Страница 1 из 1
rejik и squid с авторизацией в AD
Добавлено: 2007-09-13 16:40:37
dvg_lab
народ, а как режик воспримет ситуаию когда сквид авторизует юзеров в AD и соотв. нужно юзерам nachalnik и director разрешить ходить на все сайты, а остальным обрезать скачивание mp3, avi и тд... вроде у режика в доке есть пункт allow_id <login> и типа можно прописать юзеров, но как он отреагирует на доменный префикс? Тестового сервака просто нету не могу попробовать...
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-13 16:45:56
Alex Keda
а откуда преффикс?
Код: Выделить всё
nnvsrv# id akeda
uid=10000(akeda) gid=10000(domain users) groups=10000(domain users)
nnvsrv#
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-13 21:54:26
-cat-
Никак не воспримет, режику юзеры AD по барабану, он-режик получит только то что передаст ему сквид, а сквид представления об AD также не имеет, этим занимается winbind.
work_id в режике это логины пользователей которые получил сквид, а id это то что присвоил winbind, который со сквидом такой информацией не делится.
Технология такая сквид получил логин и пароль, затем передал это ntlm_auth, последний через winbind залез в AD проверил и ответил либо OK либо ERR, далее сквид если OK все что имеет (логин, IP-адрес, запрос, и еще чего-то) передаст на обработку режику, а соответственно если ERR - отразит.
И последнее в squidGuard прикрутили ldap авторизацию, вот здесь наверное можно поиграться.
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-13 22:31:11
dvg_lab
а меня вот что беспокоит
Код: Выделить всё
%id druginin
id: druginin: no such user
%id TJ\\druginin
uid=10000(TJ\druginin) gid=10000(TJ\domain users) groups=10000(TJ\domain users), 10005(TJ\domain admins), 10007(TJ\office), 10009(TJ\ost), 10020(TJ\it), 10036(TJ\ostproxyusers)
Кругом доменный префикс и я боюсь что сквид будет отдавать режику юзера не как druginin, а как TJ\druginin из-за чего у режика может съехать крыша, вобщем наверное надо пробовать по любому.
2lis: как ты избавился от доменного префикса?
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-13 22:36:43
-cat-
Доменного префикса может и не быть все зависит от настроек sambы
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-13 23:18:49
Alex Keda
его и небыло...
специально ничё не дела.
конфиг могу выложить завтра
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 8:18:03
dvg_lab
lissyara писал(а):его и небыло...
специально ничё не дела.
конфиг могу выложить завтра
давай самбовый конфиг, явно оно где-то там астраиваецо
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 8:30:52
-cat-
2dvg_lab
имеется в smb.conf
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 8:31:08
Alex Keda
Код: Выделить всё
[global]
workgroup = MYDOMAIN
security = ADS
password server = MYDOMAIN.LOCAL
realm = MYDOMAIN.LOCAL
netbios name = PRMSRV
server string = SAMBA shares server
# log level = 10
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
display charset = koi8-r
unix charset = koi8-r
dos charset = 866
# for mail
template homedir = /shares/mail/%U
# added by lissyara 2007-06-21 in 10:36
#magic script = /root/scripts/create_user_dir.sh %U
#[printers]
# comment = All Printers
# path = /var/spool/samba
# printable = Yes
# browseable = No
# use client driver = yes
# public = No
я насколько помню
дело в этом
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 8:31:37
Alex Keda
20 сек разницы
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 9:18:28
dvg_lab
lissyara писал(а):20 сек разницы
такое впечатление что ты живешь на этом сайте
действительно юзе дефаулт было то что надо, но зато поимел опять непонятный секис с winbindd. Нетрадиционный я бы сказал.
Вобщем эта падла есс-но отвалилась когда я поменял эту строчку в smb.conf, винбинд перестал запускацо, грит нет прав на winbindd_privileged, я уже знаю эту фишку - убиваю его, винбинд запусаецо. теперь выставляю права 777 почему-то только с ними оно нормально работает. Но эта дира winbindd_privileged явно какая-то левая потому что входишь в нее миднайт командиром и он снизу ругаецо шо типа
Код: Выделить всё
Warning: Cannot change to /var/db/samba/winbindd_privileged.
вобщем после шаманств по перезапуску винбинда, удалению диры и установке прав на нее, оно опять работает. Найти бы только корень зла
пелефон блин добрая сотня юзеров оборвала не раздумывая, так и не дав спокойно понять шо ж то було...
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 10:19:05
Alex Keda
дык - надо вечером или утром пораньше....
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 12:14:16
dvg_lab
lissyara писал(а):дык - надо вечером или утром пораньше....
да я и так мля домой в 10 прихожу, задолбало уже...
тут такой вот вопрос
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
работает, а
Код: Выделить всё
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=office
ниработаит. Хотя до того как поубирал доменные префиксы оно работало, то есть с TJ\\office работало без вопросов. Что это может быть?
Прям блин все что связано с виндавсом ниработаед
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 13:01:08
Alex Keda
а от х.з...
я эту тему ещё не рыл
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 13:19:07
-cat-
А что выдает
В данном случае как раз надо четко прописать
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 13:28:12
dvg_lab
-cat- писал(а):А что выдает
выдает
Код: Выделить всё
%wbinfo -n office
S-1-5-21-1630827352-86845883-526660263-2412 Domain Group (2)
я вот че думаю, раньше был префикс домена теперь я его типа убрал, а соответствие юзеров и групп в tdbsam осталось? он же сам автоматом им всем присвоил эти id выше 10000 как прописано в smb.conf... мож тут собака порылась?
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 13:38:35
-cat-
Технически можешь конечно перезапустить winbind и squid, но опция должна быть с указанием домена.
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-09-14 17:30:37
dvg_lab
-cat- писал(а):Технически можешь конечно перезапустить winbind и squid, но опция должна быть с указанием домена.
указал с доменом - заработало... ну и слава Богу... теперь осталось режик заточить...
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-10-04 13:03:28
smertnik
Здравствуйте.
Есть такая задача, некоторым пользователям заблокировать доступ к определенным сайтам, на основе ntml аутентификации, правило для груп которое сдесь обсуждалось вроде работает, но в итоге выскакивает окно для ввода имени и пароля (базовая аутентификация), хотя правило поставил на самый верх, в чем дело не пойму.
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-10-04 13:10:28
Alex Keda
а отдельную тему не создаётся?
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-10-11 8:09:35
f0s
довольно забавно, но чтобы работала авторизация сквида via ntlm (используется winbindd), то нужно написано в хелпе дать права на /var/db/samba/winbindd_privileged/
однако когда делаешь chown -R squid /var/db/samba/winbindd_privileged/
сквид окейно работает и т.п. НО после этого если перезапустить самбу, то winbindd не стартуется, ругается что не может попасть туда.. я так думаю что это из-за того, что группа wheel в которую входит рут не имеет права на запись.. так что видимо надо дать еще chmod 770
Re: rejik и squid с авторизацией в AD
Добавлено: 2007-10-11 8:19:58
f0s
однако не так. нужно сделать на папку права root:squid