squid-3.5.27_3 на freebsd 11.1

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
egles
проходил мимо
Сообщения: 4
Зарегистрирован: 2018-06-06 13:01:04

squid-3.5.27_3 на freebsd 11.1

Непрочитанное сообщение egles » 2018-06-06 13:39:04

Добрый день!
Столкнулся проблемой, в какую сторону копать не знаю.
Тестирую SQUID-3.5.27_3 с поддержкой samba для управления интернетом через группы пользователей из АД.
Из портов поставить не получилось, поставил из готовых пакетов. FreeBsd 11.1
В итоге ext_wbinfo_group_acl не корректно отрабатывает, а именно
доступ предоставляется всем пользователям прошедшим проверку, а не по определенным группам для интернета,
проверял работу самого ext_wbinfo_group_acl:
echo user Internet_all | /usr/local/libexec/squid/ext_wbinfo_group_acl
Если пользователь есть группе АД то возвращает ОК если нет то ERR

Сам конфиг:
# Recommended minimum configuration:
#auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=Domain\Internet_all
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param ntlm keep_alive on
################################################################################
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl
acl Internet_all external nt_group Internet_all
acl Internet_base external nt_group Internet_base
acl Domain proxy_auth REQUIRED
################################################################################
acl SSL_ports port 443 563 1025-65535 # https
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

################################################################################
acl base_url url_regex "/usr/local/etc/squid/files/base_url"
acl ext_url url_regex "/usr/local/etc/squid/files/ext_url"
acl porn_url url_regex "/usr/local/etc/squid/files/porn_url"
acl bigfiles urlpath_regex \.bmp$ \.swf$ \.mp3$ \.mid$ \.avi$ \.mpeg$
acl banners urlpath_regex sputnik/img\.pl advert.*gif weblist_banner cgi-bin/ba
#
# Recommended minimum Access Permission configuration:
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow Domain Internet_all all
http_access allow Internet_base base_url
http_access allow localhost
http_access deny porn_url all
http_access deny bigfiles all
http_access deny banners all
http_access deny all
################################################################################
http_port 3128
cache_mem 64 MB
maximum_object_size 16384 KB
cache_access_log /var/log/squid/access.log squid
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid/squid.pid
ftp_user anonimouse@mail.ru
ftp_passive on
dns_nameservers 8.8.8.8
diskd_program /usr/local/libexec/squid/diskd
unlinkd_program /usr/local/libexec/squid/unlinkd
pinger_program /usr/local/libexec/squid/pinger
cache_effective_user squid
cache_effective_group squid
logfile_rotate 10
#===================================================================
cache_dir ufs /var/log/squid/cache 100 16 256
coredump_dir /var/log/squid/cache
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:<-><------>1440<-->20%<--->10080
refresh_pattern ^gopher:<------>1440<-->0%<---->1440
refresh_pattern -i (/cgi-bin/|\?) 0<--->0%<---->0
refresh_pattern .<-----><------>0<----->20%<--->4320

Буду признателен за любую помощь!

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

squid-3.5.27_3 на freebsd 11.1

Непрочитанное сообщение snorlov » 2018-06-07 9:57:50

Не совсем понятно
egles писал(а):
2018-06-06 13:39:04
http_access allow Domain Internet_all all
где правило all, закоментируйте этот доступ и посмотрите, сквид ведь как делает, как только allow или deny, то дальше не смотрит

egles
проходил мимо
Сообщения: 4
Зарегистрирован: 2018-06-06 13:01:04

squid-3.5.27_3 на freebsd 11.1

Непрочитанное сообщение egles » 2018-06-08 12:41:17

Пробовал:
http_access allow Domain Internet_all
и:
http_access allow Domain
и:
http_access allow Internet_all
Результат пускает всех кто прошел авторизацию в домене.

egles
проходил мимо
Сообщения: 4
Зарегистрирован: 2018-06-06 13:01:04

squid-3.5.27_3 на freebsd 11.1

Непрочитанное сообщение egles » 2018-06-08 13:10:00

Если же просто закомментировать то нет доступа к инету, меня удивляет другое:
запрос на авторизацию не выходит при отсутствии пользователя в группе Internet_all,
если сделать так:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=Domain\Internet_all
# auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
то при отсутвии пользователя в группе Internet_all, запрос на авторизацию появляется

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

squid-3.5.27_3 на freebsd 11.1

Непрочитанное сообщение snorlov » 2018-06-09 0:04:51

у вас фря в ад через winbind трудится?