The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Авторизация squid в домене Windows 2003 Server (squid freebsd auth win windows domain)


<< Предыдущая ИНДЕКС Правка src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: squid, freebsd, auth, win, windows, domain,  (найти похожие документы)
From: Васильченко Евгений Витальевич <evg@sibmail.ru.> Newsgroups: email Date: Mon, 27 Aug 2005 18:21:07 +0000 (UTC) Subject: Авторизация squid в домене Windows 2003 Server FreeBSD 5.4 + Squid-2.5.stable9 + авторизация в домене Windows 2003 Server В данном руководстве предполагается, что прокси-сервер работает под операционной системой FreeBSD версии 5.4, контроллер домена стоит на Windows 2003 Server Enterprise Edition. Эта статья рассчитана на совершенно неподготовленного пользователя, поэтому просьба некоторым сильно "продвинутым" товарищам воздержаться от комментариев в ее адрес, т.к. их мнения нахрен не нужны никому. Способов авторизации, которые применяются в Squid довольно много. Здесь будет рассмотрен только один. Все программное обеспечение ставилось из портов. 1. Необходимое программное обеспечение 1.1 Операционная система FreeBSD-5.4 1.2 Клиент Kerberos производства HEIMDAL версии 0.6.3 1.3 Прокси-сервер Squid версии 2.5.STABLE9 1.4 Samba-3.0.12 1.5 Должна быть установлена коллекция портов 2. Необходимые настройки операционной системы 2.1 Разрешение имен 2.1.1 Если в сети есть DNS-сервер, c настроенными зонами прямого и обратного просмотра, то в файле /etc/resolv.conf надо прописать следующее: domain <имя_домена> nameserver <IP-адрес DNS-сервера> Пример: domain fuck-you.ru nameserver 192.168.0.101 2.1.2 Если в сети нет DNS-сервера, то необходимо изменить файлы hosts на контроллере домена и на FreeBSD. Для FreeBSD добавим следующие строчки в файл /etc/hosts <IP-адрес контроллера домена> <полное_имя> <псевдоним> <IP-адрес компа с FreeBSD> <полное_имя> <псевдоним> Пример: 192.168.0.101 srv.fuck-you.ru srv 192.168.0.100 freebsd.fuck-you.ru freebsd Для контроллера домена Windows 2003 Server в файл \Windows\System32\drivers\etc\hosts пишем следующее: <IP-адрес сервера> <имя_хоста> <полное_имя> <IP-адрес компа с FreeBSD> <имя_хоста> <полное имя> Пример: 192.168.0.101 srv srv.fuck-you.ru 192.168.0.100 freebsd freebsd.fuck-you.ru Примечание: Операционная система Windows не обязательно ставится в папку C:\Windows, поэтому файл hosts может быть найден так: <имя_системного_диска>:\<имя_системной_папки>\System32\drivers\etc\hosts 2.2 Согласование времени Между контроллером домена и системой FreeBSD системное время не должно различаться более, чем на 5 минут, иначе сервер Керберос не выдаст билет, необходимый для аутентификации и соответственно вся система не будет работать. 3 Установка программного обеспечения 3.1 Установка Керберос производства HEIMDAL 3.1.1 Переходим в каталог порта: cd /usr/ports/security/heimdal 3.1.2 Вводим команду: make install Система полезет в интернет, чтобы закачать оттуда пакет heimdal-0.6.3.tar.gz. Если закачать пакет по какой-то причине не удастся, то скачать его с помощью другой машины и скопировать в /usr/ports/distfiles, после чего снова выполнить пункты, начиная с 3.1.1. 3.1.3. Перейти в каталог: cd /usr/ports/security/heimdal/work/heimdal-0.6.3 и скопировать оттуда файл krb5.conf в каталог /etc/ cp krb5.conf /etc/ 3.2 Настройка клиента Керберос 3.2.1 Файл /etc/krb5.conf должен выглядеть примерно так: [libdefaults] default_realm = FUCK-YOU.RU clockskew = 300 v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } [realms] FUCK-YOU.RU = { kdc = srv.fuck-you.ru admin_server = srv.fuck-you.ru } [domain_realm] .fuck-you.ru = FUCK-YOU.RU В этом файле обязательно должен быть соблюден регистр букв, то есть БОЛЬШИЕ БУКВЫ должны быть БОЛЬШИМИ, а маленькие соответственно маленькими. fuck-you.ru и FUCK-YOU.RU - имя домена, используемого в моей системе. У вас, естественно оно будет другим. kdc - это имя центра распределения ключей. Обычно оно совпадает с именем виндовозного серванта, если он один. 3.2.2 Проверка соединения с сервером Kerberos kinit -p <имя_юзера_из_домена>@<имя_домена> Пример: kinit -p Administrator@fuck-you.ru либо: kinit -p Administrator Система в ответ должна написать: Administrator@FUCK-YOU.RU's password: Вводим пароль админа, если вы, конечно админ, либо пароль юзера, имя которого идет после команды kinit -p и нажимаем enter. Система должна ответить: kinit: NOTICE: ticket renewable lifetime is 1 week в случае правильного пароля или kinit: krb5_get_init_creds: Preauthentication failed, если пароль неверный. 3.2.3 Проверим состояние соединения klist Ответ системы должен быть примерно такой: Credentials cache: FILE:/tmp/krb5cc_0 Principal: Administrator@FUCK-YOU.RU Issued Expires Principal Aug 18 14:50:56 Aug 19 00:50:50 krbtgt/FUCK-YOU.RU@FUCK-YOU.RU в благоприятном случае, то есть был получен билет от Kerberos. 3.3 Установка и настройка Samba-3.0.12 3.3.1 Переходим в каталог портов cd /usr/ports/net/samba3 3.3.2 Настраиваем конфигурацию Samba: make config Должно появиться окно, где клавишей пробел устанавливаем либо снимаем крестик с нужной опции. Для тех, кто в танке: если крестик установлен, то опция будет установлена, а если крестик снят - сам не знаю, что будет. В принципе, для работы создаваемой системы достаточно, чтобы были установлены [X] ADS [X] WINBIND Приведу пример своих настроек: [X] LDAP With LDAP support (с подержкой LDAP протокола)[может пригодиться] [X] ADS With Active Directory support (обязательно) [X] CUPS With CUPS printing support(печать на виндовые принтеры или наоборот) [X] WINBIND With WinBIND support (обязательно) [X] ACL_SUPPORT With ACL support (хорошая вещь, также пригодится) [X] SYSLOG With Syslog support (протоколирование событий) [X] QUOTAS With Quota support [X] UTMP With UTMP support (хрен знает, что такое) [X] MSDFS With MSDFS support [ ] SAM_XML [X] SAM_MYSQL [X] SAM_PGSQL [ ] SAM_OLD_LDAP [X] PAM_SMBPASS (не помешает) [ ] EXP_MODULES (лучше не ставить) [X] POPT (тоже непонятная хрень) Нажимаем ОК make install Нужные пакеты закачиваются из интернета, конфигурируются и ставятся. 3.3.3 Редактирование файла smb.conf: Копируем файл smb.conf.default в smb.conf cp /usr/ports/net/samba3/work/smb.conf.default /usr/local/etc/smb.conf либо переименовываем файл /usr/local/etc/smb.conf.default в /usr/local/etc/smb.conf Редактируем этот файл: ee /usr/local/etc/smb.conf У меня он выглядит так: [global] workgroup = fuck-you server string = fuck you mazefakers netbios name =freebsd security = ads realm = fuck-you.ru password server = srv.fuck-you.ru encrypt passwords = yes winbind separator = + winbind use default domain = yes winbind uid = 10000-15000 winbind gid = 10000-15000 winbind enum users = yes winbind enum groups = yes host allow = 192.168.0 127.0.0.1 (только для моей сетки принимаются запросы) log file = /var/log/samba/log.%m max log size = 50 На самом деле файл намного длиннее, но все остальные настройки к системе дела не имеют. 3.3.5 Пробуем войти в домен net ads join -U administrator%password Пример: net ads join -U administrator%3214 При удачном исходе система должна написать примерно следующее: Joined 'FREEBSD' to realm 'FUCK-YOU.RU' При появлении такого ответа можно и за пивком сбегать - в принципе полдела уже сделано. 3.3.6 Настройка запуска SAMB'ы Добавляем строку samba_enable="YES" в /etc/rc.conf либо вместо этой строки несколько других строк для раздельного запуска: smbd_enable="YES" nmbd_enable="YES" winbindd_enable="YES" Для нашей системы достаточно, чтобы в файле было либо smbd_enable, либо winbindd_enable. 3.3.7 После перезагрузки Samba запустится автоматически, либо можно запустить вручную: /usr/local/etc/rc.d/samba.sh 3.3.8 Проверка работоспособности winbind Пишем команду: wbinfo -t Должен появиться ответ: checking the trust secret via RPC calls succeeded. Если такой ответ получен, значит доверительная учетная запись компьютера создана. 3.3.9 Проверяем нормальную работу winbind wbinfo -u Должен появиться список пользователей и компьютеров, для нашего компа должно быть : freebsd$ wbinfo -g Должны увидеть список групп в контроллере домена 3.3.10 Проверяем аутентификацию в домене wbinfo -a <имя_юзера>%<пароль_юзера> Пример: wbinfo -a irina%321 Ответ: plaintext password authentification succeeded challenge/response password authentification succeeded 3.4 Настройка файла переключения служб /etc/nsswitch Добавляем следующие строки: passwd: files winbind group: files winbind 3.5 Проверка распознавания системой FreeBSD доменных пользователей: Пример: id Administrator Ответ: uid=10000(Administrator) gid=10005(пользователи домена) groups=10005(пользователи домена) , 10004(администраторы домена) и т.д 3.6 Установка и настройка прокси-сервера Squid-2.5.stable9 Заходим в /usr/ports/www/squid и забиваем команду: make install Как и всегда все должно закачаться и поставиться автоматически. Настраиваем конфигурационный файл /usr/local/etc/squid/squid.conf. В нем должны присутствовать такие строки: auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 10 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 10 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off acl all src 0.0.0.0/0.0.0.0 acl squidusers proxy_auth REQUIRED(определяем группу юзеров) http_access allow squidusers(разрешаем им доступ) http_access deny all 3.7 Выставляем права доступа на каталог /var/db/samba/winbindd_priveleged Они должны быть 750(rwx-r-x---). Группой владельца должна быть группа squid. 3.8 Перезапускаем SQUID и проверяем работу системы. В браузере выставляем, чтобы он ходил через прокси, указываем номер порта, указынный в конфиге сквида. В случае использования Internet Explorer сквидовское окно с запросом авторизации не должно высвечиваться, то есть все будет абсолютно прозрачно. В случае Оперы, Мозиллы и т.д все-таки придется вбивать логин и пароль. Примечание: Если учетные записи из домена Windows имеют русское написание, то хоть тресни - работать система не будет. Васильченко Евгений <evg@sibmail.ru.>

<< Предыдущая ИНДЕКС Правка src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, nuz (??), 01:55, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    в сети есть PrimaryDomain и его копия, как сделать что б авторизация знала 2 kdc и 2 AD??? (если один сервер загнулся брало пользователей с другого)
     
  • 1.2, mxm (ok), 10:24, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что произойдет 19-го августа в 00:50:51, когда
    срок действия "билета" закончится?
     
  • 1.3, Nikola (??), 16:09, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >>как сделать что б авторизация знала 2 kdc и 2 AD???
    Указать  дополнительный контроллер (можно его IP)
    в /etc/krb5.conf
     
     
  • 2.6, nuz (??), 13:41, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    как это будет выглядеть???
     
     
  • 3.10, Nikola (??), 08:29, 01/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >как это будет выглядеть???
    EXAMPLE.COM = {
            kdc = kerberos.example.com:88
            kdc = kerberos2.example.com:88
            admin_server = kerberos.example.com:749
            }
    примерно вот так :)


     

  • 1.4, seeker (??), 01:40, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > domain fuck-you.ru
    что за дебил придумывает такие примеры?
     
     
  • 2.5, Васильченко Евгений (?), 13:23, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, для не-дебилов, такой домен вполне реально существовал, если что. Дело ведь не в словах, а в смысле написанного, правда ведь?
     
     
  • 3.7, mxm (ok), 13:43, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Совершенно верно.
     
  • 3.11, Dyr (?), 16:00, 01/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Слова надо подбирать тщательнее. Потому что отличная статья портится сленгом пАдонкАв. А это уже - дурной тон.  Исправьте статью, прошу вас!
     

  • 1.8, сергий (?), 17:09, 31/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    далаю всё как тут написано, керберос билет выдал, самба в домен попала... а вот wbinfo -е выдёт:
    checking the trust secret via RPC calls failed
    error code was  (0x0)
    Could not check secret

    куда копнуть?

     
     
  • 2.22, SmallwooD13 (??), 05:32, 29/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >далаю всё как тут написано, керберос билет выдал, самба в домен попала...
    >а вот wbinfo -е выдёт:
    >checking the trust secret via RPC calls failed
    >error code was  (0x0)
    >Could not check secret
    >
    >куда копнуть?

    была такая же ерунда, исправил в конфиге
    host allow
    на
    hosts allow
    ошибка изчезла (очепятка видать:)

     
     
  • 3.51, Garreth (ok), 21:43, 09/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>далаю всё как тут написано, керберос билет выдал, самба в домен попала...
    >>а вот wbinfo -е выдёт:
    >>checking the trust secret via RPC calls failed
    >>error code was  (0x0)
    >>Could not check secret
    >>
    >>куда копнуть?
    >
    >была такая же ерунда, исправил в конфиге
    >host allow
    >на
    >hosts allow
    >ошибка изчезла (очепятка видать:)
    Такая же ерунда, но hosts allow не помогает.
    Хелп плиз!

     
     
  • 4.52, Garreth (ok), 22:40, 10/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>>далаю всё как тут написано, керберос билет выдал, самба в домен попала...
    >>>а вот wbinfo -е выдёт:
    >>>checking the trust secret via RPC calls failed
    >>>error code was  (0x0)
    >>>Could not check secret
    >>>
    >>>куда копнуть?
    >>
    >>была такая же ерунда, исправил в конфиге
    >>host allow
    >>на
    >>hosts allow
    >>ошибка изчезла (очепятка видать:)
    >Такая же ерунда, но hosts allow не помогает.
    >Хелп плиз!

    [2006/12/10 21:31:47, 0] lib/util_sock.c:create_pipe_sock(1285)
      invalid permissions on socket directory /var/db/samba/winbindd_privileged
    open_winbind_socket: Resource temporarily unavailable

    ls -al /var/db/samba/winbindd_privileged/
    total 4
    drw-rw-rw-  2 root  wheel   512 Dec  9 17:21 .
    drwxr-xr-x  5 root  wheel  1024 Dec 10 21:35 ..
    srwxrwxrwx  1 root  wheel     0 Dec  9 17:21 pipe
    Чего ему не хватает?

     
     
  • 5.54, blooddust (?), 16:37, 16/01/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>>>далаю всё как тут написано, керберос билет выдал, самба в домен попала...
    >>>>а вот wbinfo -е выдёт:
    >>>>checking the trust secret via RPC calls failed
    >>>>error code was  (0x0)
    >>>>Could not check secret
    >>>>
    >>>>куда копнуть?
    >>>
    >>>была такая же ерунда, исправил в конфиге
    >>>host allow
    >>>на
    >>>hosts allow
    >>>ошибка изчезла (очепятка видать:)
    >>Такая же ерунда, но hosts allow не помогает.
    >>Хелп плиз!
    >
    >[2006/12/10 21:31:47, 0] lib/util_sock.c:create_pipe_sock(1285)
    >  invalid permissions on socket directory /var/db/samba/winbindd_privileged
    >open_winbind_socket: Resource temporarily unavailable
    >
    >ls -al /var/db/samba/winbindd_privileged/
    >total 4
    >drw-rw-rw-  2 root  wheel   512 Dec  9
    >17:21 .
    >drwxr-xr-x  5 root  wheel  1024 Dec 10 21:35 ..
    >
    >srwxrwxrwx  1 root  wheel     0 Dec
    > 9 17:21 pipe
    >Чего ему не хватает?

    владельцем pipe должен быть squid

     
     
  • 6.60, Cibermax (?), 18:48, 14/09/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>total 4
    >>drw-rw-rw-  2 root  wheel   512 Dec  9
    >>17:21 .
    >>drwxr-xr-x  5 root  wheel  1024 Dec 10 21:35 ..
    >>
    >>srwxrwxrwx  1 root  wheel     0 Dec
    >> 9 17:21 pipe
    >>Чего ему не хватает?
    >
    >владельцем pipe должен быть squid

    А это как зделать такая-же беда  (владельцем pipe должен быть squid)

     

  • 1.9, Argent (?), 21:24, 31/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я все сделал как написано только у меня вопрос в конф сквида ничего кроме того что написано в доке не не надо добавлять?
    Потому что у меня все проверки проходят на ура а юзер не аутентифицируется
    приглашение есть и вводи в него  логин парол до пьяной немочи...
    в логах пишет  что TCP/DENIDED
    Может кто подскажет в чем проблема и где это мона поковырять?  
    Может трабла с firewallom, но вроде по telnet через локолхост заходит у меня все на скид редиректится...
    Еще один момент сервер на 2000 может как раз в этом проблема помогите плс.
    а то начальство замучает....
     
     
  • 2.13, сергий (?), 12:10, 21/09/2005 [^] [^^] [^^^] [ответить]  
  • +/
    у меня тоже 2000. так вот работает всё кроме распознования фрёй виндовых логинов (ну и соответственно сквида). ты не поборол свой трабл?
     
     
  • 3.14, Anatoly (??), 21:03, 02/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Цытата "все проверки проходят на ура а юзер не аутентифицируется
    приглашение есть и вводи в него  логин парол до пьяной немочи..."

    Настроил пару сеток с 2003-м сервером и SQUID ещё до написания этой статьи :), работает как часы.
    Но вот ещё в одной сети столкнудся с такой-же проблемой
    Загвоздка - в выдаче сервером KDC билетов (tikets)
    вот результаты вывода команды kinit

    router# kinit -p Administrator@w2k3domain.ru
    Administrator@w2k3domain.ru's Password:
    kinit: krb5_get_init_creds: Preauthentication failed
    router# kinit -p Administrator
    Administrator@W2K3DOMAIN.RU's Password:
    kinit: NOTICE: ticket renewable lifetime is 1 week
    router# kinit -p Administrator@W2K3DOMAIN.RU
    Administrator@W2K3DOMAIN.RU's Password:
    kinit: NOTICE: ticket renewable lifetime is 1 week

    Конфиг krb5.conf копия как в статье, естесственно название домена другое, но я проверил каждую букву!

    Выходит, что получать билет нужно только у "ОГРОМНОГО" домена :), или не указывать его вообще, тогда он из конфига возмется дефолтный

    При настройке первых двух сеток, я вообще не заморачивался на kinit, при подключении SAMBA к домену билет сам выдавался.
    В третьем же случае SAMBA присоединялась к домену, но билет от KDC не получала при этом, хотя wbinfo отрабатывает все команды на ура.
    Наверное потому, что все домены работают в смешанном режиме обратно совместимом с w2k доменом.
    А вот у "безбилетного" SQUID'а видимо не работает NTLM авторизация, "зайцев" W2K3 игнорирует :))))
    В первых двух случаях в конфиге самбы использовалась опция
    winbind use default domain = yes
    а в третьем она не была нужна, в общем то и всё отличие, если оно и могло повлиять как-то.


     
     
  • 4.15, Anatoly (??), 22:51, 02/10/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >В первых двух случаях в конфиге самбы использовалась опция
    > winbind use default domain = yes
    >а в третьем она не была нужна, в общем то и всё
    >отличие, если оно и могло повлиять как-то.

    Народ, вы не поверите, действительно именно из-за этой опции не работало!!!
    Как заставить без неё работать - не знаю пока, но вот с этой опцией бесконечные запросы сменяются на РУЛЁЗЗЗ!!!
    так что именно в этом трабла, ставте

    winbind use default domain = yes

    и ваши волосы будут ....

     

  • 1.12, Ник (??), 15:10, 03/09/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А указать, что есть еще другая прокся под ISA, знаю что надо указать ее в качестве парента, но не могу понять как. Может кто подскажет?
    И еще, чтобы доступ к фтп определить нужно дописать в конец
    ftp_access allow squidusers
    ftp_access deny all
    или я не прав?
     
  • 1.16, iav (ok), 22:38, 04/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у squid нет возможности узнать о принадлежности пользователя к группе в ads?
    Было бы удобно раздавать acl по ads группам.
     
  • 1.17, Игорь (??), 16:57, 05/10/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Васильченко Евгений
    Статья отличная, побольше бы таких статей.
    С windows 2000 этот механизм тоже работает.
     
  • 1.18, VVD (?), 21:44, 02/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > 3.1 Установка Керберос производства HEIMDAL
    > 3.1.1 Переходим в каталог порта:
    >         cd /usr/ports/security/heimdal
    > 3.1.2 Вводим команду:
    >         make install

    А зачем если ещё и требуем:
    > 1. Необходимое программное обеспечение
    > 1.1 Операционная система FreeBSD-5.4
    ???

    # grep VERSION= /usr/src/crypto/heimdal/configure
    PACKAGE_VERSION='0.6.3'
    VERSION='0.6.3'
    # cat /usr/ports/security/heimdal/distinfo
    MD5 (heimdal-0.6.3.tar.gz) = 2265fd2d4573dd3a8da45ce62519e48b
    SIZE (heimdal-0.6.3.tar.gz) = 3333604

    Версия таже.

    Ещё добавить в /etc/make.conf строчки (на случай пересборки мира - не уверен, что по умолчанию оно собирается):
    MAKE_KERBEROS5=yes
    ENABLE_SUID_K5SU=yes

     
  • 1.19, Garry (??), 07:41, 15/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN/internet users"

    auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN/internet users"

    можно так разрешать доступ в интернет для определенной доменной группы - здесь это internet users. Как разбить доменные группы по разным ACL - убей не пойму, может кто разобрался?

     
     
  • 2.20, irsms (?), 12:10, 20/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    в конце этой вот статьи есть инструкции по аутентификации
    доменных групп
    www.opennet.ru/base/net/win_squid.txt.html
     
  • 2.21, irsms (?), 14:58, 20/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Немного дополню свое предыдущее сообщение
    фактом, что у меня вариант проверки группы через wb_group
    не сработал.
    Однако я сразу держал в голове возможность написать
    на перле свой врапер.
    К счастью, упомянутый
    /usr/local/libexec/squid/wbinfo_group.pl
    замечательно работает, при условии, что у вас работает wbinfo.
    Тогда, если группа из AD называется sg_squid_access, то
    -----squid.conf
    external_acl_type nt_group ttl=10 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl

    acl sg_squid_access external nt_group sg_squid_access

    http_access allow sg_squid_access
    -----end squid.conf
    ttl=10 нужно, чтобы указать через сколько секунд проверить, состоит ли пользователь в доменной группе sg_squid_access.
    Скажем пользователь полез в инет, получил отказ в доступе, вы его добавили в группу, доступ он получит (без указанного ttl) через час или после перезагрузки squid.
    И наоборот, из группы вы его удалите, а доступ ему закроется через час.

     

  • 1.23, sergo (??), 11:00, 09/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ребята вот такой вопрос :

    freebsd# kinit -p admin@domain.ru
    admin@domain.ru's Password:

    kinit: Password incorrect

    В чем грабли?

     
     
  • 2.24, sergo (??), 11:34, 09/12/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Извиняюсь за флуд.

    freebsd# kinit -p admin@DOMAIN.RU
    admin@DOMAIN.RU's Password:

    kinit: NOTICE: ticket renewable lifetime is 1 week

    Вроде работает ;)

     

  • 1.25, sergo (??), 13:58, 14/12/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Привет ВСЕ!
    Вроде делал все как в статье написано, но при вводе
    root# id admin
    выдавал
    id: admin: no such user
    Не знаю в чем были грабли но вот рабочие конфиги:
    smb.conf
    [global]
      workgroup = IZS
      server string = Exserver Samba
      security = ads
      username man /usr/local/etc/samba/smbusers
      winbind separator = +
      winbind use default domain = yes
      idmap uid = 10000-15000
      idmap gid = 10000-15000
      winbind enum users = yes
      winbind enum groups = yes
      hosts allow = 192.168.1. 127.
      load printers = yes
      log file = /var/log/samba/log.%m
      max log size = 50
      password server = ntserver.izs.domen.ru
      realm = IZS.DOMEN.RU
      socket options = TCP_NODELAY
      dns proxy = no
    #============================ Share Definitions ==============================
    [homes]
       comment = Home Directories
       valid users = %S
       browseable = no
       writable = no
    [printers]
       comment = All Printers
       path = /var/spool/samba
       browseable = no
    # Set public = yes to allow user 'guest account' to print
       guest ok = no
       writable = no
       printable = yes
    ///////////////////
    nsswitch.conf
    group: files winbind
    group_compat: nis
    hosts: files dns
    networks: files
    passwd: files winbind
    passwd_compat: nis
    shells: files
    //////////////////////
    теперь при вводе
    root#id admin
    выдает
    uid=10002(admin) gid=10008(Domain Admins) groups=10008(Domain Admins), 10005(Schema Admins), 10006(Enterprise Admins), 10000(Domain Users), 10020(SERVER), 10030(KLAdmins)

    в smb.conf
    ntserver - это где развернут домен
    IZS.DOMEN.RU - мой надуманный домен

     
  • 1.26, Taras_ (??), 19:23, 05/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    По поводу русских имен пользователей в домене. При поднятии уровня контроллера домена и леса до "родного" Windows 2003 Server squid начал понимать русские имена (по умолчанию Windows 2003 Server в качестве контроллера домена функционирует в режиме совместимости с Windows 2000). Так что неприятное для многих ограничение снято. Хоть я и не сторонник локализованных логинов, но у многих пользователей серьезные проблемы со скоростью печати на английском.

    Просьба откорректировать окончание статьи должным образом, дабы не вводить читателей в заблуждение.

    С уважением, Тарас.
    ELANTECH

     
     
  • 2.72, Виталий (??), 08:42, 28/07/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >По поводу русских имен пользователей в домене. При поднятии уровня контроллера домена
    >и леса до "родного" Windows 2003 Server squid начал понимать русские
    >имена (по умолчанию Windows 2003 Server в качестве контроллера домена функционирует
    >в режиме совместимости с Windows 2000). Так что неприятное для многих
    >ограничение снято. Хоть я и не сторонник локализованных логинов, но у
    >многих пользователей серьезные проблемы со скоростью печати на английском.
    >
    >Просьба откорректировать окончание статьи должным образом, дабы не вводить читателей в заблуждение.

    К сожалению, мне это не помогло.


     

  • 1.27, tonik (??), 19:10, 16/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто делал авторизацию Через несколько групп Windows
    Прочто пользователей вижу
    А вот по группам нет
    Не могу въехать в работу wbinfo_group
     
  • 1.28, Keks (??), 19:34, 25/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что вы скажете натакоу ответ?

    kinit -p admin@domain.ru
    admin@domain.ru's Password:
    kinit: krb5_get_init_creds: Response too big for UDP, retry with TCP

    Как заставить его работать по TCP?

     
     
  • 2.30, archy (??), 08:24, 07/03/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуй в /etc/krb5.conf указать
    [realms]
    SERVER.REALMS = {
      kdc = tcp/rdc.server.realms
    }
     
     
  • 3.31, bb (?), 10:47, 22/03/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Попробуй в /etc/krb5.conf указать
    >[realms]
    >SERVER.REALMS = {
    >  kdc = tcp/rdc.server.realms
    >}
    тогда пишет kinit: krb5_get_init_creds: unable to reach any KDC in realm SERVER.REALMS
    вопрос остается
    как заставить его работать через tcp ???!!

     
  • 3.32, bb (?), 10:52, 22/03/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Попробуй в /etc/krb5.conf указать
    >[realms]
    >SERVER.REALMS = {
    >  kdc = tcp/rdc.server.realms
    >}


    правильно вот так

    [realms]
            ZT = {
            kdc = tcp/server
            admin_server = server
            }

    будет через  tcp работать
    но теперь на правильный пароль пишет kinit: Password incorrect
    как исправить?

     
     
  • 4.33, bb (?), 19:13, 24/03/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>Попробуй в /etc/krb5.conf указать
    >>[realms]
    >>SERVER.REALMS = {
    >>  kdc = tcp/rdc.server.realms
    >>}
    >
    >
    >правильно вот так
    >
    >[realms]
    >        ZT = {
    >        kdc = tcp/server
    >        admin_server = server
    >        }
    >
    >будет через  tcp работать
    >но теперь на правильный пароль пишет kinit: Password incorrect
    >как исправить?


    получилось!!
    тока конфиг немного другой
    оригинальные доки рулят!

     
     
  • 5.43, swap (??), 17:54, 01/06/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А по подробнее?
     

  • 1.29, yyy (??), 17:43, 26/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена?
    остается тока настроить pppoe сервер и прописать ему юзеров с пассами из домена
     
     
  • 2.34, inot (?), 14:49, 30/03/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Затем что проще использовать сквид для билинга интернета, чем ковыряться в pppoe, да и потом , это ты предлагаешь организации в 1к человек каждому сделать pppoe соединение? Отличное у тебя маштабируемое решение......
     

  • 1.35, Максус (?), 14:57, 31/03/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Странно. После всех манипуляций все заработало. Но вот пользователь существующий локально и в домене не может зайти по ssh
     
  • 1.36, sander (??), 20:25, 06/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    с фрей 6 возникли проблемы c nsswitch.conf
     
  • 1.37, sander (??), 20:26, 06/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    id Administrator не катит
     
  • 1.38, awsswa (?), 07:20, 07/04/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf строчек

    display charset = KOI8-R
    unix charset = KOI8-R
    dos charset = CP866

    отлично видит русских пользователей

     
     
  • 2.39, irokez (?), 15:18, 17/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf
    >строчек
    >
    >display charset = KOI8-R
    >unix charset = KOI8-R
    >dos charset = CP866
    >
    >отлично видит русских пользователей

    видит то видит, а работает? если да - то как? у меня не получаеться :(

     
     
  • 3.40, Илья (??), 17:24, 19/04/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf
    >>строчек
    >>
    >>display charset = KOI8-R
    >>unix charset = KOI8-R
    >>dos charset = CP866
    >>
    >>отлично видит русских пользователей
    >
    >видит то видит, а работает? если да - то как? у меня
    >не получаеться :(


    Пробуй не по имени пользователя, а поего SID тогда прокатит.

     
     
  • 4.41, vovan (??), 17:21, 06/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>>после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf
    >>>строчек
    >>>
    >>>display charset = KOI8-R
    >>>unix charset = KOI8-R
    >>>dos charset = CP866
    >>>
    >>>отлично видит русских пользователей
    >>
    >>видит то видит, а работает? если да - то как? у меня
    >>не получаеться :(
    >
    >
    >Пробуй не по имени пользователя, а поего SID тогда прокатит.

    Илья, плиз подскажи где/как заставить его использовать SID а не имя, перелопатил многое - найти не могу где указать, но похоже это единственный вариант :(.

     
     
  • 5.42, vovan (??), 12:26, 12/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>>>после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf
    >>>>строчек
    >>>>
    >>>>display charset = KOI8-R
    >>>>unix charset = KOI8-R
    >>>>dos charset = CP866
    >>>>
    >>>>отлично видит русских пользователей
    >>>
    >>>видит то видит, а работает? если да - то как? у меня
    >>>не получаеться :(
    >>
    >>
    >>Пробуй не по имени пользователя, а поего SID тогда прокатит.
    >
    >Илья, плиз подскажи где/как заставить его использовать SID а не имя, перелопатил
    >многое - найти не могу где указать, но похоже это единственный
    >вариант :(.

    Разобрался. С русскими работает, но только ntlm и с IE :(((opera нет :().
    А мне нужна была basic изначально.
    Ну и в логах squid в левой кодировке логины пользователей, но это можно переконвертить.
    А по-поводу SID - подскажите кто знают.

     

  • 1.44, Mercury (??), 13:50, 24/07/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А у меня случилось нечто непонятное, вдруг перестала работать ntlm аутентификация, при проверке вместо OK стала выдавать HB. что свидетельствоало о сбое в helpere протоколе.
    Как вылечить?
     
  • 1.46, _RAW_ (ok), 17:35, 31/08/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Люди, а в нативном режиме если стоит домет то труба?
    У меня не хочет работать никак. пробовал разные статьи отрабатывать - шиш...
     
  • 1.47, Tacit (?), 13:14, 13/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин что только не делал и все пермишины перепробовал и конфиг сотню раз по разному правил и вводил и выводил из домена раз 20... все комманды wbinfo проходят, -helper-protocol=squid-2.5-basic работает, а вот -helper-protocol=squid-2.5-ntlmssp не работает пишет BH (utils/ntlm_auth.c:manage_squid_ntlmssp_request(575))и всё. смотрел исходник я так понял что ему не нравится nt_status...
     
  • 1.48, примерно раз в час падает связб в инетом (?), 13:40, 29/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    libsmb/clientgen.c:cli_rpc_pipe_close(375)
      cli_rpc_pipe_close: cli_close failed on pipe \NETLOGON, fnum 0x4003 to machine
    SERVERNEO.  Error was Call timed out: server did not respond after 10000 millis
    econds
     
     
  • 2.49, sda (??), 14:58, 05/10/2006 [^] [^^] [^^^] [ответить]  
  • +/
      Народ, а как сделать, что самба искала юзверей только в одном домене?
    У меня просто очень большое доменное дерево (региональная компания большой организации). Оооочень долго ищет юзеря по всем доменам. :(
     
     
  • 3.75, Yalexand (?), 12:33, 02/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >  Народ, а как сделать, что самба искала юзверей только в
    >одном домене?
    >У меня просто очень большое доменное дерево (региональная компания большой организации). Оооочень
    >долго ищет юзеря по всем доменам. :(

    Почитай на счёт
    allow trusted domains =
    в smb.conf
    Мне помогло уменьшить видимую часть дерева до локального домена.

     

  • 1.50, alhome (?), 14:39, 15/11/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Кто-нибудь сталкивался с проблемами при большом количестве пользователей (порядка 250)?
    Периодически в cache.log возникает такое:
    Login for user [DOMAIN]\[USER]@[WORKSTATION] failed due to [Reading winbind reply failed!]
    [2006/11/15 12:04:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(608)
      NTLMSSP NT_STATUS_UNSUCCESSFUL
    Через какое-то время все восстанавливается, но ненадолго... :-(
     
     
  • 2.53, arm (?), 14:53, 15/12/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Помогите разобратся...
    все работало хорошо... и работает сейчас... только у некоторых пользователей возникает предложение ввести имя и пароль... при исп. kinit и wbinfo -a на сервере все в порядке... а с клиентской машины просит пароль и все...
    При том что не у всех а у некоторых... у остальных же все в порядке...
     
     
  • 3.56, sda (??), 09:35, 08/02/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Помогите разобратся...
    >все работало хорошо... и работает сейчас... только у некоторых пользователей возникает предложение
    >ввести имя и пароль... при исп. kinit и wbinfo -a на
    >сервере все в порядке... а с клиентской машины просит пароль и
    >все...
    >При том что не у всех а у некоторых... у остальных же
    >все в порядке...

      убей в домене эту клиентскую машину и создай ее.. правда есть вероятность, что профайлы порушатся, скопируй все необходимое ;)

     

  • 1.55, trinix (?), 05:55, 08/02/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вобщем есть папу(не сильно  существенных) огрехов, в файле nsswitch не надо ничего добавлять, а лишь только редактировать!
    Ну с керберосом и так всё ясно, надо не путать регистр.
    И на данный момент лучше использовать последнюю самбу это 3.23d.
    Собсно и всё, у меня "почти такой же":) вариант работает на 5.4 на 6.1 и на 6.2, всё стабильно.
     
     
  • 2.58, sda (ok), 19:17, 20/04/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Вобщем есть папу(не сильно  существенных) огрехов, в файле nsswitch не надо
    >ничего добавлять, а лишь только редактировать!
    >Ну с керберосом и так всё ясно, надо не путать регистр.
    >И на данный момент лучше использовать последнюю самбу это 3.23d.
    >Собсно и всё, у меня "почти такой же":) вариант работает на 5.4
    >на 6.1 и на 6.2, всё стабильно.

    скажи как редактировать?
    у меня в nsswitch.conf на freebsd 6.2-stable написано:

    group: files winbind
    group_compat: nis
    hosts: files dns
    networks: files
    passwd: files winbind
    passwd_compat: nis
    shells: files

    система _иногда_ тормозит при вводе пароля по ssh (видимо ищет в домене этого пользователя или что-то еще)

     

  • 1.57, Squidnik (?), 16:36, 12/02/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос - а если так, то  будет работать ?
    acl BOSS proxy_auth Adminnistrator BigBOSS
    acl Clients proxy_auth REQUIRED

    т.е. можно ли acl таким образом разруливать ?

     
  • 1.59, Cibermax (?), 16:44, 14/09/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Статья прикольная и то что ее кто-то ругает за FUCK-YOU пусть и идет на FUCK-YOU....... FUCK-YOU.RU резко брасается в глаза и тем самым фокусирует на нем зрение так что не ощибешся а еслиб там была написано my.domain.ru то было менее заметнее.....
    ну да ладно........ короче в данный момент далаю как тут описано и тут с толкнулся с ошибкой при выполнение команды:

            kinit -p Administrator@fuck-you.ru либо:
            kinit -p Administrator

    в ответ получил:

    kinit: krb5_get_init_creds: unable to reach any KDC in realm

    и еще кучу ошибок про неправильный пароль хотя он верный и.т.д.

    В общем не получалось настроить Kerberos

    короче решил данную проблемму следующим образом на каком то из сайтов нарыл
    что если у тебя на АД стоит ДНС надо в файл reslov.conf внести в начало такую строчку:

    search fuck-you.ru

    тем самым мой файл reslov.conf стал похож на такой

    search fuck-you.ru
    domain  fuck-you.ru
    nameserver  192.168.3.100
    nameserver  213.213.213.213

    последний nameserver  213.213.213.213 это моего провайдера

    вот......... всем спасибо все свободны надеюсь я кому-то помог будут еще возникать ошибки буду писать

     
  • 1.61, Evgeniy (??), 11:16, 09/11/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сделал все как написано Все работает, машина в домене Но squid не запускаеться... текст свёрнут, показать
     
     
  • 2.62, sda (??), 11:21, 09/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Проверь права доступа на все файлы. Скорее всего у пользователя из-под которого запускается squid не имеет прав на запуск этих файлов
     
     
  • 3.63, Evgeniy (??), 12:03, 09/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Проверь права доступа на все файлы. Скорее всего у пользователя из-под которого
    >запускается squid не имеет прав на запуск этих файлов

    Запускаю от имени root.
    А если из конфига убрать
            auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
            auth_param ntlm children 10
            auth_param ntlm max_challenge_reuses 0
            auth_param ntlm max_challenge_lifetime

            auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
            auth_param basic children 10
            auth_param basic realm Squid proxy-caching web server
            auth_param basic credentialsttl 2 hours
            auth_param basic casesensitive off

            acl all src 0.0.0.0/0.0.0.0
            acl squidusers proxy_auth REQUIRED(определяем группу юзеров)
            http_access allow squidusers(разрешаем им доступ)
            http_access deny all

    то все запускаеться

     
     
  • 4.64, sda (??), 13:27, 09/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>Проверь права доступа на все файлы. Скорее всего у пользователя из-под которого
    >>запускается squid не имеет прав на запуск этих файлов
    >
    >Запускаю от имени root.

    SQUID никогда не запуститься от имени рут, не надо тут :)

     
     
  • 5.70, Andreus (?), 12:07, 18/12/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно, не надо тут...
    # cat rc.conf |grep squid
    squid_user="root"
    squid_enable="YES"
    # ps -aux |grep squid |grep root
    root     540  0.0  0.1  3404  1796  ??  Is   11:59AM   0:00.00 /usr/local/sbin/squid -D
     
     
  • 6.71, sda (??), 12:08, 18/12/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Правильно, не надо тут...
    ># cat rc.conf |grep squid
    >squid_user="root"
    >squid_enable="YES"
    ># ps -aux |grep squid |grep root
    >root     540  0.0  0.1  3404
    > 1796  ??  Is   11:59AM  
    >0:00.00 /usr/local/sbin/squid -D

    Ужас...


     

  • 1.65, Evgeniy (??), 16:08, 09/11/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А какие конкретно файлы посмотреть? Простите...
     
     
  • 2.66, sda (??), 16:14, 09/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >А какие конкретно файлы посмотреть? Простите...

    Выполните две команды в каталоге, где конфиги прокси:

    cat squid.conf | grep cache_effective

    ls -la /usr/local/bin/ntlm_auth

     
     
  • 3.67, seff (?), 07:52, 24/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Господа, трабл пытаюсь настроить ntlm авторизацию, а сквид не стартует подск... текст свёрнут, показать
     
     
  • 4.68, sda (??), 16:23, 25/11/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >2007/11/24 07:50:12| Loaded Icons.
    >2007/11/24 07:50:12| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 31.
    >
    >2007/11/24 07:50:12| Accepting ICP messages at 0.0.0.0, port 3130, FD 32.
    >2007/11/24 07:50:12| Ready to serve requests.
    >2007/11/24 07:50:12| WARNING: ntlmauthenticator #1 (FD 10) exited
    >2007/11/24 07:50:12| WARNING: ntlmauthenticator #2 (FD 11) exited
    >2007/11/24 07:50:12| WARNING: ntlmauthenticator #3 (FD 12) exited
    >2007/11/24 07:50:12| Too few ntlmauthenticator processes are running
    >FATAL: The ntlmauthenticator helpers are crashing too rapidly, need help!

    Блин, ну читайте же выше посты. Там есть мои ответы на эту ситуацию

     

  • 1.69, freddy (??), 11:25, 06/12/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про ntlm аутентификацию через группы:

    1.Пользователи, которых надо пускать в и-нет прописаны в текстовом файле name_userov. Настройки имеют вид:

    auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
    auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic

    acl squidusers proxy_auth "/путь/name_userov"

    Плюс такого подхода: если пользователя нет в файле name_userov, то при доступе к сквиду ему даётся отлуп в виде "Доступ запрещён".

    Минус: после добавления пользователя в файл name_userov, необходимо перезапускать сквид.

    2. Пользователи, которых надо пускать в и-нет, прописаны в группе ActiveDirectory, которая называется internet_users.  
    Настройки имеют вид:

    auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internet_users"
    auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\internet_users"

    acl squidusers proxy_auth REQUIRED

    Плюс такого подхода: при добавлении пользователя в доменную группу internet_users, пользователю не надо перезаходить в домен (как это бывает необходимо при доступе к Win-ресурсам), нет необходимости перезапускать сквид.

    Минус: если пользователя не допускают к и-нету,т.е. его имени нет в доменной группе internet_users, то при доступе к сквиду ему выдаётся окошко аутентификации. У пользователя возникает соблазн узнать чужие имя-пароль, набрать их в окошке, поставить галочку "запомнить", и ходить всегда, даже после перезагрузки ПК, в и-нет за счёт чужого трафика.

     
  • 1.73, REDPULSAR (?), 13:04, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    хм а ктонить делал так чтоб авторизированные пользователи на свиде шли в инет через нат?
    И при этом работал кеш (не принцепиально)
     
     
  • 2.74, SeF (ok), 01:08, 29/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >хм а ктонить делал так чтоб авторизированные пользователи на свиде шли в
    >инет через нат?
    >И при этом работал кеш (не принцепиально)

    Уважаемый, пора вылазить из тазика, если кеш не принципиален, то PPPoE  вам намного лучше поможет.
    З.Ы. При использовании PPPoE вам никто, не мешает необходимый трафик заворачивать как и куда угодно.

     

  • 1.76, nixdaemon (?), 17:50, 03/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >хм а ктонить делал так чтоб авторизированные пользователи на свиде >шли в инет через нат?
    >И при этом работал кеш (не принцепиально)

    я делал. у меня на центральном шлюзе нат стоит под линуксом, а в локалке фря, на ней сквид с авторизацией в AD.

     
  • 1.77, Margarita (??), 11:22, 16/03/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    спасибо большое
     
  • 1.78, Squid windows (ok), 23:32, 05/07/2010 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Добротная статья, спасибо!
     
  • 1.79, aos (ok), 15:40, 06/07/2011 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    статья лучшая из тех что мне попадались. из ньюансов скажу лишь что коннектил самбу в домен при акаунте отличном от administrator и паролем что не иммет в своем составе сложных спецсимволов
     

    лог модерирования

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    Слёрм
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру