.0rc1
Введен в домен без проблем.

[decrups]

Вернулся к началу (хорошо что free на на виртуальной машине ) когда была установлена только freebsd.Обновил порты и поставил samba 3.5.1 все заработало.
Вот думаю или отсюда продолжать или вернутся и попробывать все таки еще раз обновить samba(со всеми установленными компонентами).После обновления у меня samba не стартует. Захожу в

Код: Выделить всё

cd /usr/local/etc/rc.d/ 
ls -l
total 16
-r-xr-xr-x  1 root  wheel  5612 Jul 20 18:46 apache22
-r-xr-xr-x  1 root  wheel  1731 Jul 20 18:46 htcacheclean
-r-xr-xr-x  1 root  wheel  1966 Jul 23 17:42 mysql-server
-r-xr-xr-x  1 root  wheel   631 Aug  5 16:56 sams
-r-xr-xr-x  1 root  wheel  2634 Jul 20 20:01 squid

а samba нету

[decrups]

Как правильно мне обновить samba ?

[decrups]

Все заработало
wbinfo -g
wbinfo -u
Сначала снес старую samba.Потом поставил 3.5.11.
Теперь осталось с кирилицей разобраться

[decrups]

Кирилица тоже заработала.

[decrups]

Поставил самс и режик.Все запустил.Пользователей в самс из домена добавил при проверке Тестировать ответ PDC выводит список всех пользователей домена.Есть проблемы самс не видит пользователей, конкретней пользователи гуляют в инет трафик а в самсе тишина трафик 0 как будто пользователь никуда не ходит ничего не качает .Запрет доступа списка URL тож игнорируется. Куда копать? вот конфига squid

Код: Выделить всё

ee /usr/local/etc/squid/squid.conf
# created by SAMS _sams_ 2011-11-30 15:54:2
http_port 3128 transparent accel vhost
acl localhost src 127.0.0.1/32
acl localnet src 10.0.0.0/8
http_access allow localnet
http_access allow localhost
http_access deny all
auth_param ntlm program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
pid_filename /var/run/squid/squid.pid
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf

[decrups]

где посмотреть Access.log squid?

[decrups]

нашел
/var/log/squid/access.log
теперь вопрос как мне их почистить ?

[decrups]

почистил.
вот результат логово

Код: Выделить всё

1322652901.232    430 10.18.224.221 TCP_MISS/200 14352 GET http://vkontakte.ru/ - DIRECT/87.240.131.97 text/html
1322652902.291     74 10.18.224.221 TCP_MISS/200 498 GET http://vkontakte.ru/al_loader.php? - DIRECT/87.240.131.97 text/html
1322652903.414    160 10.18.224.221 TCP_MISS/200 1473 GET http://vkontakte.ru/login.php? - DIRECT/87.240.131.97 text/html
1322652903.449      8 10.18.224.221 TCP_MISS/404 550 GET http://counter.yadro.ru/hit? - DIRECT/127.0.0.1 text/html
1322652903.581    144 10.18.224.221 TCP_MISS/200 536 GET http://www.tns-counter.ru/V13a***R>*vkontakte_ru/ru/UTF-8/tmsec=vkontakte_total/300047105 - DIRECT/217.73.200.219 imag
1322652905.176   2840 10.18.224.221 TCP_MISS/200 5342 CONNECT login.vk.com:443 - DIRECT/87.240.188.253 -

в логах access.log не пишется юзер под которым попадаешь в инет.
Эты трабля уже обсуждалась и даже решена но процесс решения не описали поэтому поднимаю вопрос.
Думаю что проблема в конфиге squid.честно признаюсь в моем конфиге я понимаю только

Код: Выделить всё

acl localhost src 127.0.0.1/32
acl localnet src 10.0.0.0/8
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 10.18.224.222:3128

остальное смутно.

[buzzukin]

При установке под MySQL 5.5
Ошибка такого вида ...
При запуске samsdeamon -d

starting sams /usr/local/bin/sams
Error
Unknown column 'type' in 'where clause'

Как я понимаю её можно исправить только в коде демана samsdeamon .. и по идее всё должно работать.

[vadim64]

таблицы не созданы?

[decrups]

так в логах начало нормально отображаться имя пользователя

Код: Выделить всё

1322720556.494      3 10.18.224.221 TCP_DENIED/407 4533 GET http://google.ru/ - NONE/- text/html
1322720556.500      5 10.18.224.221 TCP_DENIED/407 4850 GET http://google.ru/ - NONE/- text/html
1322720556.505      3 10.18.224.221 TCP_MEM_HIT/301 661 GET http://google.ru/ isokolov NONE/- text/html
1322720557.076    568 10.18.224.221 TCP_MISS/200 20346 GET http://www.google.ru/ isokolov DIRECT/173.194.32.16 text/html
1322720557.246      0 10.18.224.221 TCP_DENIED/407 4715 GET http://www.google.ru/compressiontest/gzip.html - NONE/- text/html
1322720557.248      0 10.18.224.221 TCP_DENIED/407 5032 GET http://www.google.ru/compressiontest/gzip.html - NONE/- text/html
1322720557.274      2 10.18.224.221 TCP_DENIED/407 4289 GET http://clients1.google.ru/generate_204 - NONE/- text/html
1322720557.356    105 10.18.224.221 TCP_MISS/200 997 GET http://www.google.ru/compressiontest/gzip.html isokolov DIRECT/173.194.32.16 text/html
1322720557.503      0 10.18.224.221 TCP_DENIED/407 4655 GET http://www.google.ru/csi? - NONE/- text/html
1322720557.506      0 10.18.224.221 TCP_DENIED/407 4972 GET http://www.google.ru/csi? - NONE/- text/html
1322720557.620    112 10.18.224.221 TCP_MISS/204 328 GET http://www.google.ru/csi? isokolov DIRECT/173.194.32.16 image/gif

в шаблоне была авторизация по ip изменил на ntlm
Также заработал запрет по url.но трафик так и не пребовляется.

[decrups]

разобрался.
в конфиге самс sams.conf не правильно было указан Путь к директории, где лежит файл логов SQUID
у меня логи оказались в /var/log/squid.
теперь трафик считается.

[decrups]

поспешил трафик считается если в браузере явно указан прокси.при прозрачном трафика нет.что прозрачный прокси не пишет логов?

[decrups]

прочитал
"4.5. Возможно ли настроить аутентификацию пользователей, если мой Squid работает в режиме прозрачного прокси?
Нет, это работать не будет. Либо аутентификация, либо прозрачный прокси."
И ни как не выкрутиться?
Очень не хочеться бегать по юзверям настраивать браузеры.

[Mufanu]

У меня домен на FreeBSD, заработает такая связка?

[decrups]

Прозрачного прокси у меня не будет.Тогда вопрос а как у пользователей которые не укажут в браузере использовать прокси закрыть инет? У меня ipfw. его настраивать? закрыть порты 80 8080 443 из локалки во вне?

[decrups]

так все с этим тож разобрался .прокси трогать не будем.

[decrups]

Подскажите как победить обновление windows через squid работать не хочет требует авторизацию.предлагают решение

Код: Выделить всё

acl windowsupdate dstdomain -i "/usr/local/etc/squid/windowsupdate"
no_cache deny windowsupdate 

http_access allow windowsupdate
# этот http_access нужно поставить перед http_access deny all
# не забываем, что squid.conf парсится сверху вниз и слева направо

в файлике /usr/local/etc/squid/windowsupdate пишем такое

Код: Выделить всё

windowsupdate.microsoft.com
update.microsoft.com
activex.microsoft.com
download.windowsupdate.com
www.download.windowsupdate.com
codecs.microsoft.com
stats.updates.microsoft.com
c.microsoft.com

в результате на эти сайты машины ходят сами без пароля, но через squid. В access.log будет IP-адрес.
но у меня авторизация на сайты обновления так и идет по ntlm.
вот моя конфига squid посмотрите может чего напутал

Код: Выделить всё

# created by SAMS _sams_ 2011-12-8 14:46:20

#  TAG: auth_param
auth_param ntlm program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on

auth_param basic program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

pid_filename /var/run/squid/squid.pid
url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf

#  TAG: acl
acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
acl _sams_default_time time MTWHFAS 00:00-23:00
acl windowsupdate dstdomain -i "/usr/local/etc/squid/windowsupdate"
no_cache deny windowsupdate
acl localhost src 127.0.0.1/32
acl localnet src 10.0.0.0/8
acl localnet1 src 172.16.1.0/24

#  TAG: http_access
http_access allow _sams_default  _sams_default_time
http_access allow windowsupdate
http_access allow localnet
http_access allow localnet1
http_access allow localhost
http_access deny all

#  TAG: http_port
http_port 10.18.224.222:3128

#  TAG: coredump_dir
coredump_dir /usr/share/squid/cache

Как заставить ходить на сайты обновления мелкомягких через squid с авторизацией по IP

[decrups]

при нажатии кнопки поиск обновлений появляется запрос "Введите учетные данные для проверки подлиности прокси-сервером.вот лог при попытке обновить винду

Код: Выделить всё

1323336544.380      1 172.16.1.1 TCP_DENIED/407 451 HEAD http://download.windowsupdate.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.403     15 172.16.1.1 TCP_DENIED/407 654 HEAD http://download.windowsupdate.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.406      1 172.16.1.1 TCP_DENIED/407 451 HEAD http://download.windowsupdate.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.415      0 172.16.1.1 TCP_DENIED/407 3958 GET http://download.windowsupdate.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.418      1 172.16.1.1 TCP_DENIED/407 4259 GET http://download.windowsupdate.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.420      1 172.16.1.1 TCP_DENIED/407 4602 GET http://download.windowsupdate.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.434      0 172.16.1.1 TCP_DENIED/407 451 HEAD http://download.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.436      0 172.16.1.1 TCP_DENIED/407 654 HEAD http://download.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.438      0 172.16.1.1 TCP_DENIED/407 451 HEAD http://download.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.447      0 172.16.1.1 TCP_DENIED/407 3942 GET http://download.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.449      0 172.16.1.1 TCP_DENIED/407 4243 GET http://download.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.451      0 172.16.1.1 TCP_DENIED/407 4588 GET http://download.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.466      0 172.16.1.1 TCP_DENIED/407 451 HEAD http://www.update.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.469      1 172.16.1.1 TCP_DENIED/407 654 HEAD http://www.update.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.471      0 172.16.1.1 TCP_DENIED/407 451 HEAD http://www.update.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.480      0 172.16.1.1 TCP_DENIED/407 3950 GET http://www.update.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.483      1 172.16.1.1 TCP_DENIED/407 4251 GET http://www.update.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html
1323336544.485      1 172.16.1.1 TCP_DENIED/407 4594 GET http://www.update.microsoft.com/v9/windowsupdate/redir/muv4wuredir.cab? - NONE/- text/html