Страница 1 из 1

squid 2.7 и Active directory

Добавлено: 2009-07-16 9:34:44
BAXTEP
Пошел второй день борьбы со сквидом, а именно с авторизацией сквида в АД.

Если полностью отключить авторизацию, сквид работает отлично. Авторизация в домене не работает.
В сети есть 2 контроллера домена.
Также есть 2 шлюза, один быстрый, но платный другой медленный но бесплатный.
Идея в том чтобы людей из группы FastInternet пускать по одному каналу, из SlowInternet по другому.
Сквид стоит на : FreeBSD gateway.mx1.lan 7.1-RELEASE FreeBSD 7.1-RELEASE, ядро дефолтное.

Код: Выделить всё

gateway# squid -v
Squid Cache: Version 2.7.STABLE4
configure options:  '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/usr/local/squid' '--sysconfdir=/usr/local/etc/squid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB LDAP YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=SMB' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd null' '--enable-delay-pools' '--disable-internal-dns' '--with-large-files' '--enable-large-cache-files' '--enable-err-languages=Armenian Azerbaijani Bulgarian Catalan Czech Danish  Dutch English Estonian Finnish French German Greek  Hebrew Hungarian Italian Japanese Korean Lithuanian  Polish Portuguese Romanian Russian-1251 Russian-koi8-r  Serbian Simplify_Chinese Slovak Spanish Swedish  Traditional_Chinese Turkish Ukrainian-1251  Ukrainian-koi8-u Ukrainian-utf8' '--enable-default-err-language=English' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd7.1' 'build_alias=i386-portbld-freebsd7.1' 'CC=cc' 'CFLAGS=-O2 -fno-strict-aliasing -pipe -I/usr/local/include -DLDAP_DEPRECATED' 'LDFLAGS= -L/usr/local/lib' 'CPPFLAGS='
squid.conf

Код: Выделить всё

# Auth config
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=MX1.LAN
auth_param ntlm children 30

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

# Base config
http_port 10.10.10.86:3128
cache_mem 1024 MB
cache_dir ufs /data/squidcache 50000 64 512
access_log /data/squidlogs/access.log squid
log_fqdn On
cache_store_log none
#=======
# ACL setup

external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

#Acl for fast internet
acl     FastInetUser    external nt_group FastInternet
#Acl for slow internet
acl     SlowInetUser    external nt_group SlowInternet

acl all src all
acl localhost src 127.0.0.1
acl Localnet src 10.10.10.0/24

# ACL Deny Sites
#Include

#=======
# Access

tcp_outgoing_address 10.10.10.1 FastInetUser
tcp_outgoing_address 10.10.10.254 SlowInetUser

acl MX1 proxy_auth REQUIRED
http_access allow MX1 SlowInetUser
http_access allow MX1 FastInetUser
http_access deny all
winbindd работает правильно, samba пользователей авторизовывает и пускает.
wbinfo_group.pl работает нормально:

Код: Выделить всё

gateway# /usr/local/libexec/squid/wbinfo_group.pl
rulkov fastinternet
OK
Смотрел статьи разные, читал доки по сквиду, судя по ним должно все работать, а не пашет.
Пробовал авторизоватся через IE7 и оперу 9.6
Уже не знаю куда копать... :st:

P.S. Еще хотел спросить по офф. руководству к freebsd есть программка для управления портами sysutils/portupgrade, странно но у меня нет этого порта в коллекции...

Re: squid 2.7 и Active directory

Добавлено: 2009-07-16 13:02:13
arkan
забей на авторизацию в AD - дыра еще та
у меня тоже 2 AD и все работало до тех пор пока к одной AD не сделал добавочный - у сквида башню подснесло хорошо и работает как бы не айс