Squid и авторизация пользователей в AD по группам

[aspera]

Ну и вопрос родился:

acl inet-users external nt_group inet-users # Сюда входят пользователи с правом ходить в инет
http_access deny !inet-users # При таком раскладе запрещает доступ, если я не вхожу в группу
# inet-users, но браузер не выводит красивую страничку на тему пшел нафиг, а методично
# спрашивает пароль. Есть ли способ в корне пресечь это попрошайство?

Что за браузер? Если тормозилла то она всю жизнь будет попрошайничать как и разработчики, а вот ослик с оперой должны прекрасно показывать дулю. Если же всего этого не происходит, значит ошибки у вас уже не на прокси сервере а в АДу раз встроенный браузер (я имею ввиду осла) не может подставить учетные данные пользователя

З.Ы. В самбе 3.4 все прекрасно читается из всех юнитов и даже на русском.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[aspera]

Спасибо за статью.
Возник вопрос: в AD есть две группы, одна привязана к ограничению скорости (например, speedlimit16k), другая разрешает сайты только из вайтлиста (например, whitelist).
Есть пользователь, который входит в обе группы. Порядок acl такой:

Код: Выделить всё

delay_class 1 1
delay_access 1 allow speedlimit16k
delay_access 1 deny all
delay_parameters 1 16000/16000

http_access allow whitelist whiteurls
http_access deny all

Т.е. оно должно было для сайтов из вайтлиста ограничить скорость до 16кбс, на деле сайты из вайтлиста доступны на полной скорости.
Конечно, можно сделать железное ограничение на whiteurls, но хочется проверку по двум или даже трем группам в AD. Как можно это реализовать?

Интересная задачка, попробую поковыряться над этой проблемой как свободное время появится, хотя есть подозрение на иерархию групп доступа в самих форточках например пользователь включенный в группы администраторы домена и пользователи домена точно не получит права обычного пользователя. Так же и сдесь - сквид удовлетворившись тем что пользователь имеет доступ к сайту, тупо его пропускает. Но это только предположение, обязательно озадачусь этим вопросом, самому интересно стало

[Uneform_alex]

Доброе время суток.
Слушай, я тут по твоему мануальнику поднять сквд на Debian. У меня начались сложности. Т.к. я так и не понял когда а главное где ты успел настроить kerberos. И надо ли его вообще настраивать? Дело в том что у меня команда:

Код: Выделить всё

net ads join -U user%pass

непроходит и ошибка следующая:

Код: Выделить всё

[2010/11/03 18:26:46.573334,  0] libads/kerberos.c:333(ads_kinit_password)
  kerberos_kinit_password KHRONOS$@OZNA.CORP failed: Preauthentication failed

Настройки я онечно кербероса поправил чуток но это не помогло. Не подскажешь где может быть ошибка?

[Alex Keda]

в выборе ОС

[voitsykh]

А кто подскажет такую штуку...стоит squid3, все отлично работает но...есть группа webmail в которой я разрешаю чтобы люди ходили только по определенным почтовым сайтам...gmail mail.ru ukr.net и тд. Если работать через outlook все ок...доступ к почтовым ящика есть...а вот через веб морду есть проблемы...а именно если открываю ukr.net, потом ввожу логин и пароль, то страничка не загружается...а просто пишет загрузка и все...такое чувство что стоит какой то скрипт и он не выполняется Кто может помочь?

[SOBAN]

Интересует вопрос, если есть шлюз и на нем организовать связку по данной статье.
Ограничить доступ с внешки возможно и не будет траблов с безопасностью о которой говорили в первых сообщениях?

[amicus]

Народ, помогите разобраться. В данной статье указана конфигурация /squid.conf в которой

Код: Выделить всё

acl Safe_ports port 110 # POP3
acl Safe_ports port 25 # SMTP

а так же приводится цитата

Если работать через outlook все ок...доступ к почтовым ящика есть

Правильно ли я понимаю, что исходя из этого можно сделать предположение, что сквид умеет проксировать почту или обеспечивает какой - то механизм для работы через 110 и 25 порты. Честно говоря я такого не нашёл ни на сайте http://www.squid-cache.org/ ни где либо в другом месте, только

Squid is a caching proxy for the Web supporting HTTP, HTTPS, FTP, and more

или близкую цитату но не совсем то

Squid can be used as an accelerator and ACL filter in front of an exchange server exporting mail via RPC over HTTP

где ничего не сказано про pop, imap и прочую. Помогите разобраться, зачем в конфиге указаны данные порты и как сквид вообще работает с почтой.

P.S. как и указано в заголовке -- долго запрягаю и сильно торможу.

[matt]

как и тут и говорили, авторизация у меня отлетела. перепробовал ВСЁ (пересобирал, даунгрейдил, переделывал конфиги). в логах ничего странного не нашёл.

[matt]

кому-нибудь удавалось её воскресить?

[Yes_kz]

всем привет

скурил статью ... и или у меня руки кривые или еще что ...

но хоть убей squid после перезагрузки сервера перестает всех пускать ... вылечил перезагрузкой squid и именно из каталога /usr/local/etc/rc.d/squid restart

в остальном все просто ...
ради эксперимента заблокировал auth юзера в АД - работает
сейчас пытаюсь понять почему сквид из rc.conf криво запускается!!!

[vvv777]

Боьлшое спасибо автору в процесе переваривания всего,

squid.conf почти оставил как есть,но возникают ошибки :


кто имел дела очень нужна помощь что не так ?

Ошибки:

Proxy# squid -z
2011/02/17 17:21:46| ACL name 'all' not defined!
FATAL: Bungled squid.conf line 147: http_access deny all
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.
Proxy#


Мой файл:

Код: Выделить всё

# Указываем Squid как проводить аутентификацию:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 5 minute
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 20 minute
auth_param basic casesensitive off
# Теперь указываем Squid где брать информацию о группах пользователей
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
# Рекомендованная минимальная конфигурация:
#acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
# Описываем основные порты (с вашего позволения из этого списка я убираю
# порты для управления активным оборудованием, службами и сервисами, в т.ч.
# порты доступа по ssh (эти порты у меня не стандартные, что рекомендую
# всем остальным))
acl SSL_ports port 563 # snews
acl Safe_ports port 80 # http
acl FTP port 20 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-httpacl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 110 # POP3
acl Safe_ports port 25 # SMTP
acl purge method PURGE
acl CONNECT method CONNECT
# Указываем пулы адресов нашей сети/сетей

#acl lan src 10.201.1.0/255.255.255.0
acl lan src 10.0.1.0/255.255.255.0


# Указываем диапазоны адресов серверных платформ, нуждающихся в обновлении
# через интернет
# В моем случае это сервера WSUS, Symantec Endpoint Protection Manager и т.д.
acl Servers src 10.0.1.1-10.0.1.49
# Указываем адреса машин, которым интернет доступен без ограничений
# скорости (правильно админские)
acl Speed_Internet src 10.0.1.101 10.0.1.102
# Указываем диапазон адресов пользователей FTP
acl FTPusers src 10.0.1.101-10.0.1.102
# Указываем расположение и назначение словарей доступа в сеть интернет:
acl url-updates dstdomain "/usr/local/etc/squid/url-updates.txt"
# Список сайтов для обновления серверов
acl url-mail-ru dstdomain "/usr/local/etc/squid/url-mail-ru.txt"
# Доступ к почте mail.ru
acl url-good dstdomain "/usr/local/etc/squid/url-good.txt"
# Список разрешенных сайтов (доступ к этим сайтам будет возможен
# даже пользователям, кторым доступ в интернет запрещен)
acl urls-good urlpath_regex -i "/usr/local/etc/squid/urls-good.txt"
# Тоже самое только по протоколу https
acl url-bad dstdomain "/usr/local/etc/squid/url-bad.txt"
# Список запрещенных сайтов
acl urls-bad url_regex -i "/usr/local/etc/squid/urls-bad.txt"
# Тоже самое только по протоколу https
acl url-webmail dstdomain "/usr/local/etc/squid/url-webmail.txt"
# Список web-mail
acl urls-webmail url_regex -i "/usr/local/etc/squid/inet-webmails.txt"
# web-mail по https
acl url-porno url_regex -i "/usr/local/etc/squid/url-porno.txt"
# Список порносайтов
acl url-audio dstdomain "/usr/local/etc/squid/url-audio.txt"
# Списки аудиоконтента
acl url-banners url_regex -i "/usr/local/etc/squid/url-banners.txt"
acl url-banners url_regex -i "/usr/local/etc/squid/url-banners.txt"
# Список баннеров
acl url-JAVA dstdomain "/usr/local/etc/squid/url-java.txt"
# Список сайтов, использующих для работы JAVA-#апплеты
acl url-netshare dstdom_regex -i "/usr/local/etc/squid/url-netshare.txt"
# Списки netshare
acl url-redirector dstdom_regex -i "/usr/local/etc/squid/url-redirector"
# Список анонимайзеров
acl urls-redirector url_regex -i "/usr/local/etc/squid/urls-redirector"
# Тоже самое по https
#########################################################
#Многие спросят нахрена одно и тоже и так много, ведь можно все объединить
#в один файл. Объясняю: во-первых часть списков будет содержать не адреса
#сайтов а регулярные выражения в ссылках, по которым сайты будут блокироваться
#(очень актуально для порнухи и web-mail ибо банить их просто устанешь).
#Так же данные ограничения буду применяться по разному для разных
#групп пользователей
#########################################################
# Указываем группы доступа
acl inet-admins external nt_group inet-admins # Доступ для админов
acl inet-directors external nt_group inet-directors # Как же их любимых
# с пользователями то ровнять
acl inet-mail.ru external nt_group inet-mail.ru # Избранные с правом
# доступа на почту mail.ru
acl inet-servers external nt_group inet-servers # Группа для обновлений
# серверов
acl inet-users external nt_group inet-users # Бедняги обычные смертные
acl inet-webmail external nt_group inet-webmail # Группа пользователей с
#голубой кровью, испытывающих #недостатки в работе с корпоративной почтой
# и предпочитающей альтернативы (думаю везде есть такие #уникумы)
acl GET method GET
acl inet-ftp external nt_group inet-ftp # Пользователи которым разрешен
# доступ к ftp-серверам

#  TAG: http_access
# Теперь начинаем процесс естественной селекции, указывая
# кому что можно, а именно сопоставляем группы пользователей
# с ранее указанными словарями
# Для начала вводим ограничения по портам
http_access allow manager lan
http_access allow purge localhost
http_access deny !Safe_ports !FTP
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny to_localhost
http_access allow localhost
http_access allow purge localhost
http_access deny purge
url_rewrite_access deny localhost
# Теперь указываем права доступа по словарям
http_access deny FTP !FTPusers
http_access allow url-JAVA
http_access allow url-good
http_access allow urls-good
http_access deny urls-bad
http_access deny url-bad
http_access deny urls-redirector
http_access deny url-redirector
# Теперь указываем в каких группах используются какие словари
http_access allow inet-directors !url-netshare
http_access allow url-mail-ru inet-mail.ru
http_access allow inet-webmail !url-porno !url-netshare
http_access allow url-updates inet-servers
http_access allow inet-mail.ru !url-webmail !urls-webmail !url-porno !url-netshare
http_access allow inet-admins !url-mail-ru !url-webmail !urls-webmail !url-porno
http_access allow inet-ftp !url-bad !urls-bad !url-webmail !urls-webmail !url-porno
http_access allow inet-users !url-mail-ru !url-good !url-bad !urls-bad !url-webmail !urls-webmail !url-porno !url-audio !url-banners !url-netshare !url-redir
# Напоследок стандартные правила

http_access deny all
http_reply_access allow all
icp_access allow all

# Указываем порт, на котором будет слушать Squid
http_port 3128

[Yes_kz]

раскоменть строку #acl all src 0.0.0.0/0.0.0.0

[vvv777]

раскоменть строку #acl all src 0.0.0.0/0.0.0.0

а почему баги не знаете?

parse_delay_pool_access: Ignoring pool 1 not in 1 .. 0

?????????????

Proxy# squid -z
2011/02/17 18:46:34| parse_delay_pool_access: Ignoring pool 1 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_access: Ignoring pool 2 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_access: Ignoring pool 2 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_access: Ignoring pool 3 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_access: Ignoring pool 4 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_access: Ignoring pool 4 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_access: Ignoring pool 1 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_access: Ignoring pool 1 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_access: Ignoring pool 2 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_class: Ignoring pool 1 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_class: Ignoring pool 2 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_class: Ignoring pool 3 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_class: Ignoring pool 4 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_rates: Ignoring pool 1 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_rates: Ignoring pool 2 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_rates: Ignoring pool 3 not in 1 .. 0
2011/02/17 18:46:34| parse_delay_pool_rates: Ignoring pool 4 not in 1 .. 0
2011/02/17 18:46:34| Creating Swap Directories

[Yes_kz]

... не вижу конфигу твоих delay_pool ... закоменть их пока ... и для начала разберись с правами доступа к каталогам в которых сквид будет хранить кэш, логи и т д ... потом разберись/пойми настройку на основе пары ACLек ... когда будет понимание принципа составления ACL тогда легче будет написать свой конфиг и delay_pool уже будет не проблема ...

[vvv777]

... не вижу конфигу твоих delay_pool ... закоменть их пока ... и для начала разберись с правами доступа к каталогам в которых сквид будет хранить кэш, логи и т д ... потом разберись/пойми настройку на основе пары ACLек ... когда будет понимание принципа составления ACL тогда легче будет написать свой конфиг и delay_pool уже будет не проблема ...

директорию исправил

Код: Выделить всё

Proxy# chmod 777 cache
Proxy# ll
total 2
drwxrwxrwx  18 root  wheel  512 Feb 17 18:46 cache
Proxy#

у меня есть понятие ACL но тут очень большой конфиг разобратса надо, в принципе я не менял почти нечего с оригинала ну там поправил сеть , кое что
а в основнм тоже самое

[veles]

Статья понравилась, написана толково!!! Теперь вопрос - у меня получаться, что если есть юзер в домене то его авторизация происходит в сквиде по любому и БЕЗ АВТОРИЗАЦИИ ЕГО В ДОМЕНЕ, это значит то что юзеру не обязательно регистрироваться в домена ему просто достаточно числиться в нём ... А это очень плохо !!! Короче может кто знает как сделать так что юзер без авторизации не сможет пользоваться интернетом ?

[Алексей]

За статью спасибо, но вопросу тюнинга уделено мало времени
1.
Поделитесь пожалуйста проверенными практикой параметрами squid_а на 300-500 пользователей.

Например:
Какая связь между параметром children в
external_acl_type AAA children=10 %LOGIN /usr/lib/squid3/wbinfo_group.pl
и
auth_param ntlm children 15
auth_param basic children 15

Учитывая нармальное железо и 4Г Рама до каких значений можно увеличить данные параметры?

2. У меня Ubuntu 10.04 (используется только под squid). 4G RAM
Так и не нашёл способа передать через sysctl
kern.maxdsiz="2610612736"

3.
Поставил cache_mem 1024 MB (при 4G RAM). Нормально?

[xPrizrak]

Вопрос про керберс. В данной статье он не используется. Я настроил все по статье, без керберса, у меня все отлично работает. Но в других подобных статьях пишут об использовании керберса. Для чего он нужен?

И вопрос. При удалении или добавлении пользователя в группу требуется перезапусть Samba. Или время, что бы пользователя, например, перестало пускать в инет. Но для перезапуска Samba нужно входить в FreeBSD, можно ли избежать этого, но изменения применялись бы сразу.

[snorlov]

вроде был параметр типа winbind refresh cache time, или что-то типа того....

[xPrizrak]

наверное это authenticate_cache_garbage_interval 15 minute а если поставить 1 минуту не нагрузит ли это сервер?

[snorlov]

наверное это authenticate_cache_garbage_interval 15 minute а если поставить 1 минуту не нагрузит ли это сервер?

То, что я предлагаю, это в smb.conf winbind cache time называется...

[xPrizrak]

нашел, не срабатывает. Выставил 5 минут (300 сек). Правиле не меняются.

[bpp]

Поясните, зачем нужен в кофиге сквида acl:
acl Servers src 10.201.1.1-10.201.1.49
Если он больше нигде не задействован?
Еще у Вас есть группа в АД для обновления серверов, а кого вы в нее включаете? Сервер ведь при попытке обновления не шлет данные для авторизации? Или я что-то пропустил..

[burder]

Коллеги, подскажите!
На данный момент связка AD+WinBind+SQuid нормально работает?

[burder]

Коллеги, подскажите!
На данный момент связка AD+WinBind+SQuid нормально работает?