Обсуждение SQUID+SAMS with LDAP
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Обсуждение SQUID+SAMS with LDAP
Обсуждение, предложения и замечания к статье Обсуждение SQUID+SAMS with LDAP
Линк прилагается http://www.lissyara.su/?id=1811
Линк прилагается http://www.lissyara.su/?id=1811
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- лейтенант
- Сообщения: 966
- Зарегистрирован: 2007-12-05 9:45:18
- Откуда: Mytischi
Re: Обсуждение SQUID+SAMS with LDAP
не пойму, ldap аутентификация происходит напрямую из АД? если да то зачем тогда самба?
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
ну а как по твоему САМС будет аутентифицировать пользователей и тем более добавлять их к себе в шаблоны из LDAP WIn2003k?opt1k писал(а):не пойму, ldap аутентификация происходит напрямую из АД? если да то зачем тогда самба?
тобишь как будет происходить аутентификация в обе стороны...
-
- лейтенант
- Сообщения: 966
- Зарегистрирован: 2007-12-05 9:45:18
- Откуда: Mytischi
Re: Обсуждение SQUID+SAMS with LDAP
что то всё мутно как-то
вот я понимаю, если авторизация идёт через winbind, то это самба,
если через лдап, то вроде бы и самба не нужна...
можете обрисовать механизм работы через лдап?
вот я понимаю, если авторизация идёт через winbind, то это самба,
если через лдап, то вроде бы и самба не нужна...
можете обрисовать механизм работы через лдап?
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
слушай и внатури самба даже и не нужна
Ща проверю, отпишусь и тада установку ненужно софтины уберу....
Ща проверю, отпишусь и тада установку ненужно софтины уберу....
-
- лейтенант
- Сообщения: 966
- Зарегистрирован: 2007-12-05 9:45:18
- Откуда: Mytischi
Re: Обсуждение SQUID+SAMS with LDAP
ждёмс результатов
ещё большая просьба, внизу статьи складывайте ссылки по которым писали статью, это очень помогает. Я бы даже сделал это чуть ли не обязательным требованием к написанию статьи .
ещё большая просьба, внизу статьи складывайте ссылки по которым писали статью, это очень помогает. Я бы даже сделал это чуть ли не обязательным требованием к написанию статьи .
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with LDAP
Хорошая статья. Спасибо автору.
Стоит у меня такая завязка. Только авторизация происходит через NCSA. Работает нормально.
Кстати. Баг или нет? Еще не определил. Но, после реконфигурации сквида через самс - пулы убивает. Приходится настраивать по-новому.
И еще. Самс у меня не блокирует пользователей при превышении квоты.
PS.: ставил SQUID3.
Стоит у меня такая завязка. Только авторизация происходит через NCSA. Работает нормально.
Кстати. Баг или нет? Еще не определил. Но, после реконфигурации сквида через самс - пулы убивает. Приходится настраивать по-новому.
И еще. Самс у меня не блокирует пользователей при превышении квоты.
PS.: ставил SQUID3.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
По поводу Rejik, зачем качать, когда порты есть?
http://www.lissyara.su/?id=1309
http://www.lissyara.su/?id=1309
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
MetiS писал(а):Хорошая статья. Спасибо автору.
Стоит у меня такая завязка. Только авторизация происходит через NCSA. Работает нормально.
Кстати. Баг или нет? Еще не определил. Но, после реконфигурации сквида через самс - пулы убивает. Приходится настраивать по-новому.
И еще. Самс у меня не блокирует пользователей при превышении квоты.
PS.: ставил SQUID3.
так он вроде со сквидом 3 еще не очень работает.
Ща ведется разработка 2 версии САМСА там и посмотрим.
-
- лейтенант
- Сообщения: 966
- Зарегистрирован: 2007-12-05 9:45:18
- Откуда: Mytischi
Re: Обсуждение SQUID+SAMS with LDAP
ну, работает, без самбы или нет?
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
opt1k писал(а):ну, работает, без самбы или нет?
да работает без САМБЫ
-
- лейтенант
- Сообщения: 966
- Зарегистрирован: 2007-12-05 9:45:18
- Откуда: Mytischi
Re: Обсуждение SQUID+SAMS with LDAP
гуд, а теперь мона попробывать без krb5.conf'а, попробуйте привести его к стандартному виду и посмотрите, будет ли работать.
что-то мне подсказывает что не будет
что-то мне подсказывает что не будет
- MBear
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-10-12 7:48:41
Re: Обсуждение SQUID+SAMS with LDAP
а у меня сквид то пускает, то пишет
squid_ldap_auth: WARNING, could not bind to binddn 'Can't contact LDAP server'
что-то не могу разобраться. может ему helperOpenServers: Starting 8 'squid_ldap_auth' processes мало? или много?
squid_ldap_auth: WARNING, could not bind to binddn 'Can't contact LDAP server'
что-то не могу разобраться. может ему helperOpenServers: Starting 8 'squid_ldap_auth' processes мало? или много?
CU L8er
- MBear
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-10-12 7:48:41
Re: Обсуждение SQUID+SAMS with LDAP
ага. разобрался. почемуто строчка хелпера была обрезана, так что сервака не было
CU L8er
-
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2008-01-25 8:09:16
Re: Обсуждение SQUID+SAMS with LDAP
я так и не смог заставить работать идентификатор сквида в лдапе все время пишет то invalid credentials то просто ERR Success
- MBear
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-10-12 7:48:41
Re: Обсуждение SQUID+SAMS with LDAP
может напутал с OU?
в коммандной строке эксперементировал?
в коммандной строке эксперементировал?
CU L8er
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
Народ пишите подробнее... какой запрос даете итд итп (по нескольким ответам
А понятно только то что, нет аутентификации
трудно догадаться что у вас там)invalid credentials то просто ERR Success
А понятно только то что, нет аутентификации
- MBear
- рядовой
- Сообщения: 15
- Зарегистрирован: 2007-10-12 7:48:41
Re: Обсуждение SQUID+SAMS with LDAP
Так...теперь не видно, чтобы sams показывал трафик.....
ога. похоже /usr/local/bin/sams не дергается раз в минуту.....
ога. похоже /usr/local/bin/sams не дергается раз в минуту.....
CU L8er
-
- рядовой
- Сообщения: 33
- Зарегистрирован: 2007-11-16 3:27:13
- Откуда: Украина Киев
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
Можт кому поможет.
Есть дерево domain.local в нем подчиненные домены, задача организовать LDAP авторизацию для все доменов дерева.
Самс дает сквиду пользователей в виде домен@пользователь, а нам для поиска в LDAP нужно пользователь@домен
правим исходники:
сам записывает пользователей в файл в нужном нам виде
еще остается проблема не считает трафик для этого правим
на
и строки 484-490 по аналогии.
Есть дерево domain.local в нем подчиненные домены, задача организовать LDAP авторизацию для все доменов дерева.
Код: Выделить всё
auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D user@domain.local -w usrpass -b "dc=domain,dc=local" -f "userPrincipalName=%s" -H ldap://192.168.0.100:3268
правим исходники:
- samsdaemon.c строки 1886-1908
Код: Выделить всё
for(k=1;k<strlen(SEPARATOR);k++)
{
if(BIGD==1)
{
str2upper((char *)row2[6]);
fprintf(fout,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
if(RREJIK==1&&atoi(row2[10])>0)
fprintf(fout2,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
}
else if(BIGD==-1)
{
Str2Lower(row2[6]);
fprintf(fout,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
if(RREJIK==1&&atoi(row2[10])>0)
fprintf(fout2,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
}
else
{
fprintf(fout,"%s%c%s\n",row2[6],SEPARATOR[k],row2[1]);
if(RREJIK==1&&atoi(row2[10])>0)
fprintf(fout2,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
}
}
еще остается проблема не считает трафик для этого правим
- demon.c строки 209-214
Код: Выделить всё
if(strstr(STR[7],"+")!=0)
{
domain=strtok(STR[7],"+");
user=strtok(NULL,"+");
samsuser=ReturnSAMSUser(user, domain, STR[2], 1);
if(samsuser>0)
Код: Выделить всё
if(strstr(STR[7],"@")!=0)
{
user=strtok(STR[7],"@");
domain=strtok(NULL,"@");
samsuser=ReturnSAMSUser(user, domain, STR[2], 1);
if(samsuser>0)
Что нас не убивает, делает нас сильнее
-
- проходил мимо
Re: Обсуждение SQUID+SAMS with LDAP
login@domain.local
Я так понимаю это виндовый юзверь в АД.
А собвственно как быть если поднят домен на самбе + лдап и юзеры хранятся в ldap, как вытащить имя пользователя.
Я так понимаю это виндовый юзверь в АД.
А собвственно как быть если поднят домен на самбе + лдап и юзеры хранятся в ldap, как вытащить имя пользователя.
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
Собственно не пробовал, но попробуй вот такГость писал(а):login@domain.local
Я так понимаю это виндовый юзверь в АД.
А собвственно как быть если поднят домен на самбе + лдап и юзеры хранятся в ldap, как вытащить имя пользователя.
Код: Выделить всё
/usr/local/libexec/squid/squid_ldap_auth -u cn -b "cn=контейнер_AD,dc=domain,dc=local" activedirectoryserver
Код: Выделить всё
/usr/local/libexec/squid/squid_ldap_auth -b "ou=Users,ou=samba,o=example,dc=ru" -h ads_host -u uid -D "cn=samba,o=example,c=ru" -p password_of_samba
-
- рядовой
- Сообщения: 45
- Зарегистрирован: 2009-01-23 12:28:33
Re: Обсуждение SQUID+SAMS with LDAP
Подскажите пожалуйста, при таком типе авторизации, она проходит прозрачно для пользователей домена или нужно вручную вводить пароль для доступа в интернет?
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
нужно вводить логин и парольJeque писал(а):Подскажите пожалуйста, при таком типе авторизации, она проходит прозрачно для пользователей домена или нужно вручную вводить пароль для доступа в интернет?
Последний раз редактировалось Cancer 2009-01-30 15:30:16, всего редактировалось 1 раз.
-
- рядовой
- Сообщения: 45
- Зарегистрирован: 2009-01-23 12:28:33
Re: Обсуждение SQUID+SAMS with LDAP
А надолго он его запоминает? Как часто требуется вводить логин и пароль?Cancer писал(а):ненужно вводить логин и парольJeque писал(а):Подскажите пожалуйста, при таком типе авторизации, она проходит прозрачно для пользователей домена или нужно вручную вводить пароль для доступа в интернет?
- Cancer
- Гл. Кастратор
- Сообщения: 1269
- Зарегистрирован: 2008-03-25 12:21:36
- Откуда: г. Ростов-на-Дону
- Контактная информация:
Re: Обсуждение SQUID+SAMS with LDAP
Jeque писал(а):А надолго он его запоминает? Как часто требуется вводить логин и пароль?Cancer писал(а):ненужно вводить логин и парольJeque писал(а):Подскажите пожалуйста, при таком типе авторизации, она проходит прозрачно для пользователей домена или нужно вручную вводить пароль для доступа в интернет?
1 Раз за сессию.
Последний раз редактировалось Cancer 2009-01-30 15:31:16, всего редактировалось 1 раз.