forum.lissyara.su

поставил, настроил уже на двух серваках все ровно вроде, но... когда перегружается DC, то winbindd начинает дурить и сквид перестает пускать в домен, приходится перегружать самбу. Это косяк или так и должно быть? Где-то я уже встречал подобные грабли но не помню какой там был выход.

dvg_lab писал(а):поставил, настроил уже на двух серваках все ровно вроде, но... когда перегружается DC, то winbindd начинает дурить и сквид перестает пускать в домен, приходится перегружать самбу. Это косяк или так и должно быть? Где-то я уже встречал подобные грабли но не помню какой там был выход.

это фича.
минут 10 проходит - начинает пускать.

оригинально... я уже хотел скриптег хитрый рисовать. Ну еси 10 минут то можно забить.
Тут другая тема, у меня авторизация по группам в АД, но тут выясняется что одним юзерам можно все, а другим надо резать mp3,avi и тд., хотелось бы сделать две группы в АД одна типа limited вторая unlimited... но я насколько понял ntlm_auth умеет только с одной группой работать... да и не хочется дополнительно рисовать текстовые файлы с юзерами и прописыать их в сквиде... или мне ковырять в сторону rejik? все равно его ставить придется для обрезания всего лишнего...

сквид умеет за группами в лдап лазить.

dvg_lab писал(а):... или мне ковырять в сторону rejik? все равно его ставить придется для обрезания всего лишнего...

Как мне представляется, ситуация патовая. Squid получит имя пользователя и передаст его редиректору Rejik или SquidGuard, а им в настоящий момент, домен абсолютно по-барабану, т.е. они ориентируются исходя из своих конфигурационных файлов. Так что перечислять пользователей и в любом случае придется. Во всяком случае нигде не встречал чтобы редиректор как-то пытался выяснить какой группе в Windows домене принадлежит пользователь.

lissyara писал(а):сквид умеет за группами в лдап лазить.

в этом месте можно поподробнее? то есть можно обойтись вообще без auth_ntlm модуля? или так типа идет сквиду запрос от васи пупкина по ntlm_auth сквид его авторизует, а потом лезет сам в ADшный лдап и еще раз смотрит какой группе принадлежит этот юзер и уже потом на основании acl как-то можно будет разграничить? Я в правильном направлении мыслю?

-cat- писал(а):

dvg_lab писал(а):... или мне ковырять в сторону rejik? все равно его ставить придется для обрезания всего лишнего...

Как мне представляется, ситуация патовая. Squid получит имя пользователя и передаст его редиректору Rejik или SquidGuard, а им в настоящий момент, домен абсолютно по-барабану, т.е. они ориентируются исходя из своих конфигурационных файлов. Так что перечислять пользователей и в любом случае придется. Во всяком случае нигде не встречал чтобы редиректор как-то пытался выяснить какой группе в Windows домене принадлежит пользователь.

в край я так подумал можно слабать скриптег в крон, который будет банально юзать ldapsearch или перловый модуль и напрямую лезть в AD лдап, оттуда выдергивать юзеров, конвертить все это дело в текстовый файлег и подсовывать его режику или тому же сквиду, главное чтоб они эти файлеги умели на лету хватать, или уж по крайней мере через squid -k reconfigure. у меня щас постфикс так за ADшными юзерами ходит.

но конечно если сквид сам будет в лдап ходить как предлагает Лис, то это будет имхо гораздее.

По моему кроме головной боли от взимодействия связки плюсов нет. Что руками конфиги править, что группы руками подправить в windows. А если еще и есть ограничения по использованиому трафику то как тогда решать проблему?

-cat- писал(а):По моему кроме головной боли от взимодействия связки плюсов нет. Что руками конфиги править, что группы руками подправить в windows. А если еще и есть ограничения по использованиому трафику то как тогда решать проблему?

чет реализация становится слишком сложной, но безусловно в целях такой интеграции нужно юзать исключительно ldap потому как прописывать 15 файлов (там спискок ограничений, тут количество трафика, там список юзеров которым можно, тут которым нельзя и тд) при количестве юзеров в 120 чел уже начнутся проблемы. Но безусловно такая система на раз не подымется, тут нужно много будет гимора пережить. Мне слава Богу нужно только два списка, один юзера могут качать все и везде и другой ограничения на mp3, avi и некий список плохих url, все что сложнее я реализовывать не возьмусь ибо еще 8 задач в списке висит

http://www.opennet.ru/tips/info/925.shtml?skip=10
посмотри возможно даст идею
К тому же есть подозрение на тормоза при общении в сети

dvg_lab писал(а):поставил, настроил уже на двух серваках все ровно вроде, но... когда перегружается DC, то winbindd начинает дурить и сквид перестает пускать в домен, приходится перегружать самбу. Это косяк или так и должно быть? Где-то я уже встречал подобные грабли но не помню какой там был выход.

можно сделать сквид с авторизацией в домене посредством радиуса .

радиус это как-то совсем жестоко
У меня возникла еще одна грабля. Вот с интернет эксплодером все ровно и со всеми прогами которые умеют ntlm авторизацию на проксе тоже все ровно, но бухгалтерия со своими уё.... клиент-банками уже задрала, не умеют они такую авторизацию. Только обычная авторизация на проксе посредством логина/пароля. Отсюда вопрос читал в пятницу вечером доку но особо не всосал можно ли сделать так чтоб в дополнение к ntlm_auth работала еще обычная авторизация через фалег с логином/паролем, кстати последнюю я еще ни разу не настраивал, я так понимаю надо модуль ncsa подкомиливать. Вобщем можно ли сделать две авторизации еси не прошла первая, то юзать вторую? Особо много гимора не хочется.

dvg_lab писал(а):радиус это как-то совсем жестоко
У меня возникла еще одна грабля. Вот с интернет эксплодером все ровно и со всеми прогами которые умеют ntlm авторизацию на проксе тоже все ровно, но бухгалтерия со своими уё.... клиент-банками уже задрала, не умеют они такую авторизацию. Только обычная авторизация на проксе посредством логина/пароля. Отсюда вопрос читал в пятницу вечером доку но особо не всосал можно ли сделать так чтоб в дополнение к ntlm_auth работала еще обычная авторизация через фалег с логином/паролем, кстати последнюю я еще ни разу не настраивал, я так понимаю надо модуль ncsa подкомиливать. Вобщем можно ли сделать две авторизации еси не прошла первая, то юзать вторую? Особо много гимора не хочется.

Практически во всех примерах конфигов после ntlm авторизации идет basic авторизация, для браузеров которые не понимают ntlm.
У меня клиент вообще не понимает авторизации, поэтому для бухгалтерии в ipfw открыт порт и адрес сервера банка, так проще и надежнее.

вовращаюсь к этой теме. К сожалению пока ни режик ни обычную авторизацию не прикручивал, но вот выползают некоторые баги. У юзеров машины перестали на windows update ходить за обновлениями. Видимо вендовая обновлялка сама по себе не умеет ntlm авторизацию на проксе, что странно. Но вопрос - как победить? Открыть негрософт.ком без авторизации совсем? очередной костыль?

_http://technet.microsoft.com/en-us/wsus/default.aspx

lissyara писал(а):_http://technet.microsoft.com/en-us/wsus/default.aspx

ыыы.... негросовт... пошел искать свободное железо...

на самом деле, это самое грамотное решение...

понимаю, оно у меня в планах уже 2 года стоит... вот теперь "пришла пора"...

Повторю свой любимый вопос - у вас тоже пароли только английские при авторизации такой проходят ? (русские не пускает хоть ты тресни)

у всех тока инглиш
собирается какую-то dll-ку писать - чтоб не смоги себе русские ставить. На сайте венды есть инструкция
=========
вот так

Лис, не совсем в тему но запарил меня это wsus, все вроде поставил, обновления скачались, но захожу на http://wsus-srv/ и вижу "this page under constuction" где какой контакт надо нажать чтоб оно запустилось?

http://wsus-srv/WSUSAdmin/

ни работаит, видимо ошибка в 17й строке... Ладно попробую сам еще пошукать.

?

это wsus 2.0 имел /wsusadmin, а у 3.0 консоль mmc, в ней вроде все есть, но я к сожалению не спец по IIS и вот заходя на http://wsus-srv я вижу ошибку, в конфиге этого Default Site никаких интересных подпапок не оказалось, кроме Selfupdate, но еси зайти http://wsus-srv/Selfupdate то оно говорит что недостаточно прав 403 - иди нафик, вот я и не знаю че делать, что-то вообще должно показываться или не должно. Не знаю идти дальше настраивать групповые политики или нет.. Хотелось бы предварительно проверить что http сервер корректно работает и отдает контент всуса..