Squid и авторизация пользователей в AD по группам

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
exonix
рядовой
Сообщения: 33
Зарегистрирован: 2011-01-31 13:28:15

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение exonix » 2013-02-19 17:48:29

burder писал(а):Коллеги, подскажите!
На данный момент связка AD+WinBind+SQuid нормально работает?
прекрасно работает.
aspera писал(а):пришлось привыкать к тормознутости и неповоротливости Microsoft ISA Server, который выполнял задачи шлюза и прокси.
прошу меня извинить, а можно узнать конфигурацию железа ISA сервера? Многие жалуются...
Надеюсь, вы будите рады новости с декабря 2012 года микросфот прекратила продажи TMG 2010 - последователя ISA.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

MARAT
проходил мимо

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение MARAT » 2013-04-18 15:54:30

Настроил все по статье. сквид не хочет стартовать. внес небольшие изменения под свою сеть... не знаю что делать.

fbsd# squid -z
2013/04/18 16:52:35| cache_cf.cc(346) squid.conf:3 unrecognized: '=squid-2.5-ntlmssp'
2013/04/18 16:52:35| cache_cf.cc(346) squid.conf:9 unrecognized: '=squid-2.5-basic'
2013/04/18 16:52:35| aclParseAccessLine: ACL name 'url-' not found.
FATAL: Bungled squid.conf line 139: http_access allow inet-mail.ru !url-webmail !urls-webmail !url-
Squid Cache (Version 3.0.STABLE25): Terminated abnormally.
CPU Usage: 0.014 seconds = 0.000 user + 0.014 sys
Maximum Resident Size: 4300 KB
Page faults with physical i/o: 0

snorlov
подполковник
Сообщения: 3810
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение snorlov » 2013-04-18 16:06:42

Проверяйте синтаксис squid.conf, копипастить надо с умом... :smile:

MARAT
проходил мимо

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение MARAT » 2013-04-18 16:12:01

Да вроде все перепроверил(((( беда печаль(

Код: Выделить всё

# Указываем Squid как проводить аутентификацию:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol
=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 5 minute
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol
=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 20 minute
auth_param basic casesensitive off
# Теперь указываем Squid где брать информацию о группах пользователей
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
# Рекомендованная минимальная конфигурация:
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
# Описываем основные порты (с вашего позволения из этого списка я убираю
# порты для управления активным оборудованием, службами и сервисами, в т.ч.
# порты доступа по ssh (эти порты у меня не стандартные, что рекомендую
# всем остальным))
acl SSL_ports port 563 # snews
acl Safe_ports port 80 # http
acl FTP port 20 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 110 # POP3
acl Safe_ports port 25 # SMTP
acl purge method PURGE
acl CONNECT method CONNECT
# Указываем пулы адресов нашей сети/сетей
acl lan src 10.1.10.0/255.255.255.0
# Указываем диапазоны адресов серверных платформ, нуждающихся в обновлении
# через интернет
# В моем случае это сервера WSUS, Symantec Endpoint Protection Manager и т.д.
acl Servers src 10.1.10.1-10.1.10.49
# Указываем адреса машин, которым интернет доступен без ограничений
# скорости (правильно админские)
acl Speed_Internet src 10.1.10.117
# Указываем диапазон адресов пользователей FTP
acl FTPusers src 10.201.1.101-10.201.1.102
# Указываем расположение и назначение словарей доступа в сеть интернет:
acl url-updates dstdomain "/usr/local/etc/squid/url-updates.txt"
# Список сайтов для обновления серверов
acl url-mail-ru dstdomain "/usr/local/etc/squid/url-mail-ru.txt"
# Доступ к почте mail.ru
acl url-good dstdomain "/usr/local/etc/squid/url-good.txt"
# Список разрешенных сайтов (доступ к этим сайтам будет возможен
# даже пользователям, кторым доступ в интернет запрещен)
acl urls-good urlpath_regex -i "/usr/local/etc/squid/urls-good.txt"
# Тоже самое только по протоколу https
acl url-bad dstdomain "/usr/local/etc/squid/url-bad.txt"
# Список запрещенных сайтов
acl urls-bad url_regex -i "/usr/local/etc/squid/urls-bad.txt"
# Тоже самое только по протоколу https
acl url-webmail dstdomain "/usr/local/etc/squid/url-webmail.txt"
# Список web-mail
acl urls-webmail url_regex -i "/usr/local/etc/squid/inet-webmails.txt"
# web-mail по https
acl url-porno url_regex -i "/usr/local/etc/squid/url-porno.txt"
# Список порносайтов
acl url-audio dstdomain "/usr/local/etc/squid/url-audio.txt"
# Списки аудиоконтента
acl url-banners url_regex -i "/usr/local/etc/squid/url-banners.txt"
# Список баннеров
acl url-JAVA dstdomain "/usr/local/etc/squid/url-java.txt"
# Список сайтов, использующих для работы JAVA-#апплеты
acl url-netshare dstdom_regex -i "/usr/local/etc/squid/url-netshare.txt"
# Списки netshare
acl url-redirector dstdom_regex -i "/usr/local/etc/squid/url-redirector"
# Список анонимайзеров
acl urls-redirector url_regex -i "/usr/local/etc/squid/urls-redirector"
# Тоже самое по https
#########################################################
#Многие спросят нахрена одно и тоже и так много, ведь можно все объединить
#в один файл. Объясняю: во-первых часть списков будет содержать не адреса
#сайтов а регулярные выражения в ссылках, по которым сайты будут блокироваться
#(очень актуально для порнухи и web-mail ибо банить их просто устанешь).
#Так же данные ограничения буду применяться по разному для разных
#групп пользователей
#########################################################
# Указываем группы доступа
acl inet-admins external nt_group inet-admins # Доступ для админов
acl inet-directors external nt_group inet-directors # Как же их любимых
# с пользователями то ровнять
acl inet-mail.ru external nt_group inet-mail.ru # Избранные с правом
# доступа на почту mail.ru
acl inet-servers external nt_group inet-servers # Группа для обновлений
# серверов
acl inet-users external nt_group inet-users # Бедняги обычные смертные
acl inet-webmail external nt_group inet-webmail # Группа пользователей с
#голубой кровью, испытывающих #недостатки в работе с корпоративной почтой
# и предпочитающей альтернативы (думаю везде есть такие #уникумы)
acl GET method GET
acl inet-ftp external nt_group inet-ftp # Пользователи которым разрешен
# доступ к ftp-серверам

#  TAG: http_access
# Теперь начинаем процесс естественной селекции, указывая
# кому что можно, а именно сопоставляем группы пользователей
# с ранее указанными словарями
# Для начала вводим ограничения по портам
http_access allow manager lan
http_access allow purge localhost
http_access deny !Safe_ports !FTP
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny to_localhost
http_access allow localhost
http_access allow purge localhost
http_access deny purge
url_rewrite_access deny localhost
# Теперь указываем права доступа по словарям
http_access deny FTP !FTPusers
http_access allow url-JAVA
http_access allow url-good
http_access allow urls-good
http_access deny urls-bad
http_access deny urls-redirector
http_access deny url-redirector
# Теперь указываем в каких группах используются какие словари
http_access allow inet-directors !url-netshare
http_access allow url-mail-ru inet-mail.ru
http_access allow inet-webmail !url-porno !url-netshare
http_access allow url-updates inet-servers
http_access allow inet-mail.ru !url-webmail !urls-webmail !url-
porno !url-netshare
http_access allow inet-admins !url-mail-ru !url-webmail !urls-
webmail !url-porno
http_access allow inet-ftp !url-bad !urls-bad !url-webmail !urls-
webmail !url-porno
http_access allow inet-users !url-mail-ru !url-good !url-bad !urls-
bad !url-webmail !urls-webmail !url-porno !url-audio !url-banners !url-
netshare !url-redirector !urls-redirector !inet-ftp
# Напоследок стандартные правила
http_access deny all
http_reply_access allow all
icp_access allow all

# Указываем порт, на котором будет слушать Squid
http_port 3128

# MEMORY CACHE OPTIONS
# --------------------------------------------------------------------
#  TAG: cache_mem       (bytes)
cache_mem 256 MB
#  TAG: maximum_object_size_in_memory   (bytes)
maximum_object_size_in_memory 80 KB

# DISK CACHE OPTIONS
# --------------------------------------------------------------------
#  TAG: cache_dir
cache_dir ufs /usr/local/squid/cache 1024 16 256
#  TAG: minimum_object_size     (bytes)
#Default:
minimum_object_size 10 KB
#  TAG: maximum_object_size     (bytes)
#Default:
maximum_object_size 32 MB
#  TAG: cache_swap_low  (percent, 0-100)
#  TAG: cache_swap_high (percent, 0-100)
#
cache_swap_low 90
cache_swap_high 95

# LOGFILE OPTIONS
# -------------------------------------------------------------------


#  TAG: access_log
access_log /usr/local/squid/logs/access.log squid

#  TAG: pid_filename
pid_filename /usr/local/squid/logs/squid.pid

#  TAG: ftp_user
ftp_user unix@mydomain.ru

#  TAG: ftp_passive
ftp_passive on

# OPTIONS FOR TUNING THE CACHE
# --------------------------------------------------------------------

#  TAG: cache
acl QUERY urlpath_regex cgi-bin \?

#  TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320
#  TAG: quick_abort_min (KB)
#  TAG: quick_abort_max (KB)
#  TAG: quick_abort_pct (percent)
quick_abort_pct 80

# ADMINISTRATIVE PARAMETERS
# -------------------------------------------------------------------

#  TAG: cache_mgr
cache_mgr admins@mydomain.ru

#  TAG: cache_effective_user
cache_effective_user squid

#  TAG: delay_access
delay_access 1 allow url-bad !Speed_Internet
delay_access 2 allow Speed_Internet
delay_access 2 allow url-updates
delay_access 3 deny all
delay_access 4 allow lan !Speed_Internet
delay_access 4 deny all
delay_access 1 allow urls-bad !Speed_Internet
delay_access 1 allow url-audio !Speed_Internet
delay_access 2 deny all

#  TAG: delay_parameters
delay_class 1 2
delay_class 2 2
delay_class 3 3
delay_class 4 2
delay_parameters 1 32000/128000 8000/8000
delay_parameters 2 250000/1000000 125000/512000
delay_parameters 3 64000/512000 125000/2000000 32000/1000000
delay_parameters 4 250000/2000000 32000/512000

#  TAG: delay_initial_bucket_level      (percent, 0-100)
delay_initial_bucket_level 50

#  TAG: error_directory
error_directory /usr/local/etc/squid/errors/Russian-1251

#  TAG: hosts_file
hosts_file /etc/hosts
#  TAG: fqdncache_size  (number of entries)
fqdncache_size 16386

#  TAG: memory_pools_limit      (bytes)
memory_pools_limit 64 MB

#  TAG: forwarded_for   on|off
forwarded_for off

#  TAG: cachemgr_passwd
cachemgr_passwd .your password. all

#  TAG: coredump_dir
coredump_dir /usr/local/squid/cache

no_cache deny QUERY manager localhost to_localhost SSL_ports CONNECT url-
JAVA
visible_hostname pro.mebelfresh.ru
dns_nameservers 10.1.10.11 10.1.10.12


snorlov
подполковник
Сообщения: 3810
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение snorlov » 2013-04-18 16:19:54

MARAT писал(а):Да вроде все перепроверил(((( беда печаль(

Код: Выделить всё

# Указываем Squid как проводить аутентификацию:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol
=squid-2.5-ntlmssp
Здесь все пишется в одной строке... в 2-х других тоже... :st:

MARAT
проходил мимо

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение MARAT » 2013-04-18 16:23:07

Дуб дубом) не ругай сильно) теперь далее......

Код: Выделить всё

fbsd# /usr/local/etc/rc.d/squid restart
Starting squid.
2013/04/18 17:21:51| aclParseAccessLine: ACL name 'url-' not found.
FATAL: Bungled squid.conf line 137: http_access allow inet-mail.ru !url-webmail !urls-webmail !url-
Squid Cache (Version 3.0.STABLE25): Terminated abnormally.
CPU Usage: 0.008 seconds = 0.000 user + 0.008 sys
Maximum Resident Size: 3352 KB
Page faults with physical i/o: 0
/usr/local/etc/rc.d/squid: WARNING: failed to start squid
 


MARAT
проходил мимо

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение MARAT » 2013-04-18 16:33:51

Читал что что то нужно закоментить. что и где?

Код: Выделить всё

Starting squid.
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 1 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 2 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 2 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 3 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 4 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 4 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 1 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 1 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 2 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_class: Ignoring pool 1 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_class: Ignoring pool 2 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_class: Ignoring pool 3 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_class: Ignoring pool 4 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 1 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 2 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 3 not in 1 .. 0
2013/04/18 17:31:10| parse_delay_pool_rates: Ignoring pool 4 not in 1 .. 0

snorlov
подполковник
Сообщения: 3810
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение snorlov » 2013-04-18 16:38:08

Ну тут сам разбирайся, хотя я думаю squid пытается разобрать правила для пулов, а пулы еще не определены


snorlov
подполковник
Сообщения: 3810
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение snorlov » 2013-04-19 8:52:27

MARAT писал(а):а как их определить?
Читайте доки они рулез... В инете полно информации, в том числе и на русском языке, где все расжовано и раскидано по полочкам. Я же не знаю как вам надо...

MARAT
проходил мимо

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение MARAT » 2013-04-19 12:47:57

Squid Запустился. ошибки нашел. но не хочет пускать группы заведены пользователи в группах. два раза спрашивает учетные данные и вышибает на страничку ошибки. что может быть?

snorlov
подполковник
Сообщения: 3810
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение snorlov » 2013-04-19 13:29:40

Проверяйте ручками аутенфикацию у вас же в сквиде прописано че ему делать, но сначала проверьте есть права на /var/db/samba/winbindd_privileges, вообщем чиайте маны...

MARAT
проходил мимо

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение MARAT » 2013-04-19 13:42:21

Права есть, проверял читал твои посты прошлые, как проверить аудентификацию? wbinfo -g -u все дает

Код: Выделить всё

# Указываем Squid как проводить аутентификацию:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 15 minute
authenticate_ttl 5 minute
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 20 minute
auth_param basic casesensitive off
# Теперь указываем Squid где брать информацию о группах пользователей
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
# Рекомендованная минимальная конфигурация:
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8 # RFC1918 possible internal network
acl localnet src 172.16.0.0/12 # RFC1918 possible internal network
acl localnet src 192.168.0.0/16 # RFC1918 possible internal network
# Описываем основные порты (с вашего позволения из этого списка я убираю
# порты для управления активным оборудованием, службами и сервисами, в т.ч.
# порты доступа по ssh (эти порты у меня не стандартные, что рекомендую
# всем остальным))
acl SSL_ports port 563 # snews
acl Safe_ports port 80 # http
acl FTP port 20 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 110 # POP3
acl Safe_ports port 25 # SMTP
acl purge method PURGE
acl CONNECT method CONNECT
# Указываем пулы адресов нашей сети/сетей
acl lan src 10.1.10.0/255.255.255.0
# Указываем диапазоны адресов серверных платформ, нуждающихся в обновлении
# через интернет
# В моем случае это сервера WSUS, Symantec Endpoint Protection Manager и т.д.
acl Servers src 10.1.10.1-10.1.10.49
# Указываем адреса машин, которым интернет доступен без ограничений
# скорости (правильно админские)
acl Speed_Internet src 10.1.10.117 10.1.10.172
# Указываем диапазон адресов пользователей FTP
acl FTPusers src 10.201.1.101-10.201.1.102
# Указываем расположение и назначение словарей доступа в сеть интернет:
acl url-updates dstdomain "/usr/local/etc/squid/url-updates.txt"
# Список сайтов для обновления серверов
acl url-mail-ru dstdomain "/usr/local/etc/squid/url-mail-ru.txt"
# Доступ к почте mail.ru
acl url-good dstdomain "/usr/local/etc/squid/url-good.txt"
# Список разрешенных сайтов (доступ к этим сайтам будет возможен
# даже пользователям, кторым доступ в интернет запрещен)
acl urls-good urlpath_regex -i "/usr/local/etc/squid/urls-good.txt"
# Тоже самое только по протоколу https
acl url-bad dstdomain "/usr/local/etc/squid/url-bad.txt"
# Список запрещенных сайтов
acl urls-bad url_regex -i "/usr/local/etc/squid/urls-bad.txt"
# Тоже самое только по протоколу https
acl url-webmail dstdomain "/usr/local/etc/squid/url-webmail.txt"
# Список web-mail
acl urls-webmail url_regex -i "/usr/local/etc/squid/inet-webmails.txt"
# web-mail по https
acl url-porno url_regex -i "/usr/local/etc/squid/url-porno.txt"
# Список порносайтов
acl url-audio dstdomain "/usr/local/etc/squid/url-audio.txt"
# Списки аудиоконтента
acl url-banners url_regex -i "/usr/local/etc/squid/url-banners.txt"
# Список баннеров
acl url-JAVA dstdomain "/usr/local/etc/squid/url-java.txt"
# Список сайтов, использующих для работы JAVA-#апплеты
acl url-netshare dstdom_regex -i "/usr/local/etc/squid/url-netshare.txt"
# Списки netshare
acl url-redirector dstdom_regex -i "/usr/local/etc/squid/url-redirector"
# Список анонимайзеров
acl urls-redirector url_regex -i "/usr/local/etc/squid/urls-redirector"
# Тоже самое по https
#########################################################
#Многие спросят нахрена одно и тоже и так много, ведь можно все объединить
#в один файл. Объясняю: во-первых часть списков будет содержать не адреса
#сайтов а регулярные выражения в ссылках, по которым сайты будут блокироваться
#(очень актуально для порнухи и web-mail ибо банить их просто устанешь).
#Так же данные ограничения буду применяться по разному для разных
#групп пользователей
#########################################################
# Указываем группы доступа
acl inet-admins external nt_group inet-admins # Доступ для админов
acl inet-directors external nt_group inet-directors # Как же их любимых
# с пользователями то ровнять
acl inet-mail.ru external nt_group inet-mail.ru # Избранные с правом
# доступа на почту mail.ru
acl inet-servers external nt_group inet-servers # Группа для обновлений
# серверов
acl inet-users external nt_group inet-users # Бедняги обычные смертные
acl inet-webmail external nt_group inet-webmail # Группа пользователей с
#голубой кровью, испытывающих #недостатки в работе с корпоративной почтой
# и предпочитающей альтернативы (думаю везде есть такие #уникумы)
acl GET method GET
acl inet-ftp external nt_group inet-ftp # Пользователи которым разрешен
# доступ к ftp-серверам

#  TAG: http_access
# Теперь начинаем процесс естественной селекции, указывая
# кому что можно, а именно сопоставляем группы пользователей
# с ранее указанными словарями
# Для начала вводим ограничения по портам
http_access allow manager lan
http_access allow purge localhost
http_access deny !Safe_ports !FTP
http_access deny CONNECT !SSL_ports
http_access deny manager
http_access deny to_localhost
http_access allow localhost
http_access allow purge localhost
http_access deny purge
url_rewrite_access deny localhost
# Теперь указываем права доступа по словарям
http_access deny FTP !FTPusers
http_access allow url-JAVA
http_access allow url-good
http_access allow urls-good
http_access deny urls-bad
http_access deny url-bad
http_access deny urls-redirector
http_access deny url-redirector
# Теперь указываем в каких группах используются какие словари
http_access allow inet-directors !url-netshare
http_access allow url-mail-ru inet-mail.ru
http_access allow inet-webmail !url-porno !url-netshare
http_access allow url-updates inet-servers
http_access allow inet-mail.ru !url-webmail !urls-webmail !url-porno !url-netshare
http_access allow inet-admins !url-mail-ru !url-webmail !urls-webmail !url-porno
http_access allow inet-ftp !url-bad !urls-bad !url-webmail !urls-webmail !url-porno
http_access allow inet-users !url-mail-ru !url-good !url-bad !urls-bad !url-webmail !urls-webmail !url-porno !url-audio !url-banners !url-netshare !url-redirector !urls-redirector !inet-ftp
# Напоследок стандартные правила
http_access deny all
http_reply_access allow all
icp_access allow all

# Указываем порт, на котором будет слушать Squid
http_port 3128

# MEMORY CACHE OPTIONS
# --------------------------------------------------------------------
#  TAG: cache_mem       (bytes)
cache_mem 256 MB
#  TAG: maximum_object_size_in_memory   (bytes)
maximum_object_size_in_memory 80 KB
# DISK CACHE OPTIONS
# --------------------------------------------------------------------
#  TAG: cache_dir
cache_dir ufs /usr/local/squid/cache 1024 16 256
#  TAG: minimum_object_size     (bytes)
#Default:
minimum_object_size 10 KB
#  TAG: maximum_object_size     (bytes)
#Default:
maximum_object_size 32 MB
#  TAG: cache_swap_low  (percent, 0-100)
#  TAG: cache_swap_high (percent, 0-100)
#
cache_swap_low 90
cache_swap_high 95

# LOGFILE OPTIONS
# -------------------------------------------------------------------


#  TAG: access_log
access_log /usr/local/squid/logs/access.log squid

#  TAG: pid_filename
pid_filename /var/run/squid/squid.pid

#  TAG: ftp_user
ftp_user unix@mydomain.ru

#  TAG: ftp_passive
ftp_passive on

# OPTIONS FOR TUNING THE CACHE
# --------------------------------------------------------------------

#  TAG: cache
acl QUERY urlpath_regex cgi-bin \?

#  TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320
#  TAG: quick_abort_min (KB)
#  TAG: quick_abort_max (KB)
#  TAG: quick_abort_pct (percent)
quick_abort_pct 80

# ADMINISTRATIVE PARAMETERS
# -------------------------------------------------------------------

#  TAG: cache_mgr
cache_mgr admins@mydomain.ru

#  TAG: cache_effective_user
cache_effective_user squid
delay_pools 4
#  TAG: delay_access
delay_access 1 allow url-bad !Speed_Internet
delay_access 2 allow Speed_Internet
delay_access 2 allow url-updates
delay_access 3 deny all
delay_access 4 allow lan !Speed_Internet
delay_access 4 deny all
delay_access 1 allow urls-bad !Speed_Internet
delay_access 1 allow url-audio !Speed_Internet
delay_access 2 deny all

#  TAG: delay_parameters
delay_class 1 2
delay_class 2 2
delay_class 3 3
delay_class 4 2
delay_parameters 1 32000/128000 8000/8000
delay_parameters 2 250000/1000000 125000/512000
delay_parameters 3 64000/512000 125000/2000000 32000/1000000
delay_parameters 4 250000/2000000 32000/512000

#  TAG: delay_initial_bucket_level      (percent, 0-100)
delay_initial_bucket_level 50

#  TAG: error_directory
error_directory /usr/local/etc/squid/errors/Russian-1251

#  TAG: hosts_file
hosts_file /etc/hosts

#  TAG: fqdncache_size  (number of entries)
fqdncache_size 16386
#  TAG: memory_pools_limit      (bytes)
memory_pools_limit 64 MB

#  TAG: forwarded_for   on|off
forwarded_for off

#  TAG: cachemgr_passwd
cachemgr_passwd .your password. all

#  TAG: coredump_dir
coredump_dir /usr/local/squid/cache

no_cache deny QUERY manager localhost to_localhost SSL_ports CONNECT url-JAVA
visible_hostname pro.mebelfresh.ru
dns_nameservers 10.1.10.11 10.1.10.12



snorlov
подполковник
Сообщения: 3810
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение snorlov » 2013-04-19 13:53:59

MARAT писал(а):может я ввожу не в том формате при авторизации?
Проверяем эти скрипты/программы

Код: Выделить всё

/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
/usr/local/libexec/squid/wbinfo_group.pl
Конкретику найдешь сам...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение kharkov_max » 2013-05-04 10:42:54

Господа, добрый день.

Чудесно жил себе squid31 + samba3.6 + AD 2003, авторизация по пользователям, доступ по группам.
Но вот недавно squid31 убрали из портов, логично перейти на новую версию Squid33.

Собственно перешел на последнюю на данный момент squid3.3.4, после нескольких правок конфигов squid заработал.
Но только если пускаю без авторизации http_access allow all.

С авторизацией не работает, собственно в каталоге /usr/local/libexec/squid отсутствует wbinfo_group.pl
Эта строка конфига - не рабочая.

Код: Выделить всё

external_acl_type win_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
Winbinnd отрабатывает нормально wbunfo -u и wbinfo -g показывают группы и юзеров, билет так же есть.
В логах squid вместо имени юзера "-"

Соственно как теперь NTLM тулить в новом Squid3.3.4?
Может я что то пропустил при конфигурировании make config? ...

Спасибо.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение kharkov_max » 2013-05-04 11:18:01

Немного поправлюсь, NTLM авторизация в Squid3.3.4 работает.

Сдлелал правило

Код: Выделить всё

....
acl squidusers proxy_auth REQUIRED
.....

[b]http_access allow squidusers[/b]
Юзеров из АД начало пускать.
Т.е. перефразирую свой вопрос.

Как теперь в новом Squid3.3.4 прилепить доменные группы ?

Аватара пользователя
kharkov_max
капитан
Сообщения: 1810
Зарегистрирован: 2008-10-03 14:56:40

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение kharkov_max » 2013-05-04 12:05:03

Поспешил с вопросом.

Вообщем скрипт wbinfo_group.pl переделали на ext_wbinfo_group_acl
Т.е. теперь для групп вместо:

Код: Выделить всё

external_acl_type win_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
пишем

Код: Выделить всё

external_acl_type win_group %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl
И все работает ))

Мой вопрос снимается ...

Mvairs
рядовой
Сообщения: 18
Зарегистрирован: 2013-07-17 19:35:42

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Mvairs » 2013-09-23 12:53:11

У меня на этом шаге

Код: Выделить всё

//>net ads join -U user%pass
Using short domain name -- MYDOMAIN
Joined 'FREEBSD' to realm ‘mydomain.local’

Вместо realm пишет DNS это нормально ?:)

Код: Выделить всё

external_acl_type win_group %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl
У меня такого тоже нету, есть только ntlm_smb_lm_auth

Код: Выделить всё

//>wbinfo --set-auth-user=MYDOMAIN\\proxy%password
//>wbinfo --get-auth-user
MYDOMAIN\proxy%password
This functionality was moved to the 'net' utility.
net setauthuser -U name%pass
ничего не происходит :(

Squid 3.3.8_1
Подскажите что делать.

Mvairs
рядовой
Сообщения: 18
Зарегистрирован: 2013-07-17 19:35:42

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Mvairs » 2013-09-26 15:44:12

warning no_suid setuid(0) operation permitted нету такой беды не у кого ? Не поднимаются помощники аутентификации ntlm или kerberos

Mvairs
рядовой
Сообщения: 18
Зарегистрирован: 2013-07-17 19:35:42

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Mvairs » 2013-09-27 10:35:38

Проблемы решены

Код: Выделить всё

external_acl_type win_group %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl

переустановка сквида и самбы помогла что б появился(просто сделал заново с нуля на чистой ос)

Код: Выделить всё

warning no_suid setuid(0) operation permitted 
Похоже это баг squid на Freebsd, находил его в баг репорте, лежит уже 4 месяца, начался с версии 3.2, буду ставить 2.7 =\
Суть бага в том что сквид(а точнее его 'дети') не могут запускать аутентификаторы , права\смена юзера не помогает. Так что использовать squid 3.2 и выше во Freebsd нельзя щас.

Или я что то упустил ?

WCSN
рядовой
Сообщения: 40
Зарегистрирован: 2009-12-17 18:30:24

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение WCSN » 2013-12-05 14:59:26

похоже что так... всяко разно изгалялся - остаётся ошибка ... похоже гоуту 2.7
Honda forever

Mvairs
рядовой
Сообщения: 18
Зарегистрирован: 2013-07-17 19:35:42

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Mvairs » 2013-12-05 21:59:54

WCSN, а вы не могли бы представится ? ))) Я просто слышал что уже пофиксили багу, ну т.е. номер версии фри и сквида :)

WCSN
рядовой
Сообщения: 40
Зарегистрирован: 2009-12-17 18:30:24

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение WCSN » 2013-12-05 23:37:46

FreeBSD sf01.aXXX.ru 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Fri Dec 7 19:23:39 MSK 2012 root@sf01.aXXX.ru:/usr/src/sys/amd64/compile/K20121207 amd64

Squid Cache: Version 3.3.11
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-strict-error-checking' '--without-krb5-config' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam SMB' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group wbinfo_group' '--enable-auth-negotiate=none' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--disable-ipv6' '--enable-delay-pools' '--enable-ssl' '--with-openssl=/usr' '--enable-htcp' '--disable-forw-via-db' '--enable-cache-digests' '--enable-wccp' '--enable-wccpv2' '--enable-eui' '--disable-ipfw-transparent' '--disable-pf-transparent' '--disable-ipf-transparent' '--disable-follow-x-forwarded-for' '--disable-ecap' '--disable-icap-client' '--disable-esi' '--enable-kqueue' '--with-large-files' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd8.2' 'build_alias=amd64-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'LDFLAGS= -pthread -Wl,-rpath=/usr/lib:/usr/local/lib -L/usr/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/include -fno-strict-aliasing' 'CPP=cpp' --enable-ltdl-convenience

ну как-то так...
Honda forever