Squid и авторизация пользователей в AD по группам

[kharkov_max]

Обновите систему до 8.4 или 8 Stable, пересоберите все порты и скорее всего все заработает.
Ну или го ту куда вы там хотели ...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[WCSN]

А разве кто-то говорил, что что-то не работает? И разве "пересборка..." не очевидная процедура для случая работы в FreeBSD?
Моя реплика была о "warning no_suid setuid(0) operation permitted" которые появились в cache.log при старте.
жить не мешает, не порядок...
2.7 хоть и стар но как тот конь - борозды не портит.

[dymx]

Связку настроил, правда с группами сильно не заморачивался. Все работает. Вопрос такой: как блокировать юзеров после превышения лимита на трафик? SARG это делает путем изменения passwd, и в случае с AD авторизацией не прокатит...

[snorlov]

Sarg то есть, вот он пользователей заносит в список, squid по нему deny, а после запуска sarg'а вы заставляйте перечитывать squid свой конфиг, именно перечитывать, а не перестартовывать, чтобы сессии не рвались, но еще лучше их не блокировать, а банально обрезать скорость...

[Гость]

У меня почему-то в список (user.block) попадают не имена пользователей, а IP. Понять не могу, почему...
Плюс к тому есть разница между именами пользователей в отчете и списке блокировки. В отчете будет domain\user, а чтобы резать юзера по acl нужен только user. Но это думаю легко поправимо.

[Alex Keda]

без авторизации потомучто

[Гость]

без авторизации потомучто

Нет. Авторизация как раз юзается (AD), в логах юзер правильно пишется. Причина в другом, в текущей версии 2.3.6 из портов по хер знает какой причине не работает параметр user_ip no. В chanlelog случайно прочитал:

Код: Выделить всё

Apr-26-2013 Version 2.3.6
- Store the IP address in the per user limit file (thanks to xeus).

Так что пришлось собирать версию 2.3.5 из сырцов (не без гемора). И вуаля!

[ISQman]

Всем привет! не хотел плодить темы, но ситуация приблизительно такая:
- связка работала отлично до обновлений на винде (http://support.microsoft.com/kb/935834), пришлось чуть дополнить конфиги:
в external_acl_type для squid_ldap_group и squid_ldap_auth добавить опцию -Z
и ldap.conf:
TLS_CACERT /путь/к/сертификату.crt #или cer, кушатся одинаково хорошо
# а эти строчки крайне важны
TLS_REQCERT allow
SSL start_tls
(http://zabyvalka.blogspot.com/2014/06/s ... ctory.html)
В результате после смены пароля юзверя блочит в AD, и браузеры просят пройти авторизацию (естественно которая не проходит), временным лекарством - это разблочить в AD пользователя, перезагрузить машинку (подождать минут 5) и вуаля, но как-то не очень изящно получается. Кто с подобным сталкивался? что можете посоветовать? или я не туда копаю?

[BEEn]

Поспешил с вопросом.

Вообщем скрипт wbinfo_group.pl переделали на ext_wbinfo_group_acl
Т.е. теперь для групп вместо:

Код: Выделить всё

external_acl_type win_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

пишем

Код: Выделить всё

external_acl_type win_group %LOGIN /usr/local/libexec/squid/ext_wbinfo_group_acl

И все работает ))

Мой вопрос снимается ...

а если нет ни первого ни второго?

[BEEn]

при переходе на pkg пропала возможность менять опции устанавливаемых пакетов?

[Alex Keda]

а она есть, хоть в одном пакетном менеджере?

[BEEn]

с ntlm разобрался но не победил выскакивающее окошко авторизации при доступе к белым сайтым в которых есть перенаправление... сейчас мучаю kerberos... пакетным менеджером стараюсь не пользоваться...

[BEEn]

kerb авторизация заработала (как только скачал новый ktpass), вот только не могу группы вытянуть...
/usr/local/libexec/squid/ext_kerberos_ldap_group_acl -a -i -g inet-users -m 64 -D MY.DOMAIN.ORG -u squid -p passWD
просто подвисает...
FreeBSD gate 10.0-RELEASE FreeBSD 10.0-RELEASE #0: Fri Sep 19 15:24:09 MSK 2014 gate:/usr/obj/usr/src/sys/ROUTER amd64

Код: Выделить всё

Version 3.4.8
configure options:  '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache/squid' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-eui' '--disable-cache-digests' '--disable-delay-pools' '--disable-ecap' '--disable-esi' '--disable-follow-x-forwarded-for' '--enable-htcp' '--disable-icap-client' '--disable-icmp' '--enable-ident-lookups' '--enable-ipv6' '--enable-kqueue' '--without-large-files' '--disable-http-violations' '--enable-snmp' '--disable-ssl' '--disable-ssl-crtd' '--disable-stacktraces' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--disable-pf-transparent' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--enable-auth-basic=DB MSNT MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=diskd rock ufs aufs' '--enable-disk-io=AIO Blocking DiskDaemon IpcIo Mmapped DiskThreads' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd10.0' 'build_alias=amd64-portbld-freebsd10.0' 'CC=cc' 'CFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS= -L/usr/local/lib -L/usr/local/lib -pthread' 'LIBS=' 'CPPFLAGS=-I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -DLDAP_DEPRECATED -fno-strict-aliasing -Wno-unused-private-field' 'CPP=cpp' --enable-ltdl-convenience

[Kamikadze]

Ребята не пинайте сильно я как говориться только начал изучать фря ,и пользуясь вашим how to make пытаюсь поднять серв и наткнулся на такую проблему, после того как поставил из портов самбу 36 пытаюсь подключиться к АД !

Код: Выделить всё

net ads join -U user@domen%password
kerberos_kinit_password user@domen failed: Looping detected inside krb5_get_in_tkt
Failed to join domain: failed to connect to AD: Looping detected inside krb5_get_in_tkt

Собственно говоря сама фря

Код: Выделить всё

uname -a
FreeBSD PROXY.DOMEN 10.0-RELEASE FreeBSD 10.0-RELEASE #0: Mon Jan 26 23:34:09 EET 2015     root@PROXY@DOMEN:/usr/obj/usr/src/sys/GENERIC  i386

Заранее скажу что порты обновил ,мир тоже , а и сервер AD стоит на Win2008 !
Отдельно из портов переставлял керберос , не помогло !

[damir_madaga]

Ребята не пинайте сильно я как говориться только начал изучать фря ,и пользуясь вашим how to make пытаюсь поднять серв и наткнулся на такую проблему, после того как поставил из портов самбу 36 пытаюсь подключиться к АД !

Код: Выделить всё

net ads join -U user@domen%password
kerberos_kinit_password user@domen failed: Looping detected inside krb5_get_in_tkt
Failed to join domain: failed to connect to AD: Looping detected inside krb5_get_in_tkt

Собственно говоря сама фря

Код: Выделить всё

uname -a
FreeBSD PROXY.DOMEN 10.0-RELEASE FreeBSD 10.0-RELEASE #0: Mon Jan 26 23:34:09 EET 2015     root@PROXY@DOMEN:/usr/obj/usr/src/sys/GENERIC  i386

Заранее скажу что порты обновил ,мир тоже , а и сервер AD стоит на Win2008 !
Отдельно из портов переставлял керберос , не помогло !

А чего самба такая старая? Ставь 4!!!

[Kobzar]

Нормально

Отправлено спустя 2 минуты 6 секунд:

Код: Выделить всё

failed to connect to AD: Looping detected inside krb5_get_in_tkt

Код: Выделить всё

#cd /usr/ports/security/krb5
#make install clean
#cd /usr/ports/net/samba36
#make reinstall clean
#/usr/local/etc/rc.d/samba restart
#net ads join -U kobzar
Enter kobzar's password:
Using short domain name -- DOMAIN
Joined 'SERVER' to dns domain 'domain.local'

[EHoT]

Несколько дополнений к статье, что нашел:

добавление машины в домен:
net rpc join -U user.name

авторизация в домене:
net setauthuser -U squid%password

права на папку, а то кальмар не может авторизоваться:

ls -l /var/db/samba4/winbindd_privileged
chmod 750 winbindd_privileged
chown -R root:squid winbindd_privileged

опции сборки:

samba41

-ADS
-LDAP
-SYSLOG
-UTMP
-NSUPDATE

squid
-ARP_ACL
-AUTH_KERB (думал на керберус подцепить, не использую)
-AUTH_LDAP
-AUTH_SMB (нужно для самбы, появилось в новых версиях, на момент написания статьи не было в природе)
-HTCP
-IDENT
-SNMP

Пакеты:
root@freebsd:/usr/local/etc/rc.d # pkg info | grep samba
samba4-4.0.21 A free SMB/CIFS and AD/DC server and client for UNIX
root@freebsd:/usr/local/etc/rc.d # pkg info | grep squi
squid-3.4.8_1 HTTP Caching Proxy

[BEEn]

http://www.youtube.com/watch?v=yZfoBTlqFCQ