Обсуждение SQUID+SAMS with LDAP

[Cancer]

Обсуждение, предложения и замечания к статье Обсуждение SQUID+SAMS with LDAP
Линк прилагается http://www.lissyara.su/?id=1811

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[opt1k]

не пойму, ldap аутентификация происходит напрямую из АД? если да то зачем тогда самба?

[Cancer]

не пойму, ldap аутентификация происходит напрямую из АД? если да то зачем тогда самба?

ну а как по твоему САМС будет аутентифицировать пользователей и тем более добавлять их к себе в шаблоны из LDAP WIn2003k?

тобишь как будет происходить аутентификация в обе стороны...

[opt1k]

что то всё мутно как-то
вот я понимаю, если авторизация идёт через winbind, то это самба,
если через лдап, то вроде бы и самба не нужна...
можете обрисовать механизм работы через лдап?

[Cancer]

слушай и внатури самба даже и не нужна

Ща проверю, отпишусь и тада установку ненужно софтины уберу....

[opt1k]

ждёмс результатов
ещё большая просьба, внизу статьи складывайте ссылки по которым писали статью, это очень помогает. Я бы даже сделал это чуть ли не обязательным требованием к написанию статьи .

[MetiS]

Хорошая статья. Спасибо автору.
Стоит у меня такая завязка. Только авторизация происходит через NCSA. Работает нормально.
Кстати. Баг или нет? Еще не определил. Но, после реконфигурации сквида через самс - пулы убивает. Приходится настраивать по-новому.
И еще. Самс у меня не блокирует пользователей при превышении квоты.
PS.: ставил SQUID3.

[dikens3]

По поводу Rejik, зачем качать, когда порты есть?
http://www.lissyara.su/?id=1309

[Cancer]

Хорошая статья. Спасибо автору.
Стоит у меня такая завязка. Только авторизация происходит через NCSA. Работает нормально.
Кстати. Баг или нет? Еще не определил. Но, после реконфигурации сквида через самс - пулы убивает. Приходится настраивать по-новому.
И еще. Самс у меня не блокирует пользователей при превышении квоты.
PS.: ставил SQUID3.

так он вроде со сквидом 3 еще не очень работает.
Ща ведется разработка 2 версии САМСА там и посмотрим.

[opt1k]

ну, работает, без самбы или нет?

[Cancer]

ну, работает, без самбы или нет?

да работает без САМБЫ

[opt1k]

гуд, а теперь мона попробывать без krb5.conf'а, попробуйте привести его к стандартному виду и посмотрите, будет ли работать.
что-то мне подсказывает что не будет

[MBear]

а у меня сквид то пускает, то пишет
squid_ldap_auth: WARNING, could not bind to binddn 'Can't contact LDAP server'
что-то не могу разобраться. может ему helperOpenServers: Starting 8 'squid_ldap_auth' processes мало? или много?

[MBear]

ага. разобрался. почемуто строчка хелпера была обрезана, так что сервака не было

[devilas]

я так и не смог заставить работать идентификатор сквида в лдапе все время пишет то invalid credentials то просто ERR Success

[MBear]

может напутал с OU?
в коммандной строке эксперементировал?

[Cancer]

Народ пишите подробнее... какой запрос даете итд итп (по нескольким ответам

invalid credentials то просто ERR Success

трудно догадаться что у вас там)
А понятно только то что, нет аутентификации

[MBear]

Так...теперь не видно, чтобы sams показывал трафик.....
ога. похоже /usr/local/bin/sams не дергается раз в минуту.....

[slim]

Можт кому поможет.
Есть дерево domain.local в нем подчиненные домены, задача организовать LDAP авторизацию для все доменов дерева.

Код: Выделить всё

auth_param basic program /usr/local/libexec/squid/squid_ldap_auth -R -D user@domain.local -w usrpass -b "dc=domain,dc=local" -f "userPrincipalName=%s" -H ldap://192.168.0.100:3268

Самс дает сквиду пользователей в виде домен@пользователь, а нам для поиска в LDAP нужно пользователь@домен
правим исходники:

• samsdaemon.c строки 1886-1908

меняем местами переменные row2[6] - домен и row2[1] - пользователь

Код: Выделить всё

			for(k=1;k<strlen(SEPARATOR);k++)
			  {
                            if(BIGD==1)
		              {
                                str2upper((char *)row2[6]);
			        fprintf(fout,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
                                if(RREJIK==1&&atoi(row2[10])>0)
                                  fprintf(fout2,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
		              }
                            else if(BIGD==-1)
		              {
                                Str2Lower(row2[6]);
			        fprintf(fout,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
                                if(RREJIK==1&&atoi(row2[10])>0)
                                  fprintf(fout2,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
		              }
			    else  
		              {
			        fprintf(fout,"%s%c%s\n",row2[6],SEPARATOR[k],row2[1]);
                                if(RREJIK==1&&atoi(row2[10])>0)
                                  fprintf(fout2,"%s%c%s\n",row2[1],SEPARATOR[k],row2[6]);
		              }
			  }

сам записывает пользователей в файл в нужном нам виде
еще остается проблема не считает трафик для этого правим

• demon.c строки 209-214

меняем с

Код: Выделить всё

                            if(strstr(STR[7],"+")!=0)
                              {
			        domain=strtok(STR[7],"+");
                                user=strtok(NULL,"+");
                                samsuser=ReturnSAMSUser(user, domain, STR[2], 1);
                                if(samsuser>0)

на

Код: Выделить всё

                            if(strstr(STR[7],"@")!=0)
                              {
			        user=strtok(STR[7],"@");
                                domain=strtok(NULL,"@");
                                samsuser=ReturnSAMSUser(user, domain, STR[2], 1);
                                if(samsuser>0)

и строки 484-490 по аналогии.

[Гость]

login@domain.local
Я так понимаю это виндовый юзверь в АД.
А собвственно как быть если поднят домен на самбе + лдап и юзеры хранятся в ldap, как вытащить имя пользователя.

[Cancer]

login@domain.local
Я так понимаю это виндовый юзверь в АД.
А собвственно как быть если поднят домен на самбе + лдап и юзеры хранятся в ldap, как вытащить имя пользователя.

Собственно не пробовал, но попробуй вот так

Код: Выделить всё

/usr/local/libexec/squid/squid_ldap_auth -u cn -b "cn=контейнер_AD,dc=domain,dc=local" activedirectoryserver

или

Код: Выделить всё

/usr/local/libexec/squid/squid_ldap_auth -b "ou=Users,ou=samba,o=example,dc=ru" -h ads_host -u uid -D "cn=samba,o=example,c=ru" -p password_of_samba

[Jeque]

Подскажите пожалуйста, при таком типе авторизации, она проходит прозрачно для пользователей домена или нужно вручную вводить пароль для доступа в интернет?

[Cancer]

Подскажите пожалуйста, при таком типе авторизации, она проходит прозрачно для пользователей домена или нужно вручную вводить пароль для доступа в интернет?

нужно вводить логин и пароль

[Jeque]

Подскажите пожалуйста, при таком типе авторизации, она проходит прозрачно для пользователей домена или нужно вручную вводить пароль для доступа в интернет?

ненужно вводить логин и пароль

А надолго он его запоминает? Как часто требуется вводить логин и пароль?

[Cancer]

Подскажите пожалуйста, при таком типе авторизации, она проходит прозрачно для пользователей домена или нужно вручную вводить пароль для доступа в интернет?

ненужно вводить логин и пароль

А надолго он его запоминает? Как часто требуется вводить логин и пароль?

1 Раз за сессию.