The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Squid не воспринимает primary group при winbind+squid auth"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Squid не воспринимает primary group при winbind+squid auth"  
Сообщение от Alex (??) on 05-Июл-07, 16:41 
Hi All.
Собрал squid+winbind с auth. Всё работает.
Решил разграничить доступ по домен группам. Создал двух пользователей –
test_user – група testgroup
admin_user – група domain admins (как понимаю BUILDIN)
Разграничение работает

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp                                                      
auth_param ntlm children 5                                                                                                          
auth_param ntlm keep_alive on                                                                                                      
external_acl_type r_group children=5 %LOGIN /var/squid/libexec/wbinfo_group.pl                                                      
external_acl_type vip_group children=5 %LOGIN /var/squid/libexec/wbinfo_group.pl                                                    
acl users proxy_auth REQUIRED                                                                                                      
#                                                                                                                                  
acl r-users external r_group "/var/squid/etc/r-users"                                                                              
acl vip-users external vip_group "/var/squid/etc/vip-users"  

#                                                                                                                                  
http_access deny r-users download                                                                                                  
http_access deny r-users black-list-site                                                                                            
http_access allow r-users                                                                                                          
http_access allow vip-users                                                                                                        
http_access deny all                                                                                                                
#                                                                                                                                  
http_reply_access deny r-users audio-video                                                                                          
http_reply_access allow r-users                                                                                                    
http_reply_access allow vip-users                                                                                                  
http_reply_access deny all                                                                                                          
#                                                                                                                                  
deny_info http://intranet.mysite.com black-list-site                                                                                
deny_info http://www.mysite.com download                                                                                            
#                                                            

root@squid:#cat r-users
testgroup
root@squid:#cat vip-users
domain admins
root@squid:#cat black-list-site
.microsoft.com
root@squid:#cat download-list  
\.mp3$
\.wma$
\.mov$
\.avi$

...
После этого – (ради теста) перевёл пользователя test_user из группы testgroup в группу domain admins.
На домене указал что эта группа для него PRIMARY
Проверил - всё вроде правильно:
root@squid:# id TEST\\admin_user
uid=10001(TEST\admin_user) gid=10000(TEST\domain admins) groups=10000(TEST\domain admins)
root@squid:# id TEST\\test_user
uid=10000(TEST\test_user) gid=10000(TEST\domain admins) groups=10000(TEST\domain admins)

Подключился через squid – на пользователя test_user  по прежнему срабатывают ограничения, как будто никакого изменения я не делал.
Пользователь admin_user работает без ограничений.

Вопрос тривиален – в чём могут быть грабли? Где и чего нужно поправить чтобы test_user стал полноценным участником группы domain admins?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Squid не воспринимает primary group при winbind+squid auth"  
Сообщение от apostle email(ok) on 05-Июл-07, 16:49 
imho, в windows по умолчанию нет понятия "primary group" в том смысле, в к-ром оно используется для unix. для опялвения этого функционала я ставил sfu35sel_en.exe - microsoft windows serverces for unix, - доступный на сайте ms.com.
он вносит изменения в схему ad, после чего для объектов ad поялвеятся закладка unix attributes, в списке к-рых в том числе primary group id
все, повторюсь, imho - сам столкнулся с похожей проблемой. решал именно так, как описал выше.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Squid не воспринимает primary group при winbind+squid auth"  
Сообщение от Alex (??) on 06-Июл-07, 11:41 
>imho, в windows по умолчанию нет понятия "primary group" в том смысле,
>в к-ром оно используется для unix. для опялвения этого функционала я
>ставил sfu35sel_en.exe - microsoft windows serverces for unix, - доступный на
>сайте ms.com.
>он вносит изменения в схему ad, после чего для объектов ad поялвеятся
>закладка unix attributes, в списке к-рых в том числе primary group
>id
>все, повторюсь, imho - сам столкнулся с похожей проблемой. решал именно так,
>как описал выше.

Разобрался ...
Неправильный синтаксис в squid
Правильно так:

http_access allow vip-users                                                                                                        
http_access deny r-users download                                                                                                  
http_access deny r-users black-list-site                                                                                            
http_access allow r-users                                                                                                          
http_access deny all                                                                                                                
#                                                                                                                                  
http_reply_access allow vip-users                                                                                                  
http_reply_access deny r-users audio-video                                                                                          
http_reply_access allow r-users                                                                                                    
http_reply_access deny all            

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру