Страница 7 из 12
Re: Статья squid+AD
Добавлено: 2008-06-05 15:26:20
Alex_PC
Может это совпадение , и дело не в этом но выскажусь.
Наблюдал различные тормаза при команде wbinfo с различными ключами.
Я убрал строку
winbind separator = +
во первых будет нормально отображатся связка не
domain+user , а более привычно domain\user.
Во вторых у меня пропали тормоза
Но это возможно совпадение
Re: Статья squid+AD
Добавлено: 2008-06-06 15:59:48
Alex_PC
При вводе в домен пишет вот такую вот строчку
The workgroup in /usr/local/etc/smb.conf does not match the short
domain name obtained from the server.
Using the name [DOMAIN] from the server.
You should set "workgroup = DOMAIN" in /usr/local/etc/smb.conf.
Using short domain name -- DOMAIN
DNS update failed!
Joined 'FREEBSD' to realm 'DOMAIN.NET'
В домен вводится.
wbinfo с ключами проходят на ура. Helper тоже проходит без проблем.
Напрягает
DNS update failed!
Re: Статья squid+AD
Добавлено: 2008-06-06 16:24:58
AlektroNik
Попингуй DOMAIN.NET пару раз!
Скорей всего у тебя в /etc/resolv.conf не корректно прописан nameserver !!!
Re: Статья squid+AD
Добавлено: 2008-06-06 23:45:29
george
Классная статья спасибо автору
Все сделал проверил работает )
Мне не подходили готовые решения типа ipcop
так как мне нужна была гибкость и тут делай что хочу создавай группы с нужным тебе набором
Но вот один ньюанс
если я стартую свкид из под рута в ручную то все работает как надо
если ставлю автозапуском в rc.conf
то достаточно юзеру быть ччленом домена или поросту авторизоваться и все ходит куад хочешь
если убить проццесс и в ручную запустить то все ок опять все рулится по группам
в начале ругался что у него не было пермишенов на текстовые файлы с сетями итд указааные в squid.conf
все поправил не ругает но доменных пользователей пускает без груупп
главное авторизоваться
хочу заметить если вручную перезапустяить то все ок
в списке процессов заметил
сквид запускает два процесса типа (squid) squid- D (squid)
и
/usr/local /sbin/ squid -D
и дочек для авторизации
и оба от пользователся squid
если убить и в ручную запустить
ьл все тоже самое но один из процессов идет от root
И ВЭТОМ случае все работает
помогите куда смотреть ??
спс
Re: Статья squid+AD
Добавлено: 2008-06-09 10:09:38
george
В догонку первому посту. после копаний выяснил ещё вот чего
при старте сквида cache.log вот что пишет
"
wbinfo: not found
wbinfo: not found
Can't exec "wbinfo": No such file or directory at /usr/local/libexec/squid/wbinfo_group.pl line 53, <STDIN> line1
Use of uninitialized value in pattern match (m//) at /usr/local/libexec/squid/wbinfo_group.pl line 53, <STDIN> line1
"
если стартовать от root
то соотв такого сообщения нет.
вот привожу часть файла /usr/local/libexec/squid/wbinfo_group.pl
sub check {
local($user, $group) = @_;
$groupSID = `wbinfo -n "$group" | cut -d" " -f1`;
chop $groupSID;
50 $groupGID = `wbinfo -Y "$groupSID"`;
51 chop $groupGID;
52 &debug( "User: -$user-\nGroup: -$group-\nSID: -$groupSID-\nGID: -$groupGID-");
53 return 'OK' if(`wbinfo -r \Q$user\E` =~ /^$groupGID$/m);
54 return 'ERR';
}
Re: Статья squid+AD
Добавлено: 2008-06-09 13:00:38
george
Ура решилось.
Все оказалось что при старте компа и призапуске скрипта wbinfo_group.pl
SQUID не находит путь к wbinfo и соотв надо указывать полный путь
wbinfo лежит в /usr/local/bin/ ( во всяком случае у меня
)
значит и соотв правим wbinfo_group.pl
sub check {
local($user, $group) = @_;
$groupSID = `
/usr/local/bin/wbinfo -n "$group" | cut -d" " -f1`;
chop $groupSID;
50 $groupGID =
`/usr/local/bin/wbinfo -Y "$groupSID"`;
51 chop $groupGID;
52 &debug( "User: -$user-\nGroup: -$group-\nSID: -$groupSID-\nGID: -$groupGID-");
53 return 'OK' if(`
/usr/local/bin/wbinfo -r \Q$user\E` =~ /^$groupGID$/m);
54 return 'ERR';
}
Re: Статья squid+AD
Добавлено: 2008-06-10 10:53:40
AlektroNik
В скрипте то все правильно!
У тебя почему-то wbinfo не схватилось, поидее перезагрузка должна была помочь полюбому или rehash (Оно должно запускаться не только по полному пути, но и только по имени)
Мой тебе совет, разберись в чем проблема, иначе могут глюки быть в дальнейшем, по скриптам не налазиешься!!!
Вот что у меня к примеру выводит:
Мне кстати тоже интерестно гдеже храняться эти пути для запуска чисто по имени!!! Может кто подскажет?
Re: Статья squid+AD
Добавлено: 2008-06-16 17:14:44
ce-zar
Подскажите, пожалуйста, уважаемые ГУРУ, в такой проблеме:
Установил squid 2.6.STABLE16 на FreeBSD 6.3. Пытаюсь раздать права на Инет пользователям через виндовые группы, ничего не выходит, хотя базовая авторизация проходит...
1. Правда ли, что в этом сквиде не работает авторизация ntlm?
2. Будет ли работать авторизация, если установлен прозрачный прокси (http_port 3128 transparent)?
Спасибо за ответы!!!
Re: Статья squid+AD
Добавлено: 2008-06-17 11:24:56
AlektroNik
1) В squid 2.6.STABLE16 пашет!!! Обновим порты и поставь, если есть желание squid 2.6.STABLE20 (у меня фряха 7.0)
(Почитай эту статейку
http://www.lissyara.su/?id=1375 )
2) Через прозрачный прокси авторизация пахать не будет!!!!
Re: Статья squid+AD
Добавлено: 2008-06-17 11:55:05
ce-zar
AlektroNik писал(а):1) В squid 2.6.STABLE16 пашет!!! Обновим порты и поставь, если есть желание squid 2.6.STABLE20 (у меня фряха 7.0)
(Почитай эту статейку
http://www.lissyara.su/?id=1375 )
2) Через прозрачный прокси авторизация пахать не будет!!!!
Добрый день, AlektroNik. Спасибо за ответ... Именно по этой статье и настраивал сквид. Обрадовали, что пашет! Буду экспериментировать!
Re: Статья squid+AD
Добавлено: 2008-06-24 9:25:42
alex_razor.
Добрый день!
Сделал все как в статье. Конфиг такой же. В домен влез. Билетик получил. Но вот что не получается:
При попытке wbinfo -u получаю
, wbinfo -g -
.
Однако, не меняя конфига, пробовал разные варриации команд
и т.д. и различные ключи wbinfo вдруг обнаружил, что wbinfo -u и -п стали выводить и юзеров домена, и группы. После рестарта самбы все снова пропадает. Иногда работает только wbinfo -u, а -g не работает... куда смотреть?
Re: Статья squid+AD
Добавлено: 2008-06-24 9:36:14
Alex Keda
в логи
Re: Статья squid+AD
Добавлено: 2008-06-24 10:28:41
alex_razor.
Какие хоть логи то?
Re: Статья squid+AD
Добавлено: 2008-06-24 11:32:02
AlektroNik
Покажи /etc/hosts и /etc/resolv.conf !!!
Re: Статья squid+AD
Добавлено: 2008-06-24 12:02:32
alex_razor.
AlektroNik писал(а):Покажи /etc/hosts и /etc/resolv.conf !!!
/etc/hosts
Код: Выделить всё
::1 localhost localhost.netown # это само прописалось когда в домен походу ввелся
127.0.0.1 localhost localhost.netown # это само прописалось когда в домен походу ввелся
192.168.1.1 pserver.netown #фрибсд
192.168.1.10 server.netown server #конроллер домена
/etc/resolv.conf
днсов провайдера в resolv.conf нету, сетевуха, смотрящая в инет, к инету не подключена...
Re: Статья squid+AD
Добавлено: 2008-06-24 12:51:50
AlektroNik
Покажи:
1)hostname (знаю что повторяюсь, просто хочу кое-что проверить)
2)ping ping domain.ru (т.е. пингани домен без имени самого сервера)
3)nslookup 192.168.1.10
4)krb5.conf
5)nsswitch.conf
6)smb.conf
Re: Статья squid+AD
Добавлено: 2008-06-24 13:13:34
alex_razor.
hostname:
ping:
Код: Выделить всё
pserver# ping netown
PING netown (192.168.1.10): 56 data bytes
64 bytes from 192.168.1.10: icmp_seq=0 ttl=128 time=0.160 ms
64 bytes from 192.168.1.10: icmp_seq=1 ttl=128 time=0.186 ms
64 bytes from 192.168.1.10: icmp_seq=2 ttl=128 time=0.145 ms
nslookup:
Код: Выделить всё
pserver# nslookup 192.168.1.10
Server: 192.168.1.10
Address: 192.168.1.10#53
** server can't find 10.1.168.192.in-addr.arpa.: NXDOMAIN
krb5.conf:
Код: Выделить всё
pserver# cat /etc/krb5.conf
[libdefaults]
default_realm = NETOWN
[realms]
NETOWN = {
kdc = NETOWN
admin_server = NETOWN
}
[domain_realm]
.netown = NETOWN
[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log
nsswitch.conf:
Код: Выделить всё
pserver# cat /etc/nsswitch.conf
#
# nsswitch.conf(5) - name service switch configuration file
# $FreeBSD: src/etc/nsswitch.conf,v 1.1 2006/05/03 15:14:47 ume Exp $
#
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files
smb.conf:
Код: Выделить всё
pserver# cat /usr/local/etc/smb.conf
[global]
workgroup = NETOWN
security = ADS
password server = NETOWN.LOCAL
realm = NETOWN.LOCAL
netbios name = pserver.netown
server string = Proxy server of netown
log level = 10
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind use default domain = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = 866
# for mail
template homedir = /usr/home/%D/%U
template shell=/bin/sh
# added by lissyara 2007-06-21 in 10:36
#magic script = /root/scripts/create_user_dir.sh %U
[printers]
comment = All Printers
path = /var/spool/samba
printable = Yes
browseable = No
use client driver = yes
public = No
Re: Статья squid+AD
Добавлено: 2008-06-24 16:06:04
AlektroNik
Народ ПЛИЗ ХЕЛП .... ГУРУ ... ПРИЗЫВАЮ НА ПОМОЩЬ!!!
Сегодня начал переводить народ на свою проксючасть перевел (+ в политиках домена еще сделал правило, чтобы моя прокся подсасывалась) и фряха начала выдавать такое сообщение:
kernel: Limiting open port RST response from 225 to 200 packets/sec
и т.д.
Перезапустился, прокся хоть и пашет, но ошибка лезет!
Есть у кого идеи?
P.S. А решить проблемку надо срочнячком иначе завтра пользователи порвут! Настройки браузеров обратно менять влом!!! Хоть я и через политику это сделал!
Re: Статья squid+AD
Добавлено: 2008-06-25 3:25:45
narian
столкнулся со следующей проблемой.
настроено все как у gmn - ntlm аутентификация с помощью fakeauth и потом эти данные передаются squid_ldap_group.
Код: Выделить всё
auth_param ntlm program /usr/lib/squid3/fakeauth_auth
auth_param ntlm keep_alive on
auth_param ntlm children 200
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -v3 -P \
-b "DC=bkbvlad,DC=ru" \
-f "(&(objectclass=user)(!(objectclass=computer))(sAMAccountName=%s))" \
-D "squideader@bkbvlad.ru" -W /etc/squid3/pw.txt -H ldap://192.168.1.10:3268
auth_param basic children 15
auth_param basic realm Squid
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
external_acl_type ldap_group ttl=7200 %LOGIN /usr/lib/squid3/squid_ldap_group -S -R -v3 -P \
-b "DC=bkbvlad,DC=ru" \
-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf=cn=%a,OU=squid,DC=bkbvlad,DC=ru))" \
-D "squideader@bkbvlad.ru" -W /etc/squid3/pw.txt -H ldap://192.168.1.10:3268
acl allowed_group external ldap_group inetusers
http_access allow allowed_group
Проблема в том, что, похоже, не смотря на установленный ключ -S squid_ldap_group, оно не выкусывает домен из полученного от fakeauth'а имени пользователя. Вот кусок из access.log:
Код: Выделить всё
1214351245.271 0 192.168.1.50 TCP_DENIED/407 2636 GET http://www.ru/ - NONE/- text/html
1214351245.312 0 192.168.1.50 TCP_DENIED/407 2787 GET http://www.ru/ - NONE/- text/html
1214351245.426 98 192.168.1.50 TCP_DENIED/403 2546 GET http://www.ru/ bkbvlad\auto-el NONE/- text/html
1214351246.370 0 192.168.1.50 TCP_DENIED/407 2469 GET http://www.ru/ - NONE/- text/html
1214351246.390 0 192.168.1.50 TCP_DENIED/407 2620 GET http://www.ru/ - NONE/- text/html
1214351246.394 0 192.168.1.50 TCP_DENIED/403 2379 GET http://www.ru/ bkbvlad\auto-el NONE/- text/html
система debian etch
squid 3.0.PRE5-5.
Добавлено позже:
Проблема решилась использованием fakeauth из squid 3.0STABLE7 - там реализована возможность выкусывания домена из полученного имени пользователя.
Re: Статья squid+AD
Добавлено: 2008-06-27 16:38:11
smertnik
Здравствуйте.
Сделал почти все как в статье, ntml срабатывает, а вот по групам запреты не раздаются, в частности группа, которая имеет доступ только к определенным доменам.
Код: Выделить всё
# авторизация
# нативная авторизация ослика
auth_param ntlm program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-ntlmssp
# число детишек для авторизации - сколько процессов запускать
auth_param ntlm children 30
# базовая авторизация для тех, кто не может нативную
auth_param basic program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-basic
# Число процессов для базовой аворизации - значительно меньше
# чем для основной, т.к. таких юзеров/программ немного
auth_param basic children 4
# Заголовок окна выводимяй при запросе авторизации
auth_param basic realm Squid proxy-caching web server
# время жизни авторизации - сколько кэшировать данные
# (для базовой авторизации)
auth_param basic credentialsttl 2 hours
# внешняя ACL для разруливания по группам
external_acl_type nt_group %LOGIN \
/usr/local/libexec/squid/wbinfo_group.pl
# ----------ACL-----------
# пользователи с полными парвами на доступ в инет
acl inet_full external nt_group inet_full
acl MYDOMAIN proxy_auth REQUIRED
# определённый набор ресурсов и всё.
acl inet_restrict external nt_group inet_restrict
# список сайтов для тех у кого их определённый набор
acl domains_for_restrict dstdomain \
"/usr/local/etc/squid/db/domains_for_restrict.txt"
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
# ACL авторизации на проксе
http_access allow MYDOMAIN
# разрешаем инет ограниченным пользователям на разрешённые сайты
http_access allow inet_restrict domains_for_restrict
http_access deny all
В логах тоже все ок.
Код: Выделить всё
2008/06/27 17:04:48| Starting Squid Cache version 2.6.STABLE19+ICAP for i386-portbld-freebsd7.0...
2008/06/27 17:04:48| Process ID 71906
2008/06/27 17:04:48| With 11072 file descriptors available
2008/06/27 17:04:48| Using kqueue for the IO loop
2008/06/27 17:04:48| Performing DNS Tests...
2008/06/27 17:04:48| Successful DNS name lookup tests...
2008/06/27 17:04:48| DNS Socket created at 0.0.0.0, port 54371, FD 6
2008/06/27 17:04:48| Adding nameserver 192.168.10.252 from /etc/resolv.conf
2008/06/27 17:04:48| helperStatefulOpenServers: Starting 30 'ntlm_auth' processes
2008/06/27 17:04:49| helperOpenServers: Starting 4 'ntlm_auth' processes
2008/06/27 17:04:49| helperOpenServers: Starting 5 'wbinfo_group.pl' processes
2008/06/27 17:04:49| User-Agent logging is disabled.
2008/06/27 17:04:49| Referer logging is disabled.
2008/06/27 17:04:49| Unlinkd pipe opened on FD 50
2008/06/27 17:04:49| Swap maxSize 51200000 KB, estimated 3938461 objects
2008/06/27 17:04:49| Target number of buckets: 196923
2008/06/27 17:04:49| Using 262144 Store buckets
2008/06/27 17:04:49| Max Mem size: 819200 KB
2008/06/27 17:04:49| Max Swap size: 51200000 KB
2008/06/27 17:04:49| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2008/06/27 17:04:49| Store logging disabled
2008/06/27 17:04:49| Rebuilding storage in /usr/local/squid/cache (CLEAN)
2008/06/27 17:04:49| Using Least Load store dir selection
2008/06/27 17:04:49| Current Directory is /
2008/06/27 17:04:49| Loaded Icons.
2008/06/27 17:04:49| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 51.
2008/06/27 17:04:49| Accepting ICP messages at 0.0.0.0, port 3130, FD 52.
2008/06/27 17:04:49| WCCP Disabled.
2008/06/27 17:04:49| Pinger socket opened on FD 54
2008/06/27 17:04:49| NETDB state reloaded; 742 entries, 333 msec
2008/06/27 17:04:49| Ready to serve requests.
2008/06/27 17:04:49| Store rebuilding is 0.5% complete
2008/06/27 17:04:53| Done reading /usr/local/squid/cache swaplog (756992 entries)
2008/06/27 17:04:53| Finished rebuilding storage from disk.
2008/06/27 17:04:53| 756992 Entries scanned
2008/06/27 17:04:53| 0 Invalid entries.
2008/06/27 17:04:53| 0 With invalid flags.
2008/06/27 17:04:53| 756992 Objects loaded.
2008/06/27 17:04:53| 0 Objects expired.
2008/06/27 17:04:53| 0 Objects cancelled.
2008/06/27 17:04:53| 0 Duplicate URLs purged.
2008/06/27 17:04:53| 0 Swapfile clashes avoided.
2008/06/27 17:04:53| Took 4.5 seconds (168912.4 objects/sec).
2008/06/27 17:04:53| Beginning Validation Procedure
2008/06/27 17:04:53| 262144 Entries Validated so far.
2008/06/27 17:04:53| 524288 Entries Validated so far.
2008/06/27 17:04:53| Completed Validation Procedure
2008/06/27 17:04:53| Validated 756992 Entries
2008/06/27 17:04:53| store_swap_size = 7410684k
2008/06/27 17:04:54| storeLateRelease: released 0 objects
2008/06/27 17:15:53| Reconfiguring Squid Cache (version 2.6.STABLE19+ICAP)...
2008/06/27 17:15:53| FD 51 Closing HTTP connection
2008/06/27 17:15:53| Closing Pinger socket on FD 54
2008/06/27 17:15:53| FD 52 Closing ICP connection
2008/06/27 17:15:53| Cache dir '/usr/local/squid/cache' size remains unchanged at 51200000 KB
2008/06/27 17:15:53| Initialising SSL.
2008/06/27 17:15:53| Store logging disabled
2008/06/27 17:15:53| User-Agent logging is disabled.
2008/06/27 17:15:53| Referer logging is disabled.
2008/06/27 17:15:53| DNS Socket created at 0.0.0.0, port 58981, FD 7
2008/06/27 17:15:53| Adding nameserver 192.168.10.252 from /etc/resolv.conf
2008/06/27 17:15:53| helperStatefulOpenServers: Starting 30 'ntlm_auth' processes
2008/06/27 17:15:53| helperOpenServers: Starting 4 'ntlm_auth' processes
2008/06/27 17:15:53| helperOpenServers: Starting 5 'wbinfo_group.pl' processes
2008/06/27 17:15:53| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 48.
2008/06/27 17:15:53| Accepting ICP messages at 0.0.0.0, port 3130, FD 49.
2008/06/27 17:15:53| WCCP Disabled.
2008/06/27 17:15:53| Pinger socket opened on FD 52
2008/06/27 17:15:53| Loaded Icons.
2008/06/27 17:15:53| Ready to serve requests.
2008/06/27 17:15:54| Pinger exiting.
Re: Статья squid+AD
Добавлено: 2008-07-08 11:40:39
hREX2
Здравствуйте всем! Касательно медлительности wbinfo_group.pl, я делал так:
Код: Выделить всё
router2# cat ./rex_helper.pl
#!/usr/bin/perl
use strict;
my $ruser='';
my $rgroup='';
$|=1;
while (<STDIN>)
{
chomp;
($ruser, $rgroup)=split /\s+/;
if ($ruser){
if (grep(/%/,$ruser))
{
$ruser =~ s/%([a-fA-F0-9]{2,2})/chr(hex($1))/eg;
}
$ruser="\L$ruser";
if ($rgroup){
$rgroup="\L$rgroup";
if (grep(/$ruser/,`getent group $rgroup`)){
print "OK\n";
next;
}
}
}
print "ERR\n";
}
ну и соответственно:
winbind use default domain = yes
(в smb.conf)
ну и наконец :
winbindd_flags="-n"
(в rc.conf)
правда последний пункт сомнителен....
может понадобится кому...
Re: Статья squid+AD
Добавлено: 2008-07-12 1:21:23
Andy2k
А можно ли реализовать описанное в статье без AD и домена?
У меня следующая ситуация - имеем:
1.Шлюз на FreeBSD 6.3 на нем NAT+DDNS+DHCP+IPFW+TFTP
2. Windows Server 2003 - роль - сервер терминалов.
3. Сетка на 40 машин - бездисковые рабочие станции, загружаются по сети (PXE), IP и загрузочный образ Thinstation получают со шлюза.
Задача: ограничить доступ в интернет пользователям сервера терминалов.
На шлюзе фильтровать пользователей по IP не могу (все запросы приходят с одного IP - сервера терминалов).
В принципе, решение описанное в статье меня бы устроило, но ради него одного поднимать AD и домен совсем не хочется.
Что уже пробовал:
VPN соединения от сервера терминалов к шлюзу. Поднимал на шлюзе mpd, из терминальной сессии пользователя соединение устанавливается, но оно же становится доступно во всех активных терминальных сессиях
. Каким образом запретить другим пользователям использовать чужие соединения - так и не понял (видно маловато опыта администрирования масдая)
Прошу совета и помощи.
Re: Статья squid+AD
Добавлено: 2008-07-12 1:50:25
paradox_
socks5
https
Re: Статья squid+AD
Добавлено: 2008-07-14 10:05:42
HidX
Помогите пожалуйста.
Сделал всё как в статье. С конфигурацией всё получилось. В IE указал ип и порт сквида, но интернет он так и не раздаёт.... В IE пишет "Невозможно отобразить страницу" В Опере Доступ запрещён.
И почемуто не пишет логи. Тоесть в /var/log нет каталога squid
Re: Статья squid+AD
Добавлено: 2008-07-14 13:35:30
Alex Keda
создай