Обсуждение SQUID+SAMS with NTLM

[CYXOB]

Если честно не пробовал встроенный редиректор, попробуй поставить режик.

очень много придется перенастроить...
каким образом, при использовании ACl листов, мне заставить самс добавлять отключенных пользователей в отдельный файл?
как я понял из веб морды это делает команду на реконфиг сквида. как это делать автоматически?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[FEALIK]

Все добрый день!

В первую очередь спасибо автору за серию мануалов по SAMS!
Где-то полгода назад пытался поднять её по имевшимся тогда мануалам, но обломал зубы (я, в основном, виндузятник), и так и бросил - потому что времен уже не было.
А сейчас захотелось взять реванш (благо время позволило), и эти мануалы вкупе с моим слегка возросшим скиллом сделали своё дело!

Настроил связку именно на работу с NTLM. Всё работает, но есть пара вопросов:

ВОПРОС 1, незначительный:
Когда в веб-интерфейсе САМСа пытаюсь добавить всех пользователей домена - результат нулевой. Он не выводит список. Пользователей приводится добавлять руками. Что саоме интересное, авторизация, подсчёт трафика и бан пользователей работают нормально.
С чем это может быть связано, есть идеи?
Я так понимаю, для построения списка он использует wbinfo. Путь к ней указан, wbinfo -u исправно выдаёт список пользователей. А САМС - нет.

ВОПРОС 2, серьёзный:
Когда по каким бы то ни было причинам пропадает связь (перезагрузка сервера, его занятость, глюк сети) с контроллером домена (Win2k3 Ent), то пользователей перестаёт пускать в интернет.
При этом браузер просит логин и пароль, и что туда не введёшь - в итоге СКВИД выдаёт "Cache Access Denied" (это отличается от простого "Access Denied", который он выдаёт, когда в инет ломится пользователь, отсутствующий в САМСе).
И так до тех пор, пока на Фре не перезапустишь самбу.
Есть идеи?

[Cancer]

FEALIK

По идее нужно смотреть нагрузку на сервер и ловить момент когда связь пропадает, далее смотреть пик нагрузки.
А так же посмотри в сторону winbind

[FEALIK]

FEALIK

По идее нужно смотреть нагрузку на сервер и ловить момент когда связь пропадает, далее смотреть пик нагрузки.
А так же посмотри в сторону winbind

Да с пропаданием связи всё не так сложно.
Ну, грубо говоря: есть роутер с FreeBSD, есть контроллер домена с Вин2к3. Всё работает. Перезагружаем контроллер домена. Всё, после этого Сквид постоянно будет выдавать "Cache Access Denied", даже когда сервер закончит перезагружаться и снова заработает.

По поводу winbindd - да, скорее всего дело в нём, ведь именно он отвечает за доменную аутентификацию. Но куда именно-то смотреть?

[Time]

Код: Выделить всё

Warning: mysql_connect() [function.mysql-connect]: Access denied for user 'sams'@'localhost' (using password: YES) in /usr/local/share/sams/mysqltools.php on line 289
Access denied for user sams@localhost to MySQL	SAMS databases not connected

The base squidlog not created or the user sams has no rights to connection to it
The base squidctrl not created or the user sams has no rights to connection to it

 
SAMS documentation
english
russian

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/share/sams/mysqltools.php on line 235

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/share/sams/mysqltools.php on line 248

Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /usr/local/share/sams/mysqltools.php on line 265

Warning: require() [function.require]: Unable to access ./lang/lang. in /usr/local/share/sams/main.php on line 166

Warning: require(./lang/lang.) [function.require]: failed to open stream: No such file or directory in /usr/local/share/sams/main.php on line 166

Fatal error: require() [function.require]: Failed opening required './lang/lang.' (include_path='.:/usr/local/share/pear') in /usr/local/share/sams/main.php on line 166

[Cancer]

2Time

Офигенный вопрос, мля аж слов нет

[HidX]

Поставил Squid Sams NTLM. Всё работает. Юзеры загружены. и т.д.

Но правила на юзеров не действуют.
То бишь у них интернет без ограничений. При привышении квоты трафика юзер блокируется в самс но продолжает лазить по инету. Блокировки сайтов в самс так же не воспринимаются юзерами...
Трафик впринципе считается кое как....

Скажите в чём дело?

Squid

Код: Выделить всё

#  TAG: auth_param
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

#  TAG: acl
acl _sams_49a796d188be8 proxy_auth "/etc/squid/49a796d188be8.sams"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT

#  TAG: http_access
http_access allow _sams_49a796d188be8
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

#  TAG: icp_access


#  TAG: http_port
http_port 192.168.50.222:3128

#  TAG: hierarchy_stoplist
hierarchy_stoplist cgi-bin ?

#  TAG: cache
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY

cache_mem 1024 MB
cache_dir ufs /usr/share/squid/cache 50000 64 512

#  TAG: access_log
access_log /var/log/access.log squid


#  TAG: url_rewrite_program
# url_rewrite_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf

redirect_program /usr/bin/samsredir

#  TAG: refresh_pattern
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern .      0   20%   4320

#  TAG: broken_vary_encoding
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

#  TAG: delay_class

#  TAG: forwarded_for   on|off
forwarded_for off

#  TAG: coredump_dir
coredump_dir /usr/share/squid/cache

Access.log

Тут смутило то что сначало идёт ип а потом уже имя юзера в домене ( и то, оно не всегда отображается.)

Код: Выделить всё

1235721255.076    223 192.168.50.82 TCP_MISS/200 441 POST http://mail.google.com/mail/channel/bind?at=xn3j31dtjwsbgbq0lnmf2cxrnm5t1a&VER=6&it=900024&SID=DAB4F3CBAD4A5&RID=77988&zx=ls64nl-sjfqe0&t=1 AIN\epo DIRECT/72.14.221.18 text/html
1235721373.094      0 192.168.50.82 TCP_DENIED/407 1802 POST http://mail.google.com/mail/?ui=2&ik=65e9d9464c&view=tl&start=0&num=70&auto=1&ver=oPkTdX78Hm4&am=X7UYJcT3cLGJBfni0fB34OxoLw&ari=300&rt=j&search=inbox - NONE/- text/html
1235721373.096      0 192.168.50.82 TCP_DENIED/407 1948 POST http://mail.google.com/mail/?ui=2&ik=65e9d9464c&view=tl&start=0&num=70&auto=1&ver=oPkTdX78Hm4&am=X7UYJcT3cLGJBfni0fB34OxoLw&ari=300&rt=j&search=inbox - NONE/- text/html
1235721373.298    202 192.168.50.82 TCP_MISS/200 1829 POST http://mail.google.com/mail/?ui=2&ik=65e9d9464c&view=tl&start=0&num=70&auto=1&ver=oPkTdX78Hm4&am=X7UYJcT3cLGJBfni0fB34OxoLw&ari=300&rt=j&search=inbox AIN\epo DIRECT/72.14.221.18 text/javascript
1235721439.536 206183 192.168.50.82 TCP_MISS/200 600 GET http://mail.google.com/mail/channel/bind?at=xn3j31dtjwsbgbq0lnmf2cxrnm5t1a&VER=6&it=878523&RID=rpc&SID=DAB4F3CBAD4A5&CI=0&AID=50&TYPE=xmlhttp&zx=86lfiz-d6yqca&t=1 AIN\epo DIRECT/72.14.221.17 text/plain
1235721542.442 102906 192.168.50.82 TCP_MISS/200 470 GET http://mail.google.com/mail/channel/bind?at=xn3j31dtjwsbgbq0lnmf2cxrnm5t1a&VER=6&it=1084720&RID=rpc&SID=DAB4F3CBAD4A5&CI=0&AID=59&TYPE=xmlhttp&zx=bo10cp-4xutb7&t=1 AIN\epo DIRECT/72.14.221.17 text/plain

[Cancer]

2 HidX

Пересмотри настройки в веб интерфейсе сделай что бы самс проверял логи сквид каждую минуту перезагрузи тачку с самсом, перезайди в браузере, у тя что то не так, потому что в логах access.log не пишется юзер под которым ты попадаешь в инет.

Да и проверьте правильность путей в sams.conf (так как у вас путь к кешу coredump_dir /usr/share/squid/cache т.е и в sams.conf он должен правильно быть указан
)и надеюсь лог сквида у вас со всеми тегами комментариями итд итп так как самс работает с конфигом сквида по #TAG

[HidX]

Собственно получилось реализовать всё, кроме редиректора, системы ошибок и отправки админу сообщения.
Никак не пойму почему не хотит работать система ошибок SAMS /usr/share/sams/messages. И не хотит отправляться мыло в случае превшения трафика админу.

Может что то не правильно делаю?

[Cancer]

В админке покажите пути
файл перенаправления запроса
Путь к каталогу, где лежат файлы запрета запроса

И редиректор вообще срабатывает ?

[HidX]

http://192.168.1.221/sams/icon/classic/blank.gif
http://192.168.1.221/sams/messages

Я пока без редиректора тестирую самсу. Если использовать без редиректора то разделы (Расширения файлов Запрет доступа по URL Регулярные выражения) работают. То есть то что я туда вношу, распространяется на юзеров и у них это запрещается.

Непонятно мне следующее.
Первое. Самс как то управляет редиректорами? К примеру SquidGuard, его базы запрещённых ресурсов будут видны в разделах САМСА? Или же нет, он управляется путём правки конфигов и баз сквидгара в ручную, и разделы (Расширения файлов Запрет доступа по URL Регулярные выражения) не нужны, при использовании редиректора? То же самое хотелось бы узнать и про режик.

Второе. Сквидгард и режик распространяются на всех юзеров сквида и самса? Тобишь, если бы я захотел что бы определённой группе пользователей самса было разрешено всё, без всяких резалок, мог бы я это реализовать средствами самса? (например создать шаблон) или же нет.

Спасибо

[Zhan]

Здравствуйте!
По статье все установил, прошло все на ура.
Проблемы были с установкой PHP5_EXTENSIONS. ругался что нет PDFlib-Lite-7.0.2.tar.gz
Заново обновил порты и далее скачалось PDFlib-Lite-7.0.3.tar.gz и установилось PHP5_EXTENSIONS.
далее все как по маслу , до этапа "Заходим в веб интерфейс, по умолчанию пользователь..."
захожу на web интерфейс - а там у меня нету кнопки "WEB interface settings"
можете зайти и проверить по адресу http://212.13.159.92/sams/ - нет такой кнопки!
НЕ пойму теперь куда копать?

P.S. система FreeBSD 7.1

[HidX]

У меня вошло )) У тебя там всё как надо. Какой у тебя браузер?

http://212.13.159.92/sams/main.php?show ... 1_prop.php

[Cancer]

А если поискать по лучше?

[Zhan]

Блин вы че прикалываетесь??
Нет у меня там ничего такого! Искал я хорошо!!!

это скрин с Opera - и с компа моего друга.

это скрин с моего компа в firefox. тоже самое в IE

[mod]

Народ вот такой вопрос...есть два сервера...на одном поднимаю самбу как контроллер домена..для файлпомойки и т.д)а на втором ставлю самс и т.д.как по статье..т.е авторизация будет через второй..а далее они через в инет как выходить будуТ?щас у меня просто шлюзом стоит первый сервер 192.168.0.1 а домен стоит на втором 192.168.0.2
это надо на первом фаером пакеты заворчиывать на скквид или как?чтоб пускать или не пускать в инет решал первый серв..т.е самс..щас только авторизировался и инет пашет..хоть куда иди)

[Cancer]

Zhan

Вы сначала зайдите под суперпользователем
Логин admin пароль qwerty
User authenticate ====> Access under the name of another superuser


Access under the name of another superuser (это кнопочка с двумя телами )

Говорю же читайте внимательнее

[Zhan]

ЙА НУПКО!!!
прошу прощения ))))
вот так оказывается нуна мну ткнуть носом

Спасибо ОГРОМНОЕ!

[HidX]

Народ вот такой вопрос...есть два сервера...на одном поднимаю самбу как контроллер домена..для файлпомойки и т.д)а на втором ставлю самс и т.д.как по статье..т.е авторизация будет через второй..а далее они через в инет как выходить будуТ?щас у меня просто шлюзом стоит первый сервер 192.168.0.1 а домен стоит на втором 192.168.0.2
это надо на первом фаером пакеты заворчиывать на скквид или как?чтоб пускать или не пускать в инет решал первый серв..т.е самс..щас только авторизировался и инет пашет..хоть куда иди)

Вам для начала желательно поднять на первом (шлюз который), фаервол с натом. Запретить доступ из вне, и разрешить юзерам из сети лазить в инет на smtp,pop,dns порты. (Можно кстати ещё админам открыть все порты )) но не безопасно.) А потом уже решать, заворачивать или не заворачивать пакеты по http\ftp на сквид.
Если будите заворачивать, то впринципе нет проблем. Если не будите, то придётся каждый комп перенастраивать и прописывать проксю.

Cancer - не могли бы вы проконсультировать меня по поводу моих вопросов? (см. выше)

[snorlov]

Народ вот такой вопрос...есть два сервера...на одном поднимаю самбу как контроллер домена..для файлпомойки и т.д)а на втором ставлю самс и т.д.как по статье..т.е авторизация будет через второй..а далее они через в инет как выходить будуТ?щас у меня просто шлюзом стоит первый сервер 192.168.0.1 а домен стоит на втором 192.168.0.2
это надо на первом фаером пакеты заворчиывать на скквид или как?чтоб пускать или не пускать в инет решал первый серв..т.е самс..щас только авторизировался и инет пашет..хоть куда иди)

Трудно сказать, что вам посоветовать, я бы сделал так, на файловой помойке поднял бы PDC с LDAP, а там, где сквид и sams поднял бы самбу как BDC c LDAP, причем настроил бы здесь ldap как репликацию с первого, таким образом в случае падения любого из них, что-то было бы работоспособно да и поднять все было легче, кстати на PDC можно было установить такой же набор софта, что и на BDC, только не запускать squid/sams/mysql...

[mod]

Народ вот такой вопрос...есть два сервера...на одном поднимаю самбу как контроллер домена..для файлпомойки и т.д)а на втором ставлю самс и т.д.как по статье..т.е авторизация будет через второй..а далее они через в инет как выходить будуТ?щас у меня просто шлюзом стоит первый сервер 192.168.0.1 а домен стоит на втором 192.168.0.2
это надо на первом фаером пакеты заворчиывать на скквид или как?чтоб пускать или не пускать в инет решал первый серв..т.е самс..щас только авторизировался и инет пашет..хоть куда иди)

Трудно сказать, что вам посоветовать, я бы сделал так, на файловой помойке поднял бы PDC с LDAP, а там, где сквид и sams поднял бы самбу как BDC c LDAP, причем настроил бы здесь ldap как репликацию с первого, таким образом в случае падения любого из них, что-то было бы работоспособно да и поднять все было легче, кстати на PDC можно было установить такой же набор софта, что и на BDC, только не запускать squid/sams/mysql...

А примерные статье как сделать не подскажите?
Просто охото разделить сервисы..самба отдельно..инет с самском и сквидйо отдельно..на две тачки..т.к она по конфигу разные и где самба там винт больше...для народа нужно чем больше тем лучше..

[Cancer]

HidX


На какие именно вопросы?

[Cancer]

Народ вот такой вопрос...есть два сервера...на одном поднимаю самбу как контроллер домена..для файлпомойки и т.д)а на втором ставлю самс и т.д.как по статье..т.е авторизация будет через второй..а далее они через в инет как выходить будуТ?щас у меня просто шлюзом стоит первый сервер 192.168.0.1 а домен стоит на втором 192.168.0.2
это надо на первом фаером пакеты заворчиывать на скквид или как?чтоб пускать или не пускать в инет решал первый серв..т.е самс..щас только авторизировался и инет пашет..хоть куда иди)

Трудно сказать, что вам посоветовать, я бы сделал так, на файловой помойке поднял бы PDC с LDAP, а там, где сквид и sams поднял бы самбу как BDC c LDAP, причем настроил бы здесь ldap как репликацию с первого, таким образом в случае падения любого из них, что-то было бы работоспособно да и поднять все было легче, кстати на PDC можно было установить такой же набор софта, что и на BDC, только не запускать squid/sams/mysql...

Не ну на шлюз глупо ставить что либо типа ЛДАП да и все что имеет инфу, так же было бы очень глупо на шлюзе настраивать файловую помойку.

Ну это просто совет, даже можно сказать замечание, но не упрек.

[HidX]

HidX
На какие именно вопросы?

Непонятно мне следующее.
Первое. Самс как то управляет редиректорами? К примеру SquidGuard, его базы запрещённых ресурсов будут видны в разделах САМСА? Или же нет, он управляется путём правки конфигов и баз сквидгара в ручную, и разделы (Расширения файлов Запрет доступа по URL Регулярные выражения) не нужны, при использовании редиректора? То же самое хотелось бы узнать и про режик.

Второе. Сквидгард и режик распространяются на всех юзеров сквида и самса? Тобишь, если бы я захотел что бы определённой группе пользователей самса было разрешено всё, без всяких резалок, мог бы я это реализовать средствами самса? (например создать шаблон) или же нет.

Спасибо

[Cancer]

HidX
На какие именно вопросы?

Непонятно мне следующее.
Первое. Самс как то управляет редиректорами? К примеру SquidGuard, его базы запрещённых ресурсов будут видны в разделах САМСА? Или же нет, он управляется путём правки конфигов и баз сквидгара в ручную, и разделы (Расширения файлов Запрет доступа по URL Регулярные выражения) не нужны, при использовании редиректора? То же самое хотелось бы узнать и про режик.

Второе. Сквидгард и режик распространяются на всех юзеров сквида и самса? Тобишь, если бы я захотел что бы определённой группе пользователей самса было разрешено всё, без всяких резалок, мог бы я это реализовать средствами самса? (например создать шаблон) или же нет.

Спасибо

Ну вы поставили данную связку? Если да то как такие могу вопросы возникать если даже вы ее не попробовали.
Если режик использовать без его стандартных бан листов, то все можно в админке распихивать по спискам запрета, т.е создаешь шаблон и не выбираешь ему ниодного списка запрета доступа по URL