Squid и авторизация пользователей в AD по группам

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение kharkov_max » 2013-12-14 10:44:49

Обновите систему до 8.4 или 8 Stable, пересоберите все порты и скорее всего все заработает.
Ну или го ту куда вы там хотели ...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

WCSN
рядовой
Сообщения: 40
Зарегистрирован: 2009-12-17 18:30:24

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение WCSN » 2013-12-14 11:27:10

А разве кто-то говорил, что что-то не работает? И разве "пересборка..." не очевидная процедура для случая работы в FreeBSD? :)
Моя реплика была о "warning no_suid setuid(0) operation permitted" которые появились в cache.log при старте.
жить не мешает, не порядок...
2.7 хоть и стар но как тот конь - борозды не портит.
Honda forever

dymx
проходил мимо
Сообщения: 5
Зарегистрирован: 2011-02-21 9:57:52

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение dymx » 2014-07-01 13:40:17

Связку настроил, правда с группами сильно не заморачивался. Все работает. Вопрос такой: как блокировать юзеров после превышения лимита на трафик? SARG это делает путем изменения passwd, и в случае с AD авторизацией не прокатит...

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение snorlov » 2014-07-01 18:48:54

Sarg то есть, вот он пользователей заносит в список, squid по нему deny, а после запуска sarg'а вы заставляйте перечитывать squid свой конфиг, именно перечитывать, а не перестартовывать, чтобы сессии не рвались, но еще лучше их не блокировать, а банально обрезать скорость...

Гость
проходил мимо

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Гость » 2014-07-02 8:34:30

У меня почему-то в список (user.block) попадают не имена пользователей, а IP. Понять не могу, почему...
Плюс к тому есть разница между именами пользователей в отчете и списке блокировки. В отчете будет domain\user, а чтобы резать юзера по acl нужен только user. Но это думаю легко поправимо.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Alex Keda » 2014-07-02 16:40:18

без авторизации потомучто
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Гость » 2014-07-03 13:28:47

Alex Keda писал(а):без авторизации потомучто
Нет. Авторизация как раз юзается (AD), в логах юзер правильно пишется. Причина в другом, в текущей версии 2.3.6 из портов по хер знает какой причине не работает параметр user_ip no. В chanlelog случайно прочитал:

Код: Выделить всё

Apr-26-2013 Version 2.3.6
- Store the IP address in the per user limit file (thanks to xeus).
Так что пришлось собирать версию 2.3.5 из сырцов (не без гемора). И вуаля!

Аватара пользователя
ISQman
ефрейтор
Сообщения: 55
Зарегистрирован: 2009-02-26 18:42:03
Контактная информация:

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение ISQman » 2014-09-01 12:20:48

Всем привет! не хотел плодить темы, но ситуация приблизительно такая:
- связка работала отлично до обновлений на винде (http://support.microsoft.com/kb/935834), пришлось чуть дополнить конфиги:
в external_acl_type для squid_ldap_group и squid_ldap_auth добавить опцию -Z
и ldap.conf:
TLS_CACERT /путь/к/сертификату.crt #или cer, кушатся одинаково хорошо
# а эти строчки крайне важны
TLS_REQCERT allow
SSL start_tls
(http://zabyvalka.blogspot.com/2014/06/s ... ctory.html)
В результате после смены пароля юзверя блочит в AD, и браузеры просят пройти авторизацию (естественно которая не проходит), временным лекарством - это разблочить в AD пользователя, перезагрузить машинку (подождать минут 5) и вуаля, но как-то не очень изящно получается. Кто с подобным сталкивался? что можете посоветовать? или я не туда копаю?
|"""""""""""""""""| |\
|Холодное пиво! ||""\__,
|_____________ |||_|__|)
*(@)|(@)"""*******(@)"

BEEn
рядовой
Сообщения: 36
Зарегистрирован: 2014-08-18 17:26:20

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение BEEn » 2014-09-04 11:11:26

kharkov_max писал(а):Поспешил с вопросом.

Вообщем скрипт wbinfo_group.pl переделали на ext_wbinfo_group_acl
Т.е. теперь для групп вместо:

Код: Выделить всё

external_acl_type win_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
пишем

Код: Выделить всё

external_acl_type win_group %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl
И все работает ))

Мой вопрос снимается ...
а если нет ни первого ни второго?

BEEn
рядовой
Сообщения: 36
Зарегистрирован: 2014-08-18 17:26:20

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение BEEn » 2014-09-11 9:58:23

при переходе на pkg пропала возможность менять опции устанавливаемых пакетов?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Alex Keda » 2014-09-15 15:32:38

а она есть, хоть в одном пакетном менеджере? =)
Убей их всех! Бог потом рассортирует...

BEEn
рядовой
Сообщения: 36
Зарегистрирован: 2014-08-18 17:26:20

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение BEEn » 2014-09-16 9:46:42

:) с ntlm разобрался но не победил выскакивающее окошко авторизации при доступе к белым сайтым в которых есть перенаправление... сейчас мучаю kerberos... пакетным менеджером стараюсь не пользоваться... :)

BEEn
рядовой
Сообщения: 36
Зарегистрирован: 2014-08-18 17:26:20

Re: Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение BEEn » 2014-09-22 7:46:56

kerb авторизация заработала (как только скачал новый ktpass), вот только не могу группы вытянуть...
/usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -i -g inet-users -m 64 -D MY.DOMAIN.ORG -u squid -p passWD
просто подвисает...
FreeBSD gate 10.0-RELEASE FreeBSD 10.0-RELEASE #0: Fri Sep 19 15:24:09 MSK 2014 gate:/usr/obj/usr/src/sys/ROUTER amd64

Код: Выделить всё

Version 3.4.8
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-eui' '--disable-cache-digests' '--disable-delay-pools' '--disable-ecap' '--disable-esi' '--disable-follow-x-forwarded-for' '--enable-htcp' '--disable-icap-client' '--disable-icmp' '--enable-ident-lookups' '--enable-ipv6' '--enable-kqueue' '--without-large-files' '--disable-http-violations' '--enable-snmp' '--disable-ssl' '--disable-ssl-crtd' '--disable-stacktraces' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--disable-pf-transparent' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd10.0' 'build_alias=amd64-portbld-freebsd10.0' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/local/lib -L/usr/local/lib -pthread' 'LIBS=' 'CPPFLAGS=-I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -DLDAP_DEPRECATED -fno-strict-aliasing -Wno-unused-private-field' 'CPP=cpp' --enable-ltdl-convenience

Kamikadze
проходил мимо
Сообщения: 1
Зарегистрирован: 2014-07-06 22:39:51

Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Kamikadze » 2015-02-03 22:55:25

Ребята не пинайте сильно я как говориться только начал изучать фря ,и пользуясь вашим how to make пытаюсь поднять серв и наткнулся на такую проблему, после того как поставил из портов самбу 36 пытаюсь подключиться к АД !

Код: Выделить всё

net ads join -U user@domen%password
kerberos_kinit_password user@domen failed: Looping detected inside krb5_get_in_tkt
Failed to join domain: failed to connect to AD: Looping detected inside krb5_get_in_tkt
Собственно говоря сама фря

Код: Выделить всё

uname -a
FreeBSD PROXY.DOMEN 10.0-RELEASE FreeBSD 10.0-RELEASE #0: Mon Jan 26 23:34:09 EET 2015     root@PROXY@DOMEN:/usr/obj/usr/src/sys/GENERIC  i386
Заранее скажу что порты обновил ,мир тоже , а и сервер AD стоит на Win2008 !
Отдельно из портов переставлял керберос , не помогло !

Аватара пользователя
damir_madaga
старшина
Сообщения: 447
Зарегистрирован: 2007-10-01 8:13:38
Откуда: Красноярск
Контактная информация:

Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение damir_madaga » 2015-02-27 12:54:37

Kamikadze писал(а):Ребята не пинайте сильно я как говориться только начал изучать фря ,и пользуясь вашим how to make пытаюсь поднять серв и наткнулся на такую проблему, после того как поставил из портов самбу 36 пытаюсь подключиться к АД !

Код: Выделить всё

net ads join -U user@domen%password
kerberos_kinit_password user@domen failed: Looping detected inside krb5_get_in_tkt
Failed to join domain: failed to connect to AD: Looping detected inside krb5_get_in_tkt
Собственно говоря сама фря

Код: Выделить всё

uname -a
FreeBSD PROXY.DOMEN 10.0-RELEASE FreeBSD 10.0-RELEASE #0: Mon Jan 26 23:34:09 EET 2015     root@PROXY@DOMEN:/usr/obj/usr/src/sys/GENERIC  i386
Заранее скажу что порты обновил ,мир тоже , а и сервер AD стоит на Win2008 !
Отдельно из портов переставлял керберос , не помогло !
А чего самба такая старая? Ставь 4!!!
Женщины и софт - должны быть бесплатными!

Аватара пользователя
Kobzar
рядовой
Сообщения: 31
Зарегистрирован: 2011-05-30 8:38:07

Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение Kobzar » 2015-02-27 13:15:00

Нормально

Отправлено спустя 2 минуты 6 секунд:

Код: Выделить всё

failed to connect to AD: Looping detected inside krb5_get_in_tkt

Код: Выделить всё

#cd /usr/ports/security/krb5
#make install clean
#cd /usr/ports/net/samba36
#make reinstall clean
#/usr/local/etc/rc.d/samba restart
#net ads join -U kobzar
Enter kobzar's password:
Using short domain name -- DOMAIN
Joined 'SERVER' to dns domain 'domain.local'
Влодение рускай арфаграфией - это как владение кунг-фу: настаящие мастира не преминяют ево бес ниабхадимости

EHoT
рядовой
Сообщения: 17
Зарегистрирован: 2015-06-04 13:59:24

Squid и авторизация пользователей в AD по группам

Непрочитанное сообщение EHoT » 2015-07-02 13:15:07

Несколько дополнений к статье, что нашел:

добавление машины в домен:
net rpc join -U user.name

авторизация в домене:
net setauthuser -U squid%password

права на папку, а то кальмар не может авторизоваться:

ls -l /var/db/samba4/winbindd_privileged
chmod 750 winbindd_privileged
chown -R root:squid winbindd_privileged

опции сборки:

samba41

-ADS
-LDAP
-SYSLOG
-UTMP
-NSUPDATE

squid
-ARP_ACL
-AUTH_KERB (думал на керберус подцепить, не использую)
-AUTH_LDAP
-AUTH_SMB (нужно для самбы, появилось в новых версиях, на момент написания статьи не было в природе)
-HTCP
-IDENT
-SNMP

Пакеты:
root@freebsd:/usr/local/etc/rc.d # pkg info | grep samba
samba4-4.0.21 A free SMB/CIFS and AD/DC server and client for UNIX
root@freebsd:/usr/local/etc/rc.d # pkg info | grep squi
squid-3.4.8_1 HTTP Caching Proxy