Обсуждение SQUID+SAMS with NTLM

[HidX]

Ну вы поставили данную связку? Если да то как такие могу вопросы возникать если даже вы ее не попробовали.
Если режик использовать без его стандартных бан листов, то все можно в админке распихивать по спискам запрета, т.е создаешь шаблон и не выбираешь ему ниодного списка запрета доступа по URL

Всё понятно. Хорошо.
Как я понял бан листы режика распространяются на абсолютно всех пользователей сквида. У меня в конторе есть определенные руководящие лица, которым нужно скачать музычку, рекламку посмотреть и т.д. Как мне снять распространение бан листов режика на них? (пускать в обход прокси их не желательно).

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Cancer]

Ну вы поставили данную связку? Если да то как такие могу вопросы возникать если даже вы ее не попробовали.
Если режик использовать без его стандартных бан листов, то все можно в админке распихивать по спискам запрета, т.е создаешь шаблон и не выбираешь ему ниодного списка запрета доступа по URL

Всё понятно. Хорошо.
Как я понял бан листы режика распространяются на абсолютно всех пользователей сквида. У меня в конторе есть определенные руководящие лица, которым нужно скачать музычку, рекламку посмотреть и т.д. Как мне снять распространение бан листов режика на них? (пускать в обход прокси их не желательно).

Удалить БАНЛИСТ режика и создать в САМСЕ список запрета по расширениям. Далее создать Профиль Directors и не назначать запрет по расширениям файлов, все очень просто. Вы сначала говорю же попробуйте а потом задавайте вопросы.

[savelyalex]

Знатоки sams, подскажите, как реализовать вот такую задачу:
стоит squd+sams+авторизация в AD, все работает.
необходимо, чтобы с некоторых компьютеров доступ в инет был без авторизации ?

я пробовал вот так:

Код: Выделить всё

acl freeinet src 192.168.10.5
#  TAG: acl
........
http_access allow freeinet

#  TAG: http_access

не получилось
Выдает:
Доступ к прокси-серверу запрещен
Access denied

Причем, похоже, что это сообщение sams-a

Есть какие-нибудь мысли ?

[Cancer]

Создай профиль и скажи ему что бы у него была авторизация по IP и далее на пользователя назнач этот профиль на пользователя нового и укажи его IP , только не вводи пароль. А авторизация я так понял ADLDAP ??? то по идее вам не в эту ветку.

[savelyalex]

Спасибо, получилось !

P.S. думаю, мне в эту ветку, т.к. моя авторизация ближе всего к NTLM

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/msnt_auth

[Cancer]

Спасибо, получилось !

P.S. думаю, мне в эту ветку, т.к. моя авторизация ближе всего к NTLM

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/msnt_auth

Так а ты что самс используешь с MSNT ???? Если да то можно подробнее... Интересная вещь. Если что пиши в ПМ

[mod]

вот ещё такой вопрос..если настраивать эту связку на машина которые авторизируются в домене..в браузее прописывать на каждой проксик?а шлюз тачку на которой инет есть?или как?:)

[Cancer]

вот ещё такой вопрос..если настраивать эту связку на машина которые авторизируются в домене..в браузее прописывать на каждой проксик?а шлюз тачку на которой инет есть?или как?:)

Это все управляеться групповой политикой DHCP говоришь выдавать основной шлюз FreeBSD так же и браузерам тоже FreeBSD, короче все должно идти через прокси сервер.

Советую почитать про что такое маршрутизаторы итд итп

[ASD]

Все делал по статье...все работает...но ровно через сутки winbind падает в корку....

Код: Выделить всё

gw# uname -a
FreeBSD gw.ekaterinburg.ibam.local 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Sat Mar 21 15:14:18 YEKT 2009     root@gw.ekaterinburg.ibam.local:/usr/obj/usr/src/sys/ASD_kernel.2009-21-03  i386

Код: Выделить всё

Mon Mar 23 16:19:15 YEKT 2009
Mar 24 12:20:00 gw winbindd[600]: [2009/03/24 12:20:00, 0] lib/fault.c:fault_report(41)
Mar 24 12:20:00 gw winbindd[600]:   ===============================================================
Mar 24 12:20:00 gw winbindd[600]: [2009/03/24 12:20:00, 0] lib/fault.c:fault_report(42)
Mar 24 12:20:00 gw winbindd[600]:   INTERNAL ERROR: Signal 6 in pid 600 (3.0.32)
Mar 24 12:20:00 gw winbindd[600]:   Please read the Trouble-Shooting section of the Samba3-HOWTO
Mar 24 12:20:00 gw winbindd[600]: [2009/03/24 12:20:00, 0] lib/fault.c:fault_report(44)
Mar 24 12:20:00 gw winbindd[600]:
Mar 24 12:20:00 gw winbindd[600]:   From: http://www.samba.org/samba/docs/Samba3-HOWTO.pdf
Mar 24 12:20:00 gw winbindd[600]: [2009/03/24 12:20:00, 0] lib/fault.c:fault_report(45)
Mar 24 12:20:00 gw winbindd[600]:   ===============================================================
Mar 24 12:20:00 gw winbindd[600]: [2009/03/24 12:20:00, 0] lib/util.c:smb_panic(1633)
Mar 24 12:20:00 gw winbindd[600]:   PANIC (pid 600): internal error
Mar 24 12:20:00 gw winbindd[600]: [2009/03/24 12:20:00, 0] lib/util.c:log_stack_trace(1737)
Mar 24 12:20:00 gw winbindd[600]:   BACKTRACE: 22 stack frames:
Mar 24 12:20:00 gw winbindd[600]:    #0 0xd2ffd <smb_panic+93> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #1 0xbd3c6 <dump_core_setup+1014> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #2 0xbfbfffb4
Mar 24 12:20:00 gw winbindd[600]:    #3 0x2069457a <abort+106> at /lib/libc.so.7
Mar 24 12:20:00 gw winbindd[600]:    #4 0x2067b9e6 <__assert+86> at /lib/libc.so.7
Mar 24 12:20:00 gw winbindd[600]:    #5 0x2058443f <ldap_parse_result+863> at /usr/local/lib/libldap-2.4.so.3
Mar 24 12:20:00 gw winbindd[600]:    #6 0x1db2ec <ads_clear_service_principal_names+2172> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #7 0x1db66f <ads_do_search_all_args+111> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #8 0x1e4ba6 <ads_atype_map+918> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #9 0x1e4efa <ads_do_search_retry+58> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #10 0x1d815c <ads_USN+108> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #11 0x65bc3 <msrpc_name_to_sid+5299> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #12 0x4c769 <wcache_count_cached_creds+521> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #13 0x4cd69 <cache_name2sid+201> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #14 0x4d768 <cache_name2sid+2760> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #15 0x5bb41 <winbindd_dual_list_trusted_domains+113> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #16 0x6af85 <winbind_msg_online+3349> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #17 0x49d7e <init_child_connection+398> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #18 0x6c976 <async_domain_request+182> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #19 0x4a3d0 <rescan_trusted_domains+272> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #20 0x40802 <main+1874> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]:    #21 0x3ebc9 <_start+137> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[600]: [2009/03/24 12:20:00, 0] lib/fault.c:dump_core(181)
Mar 24 12:20:00 gw winbindd[600]:   dumping core in /var/log/samba/cores/winbindd
Mar 24 12:20:00 gw winbindd[600]:
Mar 24 12:20:00 gw winbindd[591]: [2009/03/24 12:20:00, 0] lib/fault.c:fault_report(41)
Mar 24 12:20:00 gw winbindd[591]:   ===============================================================
Mar 24 12:20:00 gw winbindd[591]: [2009/03/24 12:20:00, 0] lib/fault.c:fault_report(42)
Mar 24 12:20:00 gw winbindd[591]:   INTERNAL ERROR: Signal 6 in pid 591 (3.0.32)
Mar 24 12:20:00 gw winbindd[591]:   Please read the Trouble-Shooting section of the Samba3-HOWTO
Mar 24 12:20:00 gw winbindd[591]: [2009/03/24 12:20:00, 0] lib/fault.c:fault_report(44)
Mar 24 12:20:00 gw winbindd[591]:
Mar 24 12:20:00 gw winbindd[591]:   From: http://www.samba.org/samba/docs/Samba3-HOWTO.pdf
Mar 24 12:20:00 gw winbindd[591]: [2009/03/24 12:20:00, 0] lib/fault.c:fault_report(45)
Mar 24 12:20:00 gw winbindd[591]:   ===============================================================
Mar 24 12:20:00 gw winbindd[591]: [2009/03/24 12:20:00, 0] lib/util.c:smb_panic(1633)
Mar 24 12:20:00 gw winbindd[591]:   PANIC (pid 591): internal error
Mar 24 12:20:00 gw winbindd[591]: [2009/03/24 12:20:00, 0] lib/util.c:log_stack_trace(1737)
Mar 24 12:20:00 gw winbindd[591]:   BACKTRACE: 21 stack frames:
Mar 24 12:20:00 gw winbindd[591]:    #0 0xd2ffd <smb_panic+93> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #1 0xbd3c6 <dump_core_setup+1014> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #2 0xbfbfffb4
Mar 24 12:20:00 gw winbindd[591]:    #3 0x2069457a <abort+106> at /lib/libc.so.7
Mar 24 12:20:00 gw winbindd[591]:    #4 0x2067b9e6 <__assert+86> at /lib/libc.so.7
Mar 24 12:20:00 gw winbindd[591]:    #5 0x2058443f <ldap_parse_result+863> at /usr/local/lib/libldap-2.4.so.3
Mar 24 12:20:00 gw winbindd[591]:    #6 0x1db2ec <ads_clear_service_principal_names+2172> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #7 0x1db66f <ads_do_search_all_args+111> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #8 0x1e4ba6 <ads_atype_map+918> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #9 0x1e4efa <ads_do_search_retry+58> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #10 0x1d815c <ads_USN+108> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #11 0x65bc3 <msrpc_name_to_sid+5299> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #12 0x4c769 <wcache_count_cached_creds+521> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #13 0x4cd69 <cache_name2sid+201> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #14 0x4f638 <cache_name2sid+10648> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #15 0x444cb <winbindd_getgroups+1851> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #16 0x46c58 <winbindd_getgrent+968> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #17 0x3f9b0 <request_finished_cont+896> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #18 0x3ffa9 <winbind_check_sighup+521> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #19 0x40a24 <main+2420> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]:    #20 0x3ebc9 <_start+137> at /usr/local/sbin/winbindd
Mar 24 12:20:00 gw winbindd[591]: [2009/03/24 12:20:00, 0] lib/fault.c:dump_core(181)
Mar 24 12:20:00 gw winbindd[591]:   dumping core in /var/log/samba/cores/winbindd
Mar 24 12:20:00 gw winbindd[591]:
pid 600 (winbindd), uid 0: exited on signal 6 (core dumped)
pid 591 (winbindd), uid 0: exited on signal 6 (core dumped)

[kolesya]

была ботва с ежедневным падением винса на 3,0,28 + stable 6,3 и 3,0,28 + stable 7,0.


Один сервак

Код: Выделить всё

# pkg_info | grep samba
samba-3.0.32_3,1    A free SMB and CIFS client and server for UNIX
# uname -a
FreeBSD gw 7.1-RELEASE-p4 FreeBSD 7.1-RELEASE-p4 #7: Tue Mar 24 07:49:08 EET 2009     root@gw:/usr/obj/usr/src/sys/PROXY  i386
# uptime
10:43AM  up 8 days,  1:37, 2 users, load averages: 0.00, 0.02, 0.00
#

Второй сервак

Код: Выделить всё

# uname -a
FreeBSD gw2 7.0-RELEASE-p11 FreeBSD 7.0-RELEASE-p11 #3: Tue Mar 24 07:57:59 EET 2009     root@gw:/usr/obj/usr/src/sys/GAMMA  i386
# pkg_info | grep samba
samba-3.0.32_2,1    A free SMB and CIFS client and server for UNIX

Рекомендую обновить самбу, причем собирай только с опциями, которые действительно нужны. Вот мои опции сборки самбы

Код: Выделить всё

# cat /var/db/ports/samba3/options
# This file is auto-generated by 'make config'.
# No user-servicable parts inside!
# Options for samba-3.0.32_3,1
_OPTIONS_READ=samba-3.0.32_3,1
WITH_LDAP=true
WITH_ADS=true
WITHOUT_CUPS=true
WITH_WINBIND=true
WITH_ACL_SUPPORT=true
WITHOUT_AIO_SUPPORT=true
WITHOUT_FAM_SUPPORT=true
WITHOUT_SYSLOG=true
WITH_QUOTAS=true
WITH_UTMP=true
WITHOUT_PAM_SMBPASS=true
WITHOUT_CLUSTER=true
WITHOUT_DNSUPDATE=true
WITH_EXP_MODULES=true
WITH_POPT=true
WITH_PCH=true
WITHOUT_MAX_DEBUG=true
WITHOUT_SMBTORTURE=true

[Makleking]

Подскажите, как сделать в SAMS, чтобы пользователи, существующие в домене, но не указанные в списке пользователей самса, не могли использовать настроенный прокси сервер?
И второе, возможно ли в SAMS указать пользователей домена, которые написаны латиницей, а то при нажатии загрузить всех пользователей домена у меня не показываются такие пользователи.

[Cancer]

Подскажите, как сделать в SAMS, чтобы пользователи, существующие в домене, но не указанные в списке пользователей самса, не могли использовать настроенный прокси сервер?
И второе, возможно ли в SAMS указать пользователей домена, которые написаны латиницей, а то при нажатии загрузить всех пользователей домена у меня не показываются такие пользователи.

Да пользователей на русском кажется можно добавлять.

[kolesya]

Подскажите, как сделать в SAMS, чтобы пользователи, существующие в домене, но не указанные в списке пользователей самса, не могли использовать настроенный прокси сервер?

Можно, но тогда придется нужных пользователей включать в доменную группу (чтоб авторизацию проходили).

Код: Выделить всё

auth_param ntlm  program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=DOMAIN\\internet

И второе, возможно ли в SAMS указать пользователей домена, которые написаны латиницей, а то при нажатии загрузить всех пользователей домена у меня не показываются такие пользователи.

Перекодировку настрой, и будет счастье (1251)

[kolesya]

Поправьте если я не прав:
WEBморда работает только в осле

ФФ частично работает (примерно 50 на 50 функционала)
гуглхром не отображается левая панель

[MBear]

Тоже заметил такую беду. В ФФ даже настройки не сохраняет.
У меня проблема - после того как sams поменял конфиг сквида, тот ругается :

Код: Выделить всё

 squid -k reconfigure
2009/04/02 09:48:38| Invalid Proxy Auth ACL 'acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams" ' because no authentication schemes are fully configured.
FATAL: Bungled squid.conf line 1646: acl _sams_default proxy_auth "/usr/local/etc/squid/default.sams"
Squid Cache (Version 2.7.STABLE6): Terminated abnormally.

чет я не понимаю....

[Cancer]

Удалите Профиль Default и попробуйте заного создать!
Не забудьте создать нового пользователя!!!!

[MBear]

Создал новый чистый конфиг сквида.
Когда выбираю "Реконфигурирование SQUID " SAMS добавляет в сквидовский конфиг свои строчки и почему-то убирает acl _sams_default _sams_default_time , а сквид ругается на

Код: Выделить всё

Apr  2 12:54:27 gate2 squid[34018]: Bungled squid.conf line 67: http_access allow _sams_default  _sams_default_time

[MBear]

Удалите Профиль Default и попробуйте заного создать!
Не забудьте создать нового пользователя!!!!

профиль чего? группу пользователей?
пробовал, он добавляет http_access но не добавляет acl для этого http_access

[Cancer]

Удалите Профиль Default и попробуйте заного создать!
Не забудьте создать нового пользователя!!!!

профиль чего? группу пользователей?
пробовал, он добавляет http_access но не добавляет acl для этого http_access

снеси профиль из Веб морды Default и создай другой
пользователя тоже пересоздай запусти демон самса и реконфигурируй сквид из веб интерфейса

[MBear]

повторюсь. У SAMS нет понятия "профиль", есть группа пользователей, ее ты имеешь в виду?
Снес, создал, добавил пользователей, делаю реконфигурацию, добавляет
http_access allow _sams_49d455950a0b7 _sams_49d455950a0b7_time

но не добавляет
acl _sams_49d455950a0b7 proxy_auth "/usr/local/etc/squid/49d455950a0b7.sams"

[Cancer]

Как понять почему не стартует SQUID? куда он логи пишет?

Чем мне грозит то что я security = domain заменил на security = ADS в smb.conf?

С АДС у меня падал winbind а с новой версией Самбы возможно все норм

[kolesya]

Внимание!
Кто конфиги пишет с нуля, запомните,для корректной работы sams требуется в squid.conf теги
Все теги определены ?

Код: Выделить всё

# TAG: acl
# TAG: http_access
#  TAG: delay_class       (два пробела после решетки)

[kolesya]

С АДС у меня падал winbind а с новой версией Самбы возможно все норм

эта samba-3.0.32_3,1 не падает.
Проверено на 6.2 7.0 7.1

Код: Выделить всё

security = ads

[MBear]

Внимание!
Кто конфиги пишет с нуля, запомните,для корректной работы sams требуется в squid.conf теги
Все теги определены ?

Вот ОНО!
Теперь ясно в чем дело!
Респект и уважуха!!!!

[kolesya]

Вот ОНО!
Теперь ясно в чем дело!
Респект и уважуха!!!!

что именно ?