The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Тематический каталог: Авторизация squid в домене Windows 200..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Авторизация squid в домене Windows 200..."  +/
Сообщение от auto_topic (??) on 29-Авг-05, 01:55 
Обсуждение статьи тематического каталога: Авторизация squid в домене Windows 2003 Server (squid freebsd auth win windows domain)

Ссылка на текст статьи: https://www.opennet.ru/base/net/squid_win2003_auth.txt.html

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от nuz (??) on 29-Авг-05, 01:55 
в сети есть PrimaryDomain и его копия, как сделать что б авторизация знала 2 kdc и 2 AD??? (если один сервер загнулся брало пользователей с другого)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от mxm email(ok) on 29-Авг-05, 10:24 
А что произойдет 19-го августа в 00:50:51, когда
срок действия "билета" закончится?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Nikola (??) on 29-Авг-05, 16:09 
>>как сделать что б авторизация знала 2 kdc и 2 AD???
Указать  дополнительный контроллер (можно его IP)
в /etc/krb5.conf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от nuz (??) on 30-Авг-05, 13:41 
как это будет выглядеть???
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

10. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Nikola (??) on 01-Сен-05, 08:29 
>как это будет выглядеть???
EXAMPLE.COM = {
        kdc = kerberos.example.com:88
        kdc = kerberos2.example.com:88
        admin_server = kerberos.example.com:749
        }
примерно вот так :)


Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

4. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от seeker email(??) on 30-Авг-05, 01:40 
> domain fuck-you.ru
что за дебил придумывает такие примеры?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Васильченко Евгений email on 30-Авг-05, 13:23 
Кстати, для не-дебилов, такой домен вполне реально существовал, если что. Дело ведь не в словах, а в смысле написанного, правда ведь?
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от mxm email(ok) on 30-Авг-05, 13:43 
Совершенно верно.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Dyr on 01-Сен-05, 16:00 
Слова надо подбирать тщательнее. Потому что отличная статья портится сленгом пАдонкАв. А это уже - дурной тон.  Исправьте статью, прошу вас!
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от сергий email on 31-Авг-05, 17:09 
далаю всё как тут написано, керберос билет выдал, самба в домен попала... а вот wbinfo -е выдёт:
checking the trust secret via RPC calls failed
error code was  (0x0)
Could not check secret

куда копнуть?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

22. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от SmallwooD13 (??) on 29-Ноя-05, 05:32 
>далаю всё как тут написано, керберос билет выдал, самба в домен попала...
>а вот wbinfo -е выдёт:
>checking the trust secret via RPC calls failed
>error code was  (0x0)
>Could not check secret
>
>куда копнуть?

была такая же ерунда, исправил в конфиге
host allow
на
hosts allow
ошибка изчезла (очепятка видать:)

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

51. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Garreth (ok) on 09-Дек-06, 21:43 
>>далаю всё как тут написано, керберос билет выдал, самба в домен попала...
>>а вот wbinfo -е выдёт:
>>checking the trust secret via RPC calls failed
>>error code was  (0x0)
>>Could not check secret
>>
>>куда копнуть?
>
>была такая же ерунда, исправил в конфиге
>host allow
>на
>hosts allow
>ошибка изчезла (очепятка видать:)
Такая же ерунда, но hosts allow не помогает.
Хелп плиз!

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

52. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Garreth (ok) on 10-Дек-06, 22:40 
>>>далаю всё как тут написано, керберос билет выдал, самба в домен попала...
>>>а вот wbinfo -е выдёт:
>>>checking the trust secret via RPC calls failed
>>>error code was  (0x0)
>>>Could not check secret
>>>
>>>куда копнуть?
>>
>>была такая же ерунда, исправил в конфиге
>>host allow
>>на
>>hosts allow
>>ошибка изчезла (очепятка видать:)
>Такая же ерунда, но hosts allow не помогает.
>Хелп плиз!

[2006/12/10 21:31:47, 0] lib/util_sock.c:create_pipe_sock(1285)
  invalid permissions on socket directory /var/db/samba/winbindd_privileged
open_winbind_socket: Resource temporarily unavailable

ls -al /var/db/samba/winbindd_privileged/
total 4
drw-rw-rw-  2 root  wheel   512 Dec  9 17:21 .
drwxr-xr-x  5 root  wheel  1024 Dec 10 21:35 ..
srwxrwxrwx  1 root  wheel     0 Dec  9 17:21 pipe
Чего ему не хватает?

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

54. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от blooddust on 16-Янв-07, 16:37 
>>>>далаю всё как тут написано, керберос билет выдал, самба в домен попала...
>>>>а вот wbinfo -е выдёт:
>>>>checking the trust secret via RPC calls failed
>>>>error code was  (0x0)
>>>>Could not check secret
>>>>
>>>>куда копнуть?
>>>
>>>была такая же ерунда, исправил в конфиге
>>>host allow
>>>на
>>>hosts allow
>>>ошибка изчезла (очепятка видать:)
>>Такая же ерунда, но hosts allow не помогает.
>>Хелп плиз!
>
>[2006/12/10 21:31:47, 0] lib/util_sock.c:create_pipe_sock(1285)
>  invalid permissions on socket directory /var/db/samba/winbindd_privileged
>open_winbind_socket: Resource temporarily unavailable
>
>ls -al /var/db/samba/winbindd_privileged/
>total 4
>drw-rw-rw-  2 root  wheel   512 Dec  9
>17:21 .
>drwxr-xr-x  5 root  wheel  1024 Dec 10 21:35 ..
>
>srwxrwxrwx  1 root  wheel     0 Dec
> 9 17:21 pipe
>Чего ему не хватает?

владельцем pipe должен быть squid

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

60. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Cibermax email on 14-Сен-07, 18:48 
>[оверквотинг удален]
>>total 4
>>drw-rw-rw-  2 root  wheel   512 Dec  9
>>17:21 .
>>drwxr-xr-x  5 root  wheel  1024 Dec 10 21:35 ..
>>
>>srwxrwxrwx  1 root  wheel     0 Dec
>> 9 17:21 pipe
>>Чего ему не хватает?
>
>владельцем pipe должен быть squid

А это как зделать такая-же беда  (владельцем pipe должен быть squid)

Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

9. "Тематический каталог: Авторизация squid в домене Windows 200..."  +/
Сообщение от Argent email on 31-Авг-05, 21:24 
Я все сделал как написано только у меня вопрос в конф сквида ничего кроме того что написано в доке не не надо добавлять?
Потому что у меня все проверки проходят на ура а юзер не аутентифицируется
приглашение есть и вводи в него  логин парол до пьяной немочи...
в логах пишет  что TCP/DENIDED
Может кто подскажет в чем проблема и где это мона поковырять?  
Может трабла с firewallom, но вроде по telnet через локолхост заходит у меня все на скид редиректится...
Еще один момент сервер на 2000 может как раз в этом проблема помогите плс.
а то начальство замучает....
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Тематический каталог: Авторизация squid в домене Windows 200..."  +/
Сообщение от сергий email on 21-Сен-05, 12:10 
у меня тоже 2000. так вот работает всё кроме распознования фрёй виндовых логинов (ну и соответственно сквида). ты не поборол свой трабл?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

14. "Тематический каталог: Авторизация squid в домене Windows 200..."  +/
Сообщение от Anatoly (??) on 02-Окт-05, 21:03 
Цытата "все проверки проходят на ура а юзер не аутентифицируется
приглашение есть и вводи в него  логин парол до пьяной немочи..."

Настроил пару сеток с 2003-м сервером и SQUID ещё до написания этой статьи :), работает как часы.
Но вот ещё в одной сети столкнудся с такой-же проблемой
Загвоздка - в выдаче сервером KDC билетов (tikets)
вот результаты вывода команды kinit

router# kinit -p Administrator@w2k3domain.ru
Administrator@w2k3domain.ru's Password:
kinit: krb5_get_init_creds: Preauthentication failed
router# kinit -p Administrator
Administrator@W2K3DOMAIN.RU's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
router# kinit -p Administrator@W2K3DOMAIN.RU
Administrator@W2K3DOMAIN.RU's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

Конфиг krb5.conf копия как в статье, естесственно название домена другое, но я проверил каждую букву!

Выходит, что получать билет нужно только у "ОГРОМНОГО" домена :), или не указывать его вообще, тогда он из конфига возмется дефолтный

При настройке первых двух сеток, я вообще не заморачивался на kinit, при подключении SAMBA к домену билет сам выдавался.
В третьем же случае SAMBA присоединялась к домену, но билет от KDC не получала при этом, хотя wbinfo отрабатывает все команды на ура.
Наверное потому, что все домены работают в смешанном режиме обратно совместимом с w2k доменом.
А вот у "безбилетного" SQUID'а видимо не работает NTLM авторизация, "зайцев" W2K3 игнорирует :))))
В первых двух случаях в конфиге самбы использовалась опция
winbind use default domain = yes
а в третьем она не была нужна, в общем то и всё отличие, если оно и могло повлиять как-то.


Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Тематический каталог: Авторизация squid в домене Windows 200..."  +/
Сообщение от Anatoly (??) on 02-Окт-05, 22:51 
>В первых двух случаях в конфиге самбы использовалась опция
> winbind use default domain = yes
>а в третьем она не была нужна, в общем то и всё
>отличие, если оно и могло повлиять как-то.

Народ, вы не поверите, действительно именно из-за этой опции не работало!!!
Как заставить без неё работать - не знаю пока, но вот с этой опцией бесконечные запросы сменяются на РУЛЁЗЗЗ!!!
так что именно в этом трабла, ставте

winbind use default domain = yes

и ваши волосы будут ....

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

12. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Ник email(??) on 03-Сен-05, 15:10 
А указать, что есть еще другая прокся под ISA, знаю что надо указать ее в качестве парента, но не могу понять как. Может кто подскажет?
И еще, чтобы доступ к фтп определить нужно дописать в конец
ftp_access allow squidusers
ftp_access deny all
или я не прав?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от iav (ok) on 04-Окт-05, 22:38 
А у squid нет возможности узнать о принадлежности пользователя к группе в ads?
Было бы удобно раздавать acl по ads группам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Игорь (??) on 05-Окт-05, 16:57 
Васильченко Евгений
Статья отличная, побольше бы таких статей.
С windows 2000 этот механизм тоже работает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от VVD email on 02-Ноя-05, 21:44 
> 3.1 Установка Керберос производства HEIMDAL
> 3.1.1 Переходим в каталог порта:
>         cd /usr/ports/security/heimdal
> 3.1.2 Вводим команду:
>         make install

А зачем если ещё и требуем:
> 1. Необходимое программное обеспечение
> 1.1 Операционная система FreeBSD-5.4
???

# grep VERSION= /usr/src/crypto/heimdal/configure
PACKAGE_VERSION='0.6.3'
VERSION='0.6.3'
# cat /usr/ports/security/heimdal/distinfo
MD5 (heimdal-0.6.3.tar.gz) = 2265fd2d4573dd3a8da45ce62519e48b
SIZE (heimdal-0.6.3.tar.gz) = 3333604

Версия таже.

Ещё добавить в /etc/make.conf строчки (на случай пересборки мира - не уверен, что по умолчанию оно собирается):
MAKE_KERBEROS5=yes
ENABLE_SUID_K5SU=yes

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Garry (??) on 15-Ноя-05, 07:41 
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN/internet users"

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN/internet users"

можно так разрешать доступ в интернет для определенной доменной группы - здесь это internet users. Как разбить доменные группы по разным ACL - убей не пойму, может кто разобрался?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от irsms on 20-Ноя-05, 12:10 
в конце этой вот статьи есть инструкции по аутентификации
доменных групп
www.opennet.ru/base/net/win_squid.txt.html
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от irsms on 20-Ноя-05, 14:58 
Немного дополню свое предыдущее сообщение
фактом, что у меня вариант проверки группы через wb_group
не сработал.
Однако я сразу держал в голове возможность написать
на перле свой врапер.
К счастью, упомянутый
/usr/local/libexec/squid/wbinfo_group.pl
замечательно работает, при условии, что у вас работает wbinfo.
Тогда, если группа из AD называется sg_squid_access, то
-----squid.conf
external_acl_type nt_group ttl=10 %LOGIN /usr/local/squid/libexec/wbinfo_group.pl

acl sg_squid_access external nt_group sg_squid_access

http_access allow sg_squid_access
-----end squid.conf
ttl=10 нужно, чтобы указать через сколько секунд проверить, состоит ли пользователь в доменной группе sg_squid_access.
Скажем пользователь полез в инет, получил отказ в доступе, вы его добавили в группу, доступ он получит (без указанного ttl) через час или после перезагрузки squid.
И наоборот, из группы вы его удалите, а доступ ему закроется через час.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sergo email(??) on 09-Дек-05, 11:00 
Ребята вот такой вопрос :

freebsd# kinit -p admin@domain.ru
admin@domain.ru's Password:

kinit: Password incorrect

В чем грабли?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sergo email(??) on 09-Дек-05, 11:34 
Извиняюсь за флуд.

freebsd# kinit -p admin@DOMAIN.RU
admin@DOMAIN.RU's Password:

kinit: NOTICE: ticket renewable lifetime is 1 week

Вроде работает ;)

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sergo email(??) on 14-Дек-05, 13:58 
Привет ВСЕ!
Вроде делал все как в статье написано, но при вводе
root# id admin
выдавал
id: admin: no such user
Не знаю в чем были грабли но вот рабочие конфиги:
smb.conf
[global]
  workgroup = IZS
  server string = Exserver Samba
  security = ads
  username man /usr/local/etc/samba/smbusers
  winbind separator = +
  winbind use default domain = yes
  idmap uid = 10000-15000
  idmap gid = 10000-15000
  winbind enum users = yes
  winbind enum groups = yes
  hosts allow = 192.168.1. 127.
  load printers = yes
  log file = /var/log/samba/log.%m
  max log size = 50
  password server = ntserver.izs.domen.ru
  realm = IZS.DOMEN.RU
  socket options = TCP_NODELAY
  dns proxy = no
#============================ Share Definitions ==============================
[homes]
   comment = Home Directories
   valid users = %S
   browseable = no
   writable = no
[printers]
   comment = All Printers
   path = /var/spool/samba
   browseable = no
# Set public = yes to allow user 'guest account' to print
   guest ok = no
   writable = no
   printable = yes
///////////////////
nsswitch.conf
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files
//////////////////////
теперь при вводе
root#id admin
выдает
uid=10002(admin) gid=10008(Domain Admins) groups=10008(Domain Admins), 10005(Schema Admins), 10006(Enterprise Admins), 10000(Domain Users), 10020(SERVER), 10030(KLAdmins)

в smb.conf
ntserver - это где развернут домен
IZS.DOMEN.RU - мой надуманный домен

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Taras_ email(??) on 05-Янв-06, 19:23 
По поводу русских имен пользователей в домене. При поднятии уровня контроллера домена и леса до "родного" Windows 2003 Server squid начал понимать русские имена (по умолчанию Windows 2003 Server в качестве контроллера домена функционирует в режиме совместимости с Windows 2000). Так что неприятное для многих ограничение снято. Хоть я и не сторонник локализованных логинов, но у многих пользователей серьезные проблемы со скоростью печати на английском.

Просьба откорректировать окончание статьи должным образом, дабы не вводить читателей в заблуждение.

С уважением, Тарас.
ELANTECH

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

72. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Виталий email(??) on 28-Июл-08, 08:42 
>По поводу русских имен пользователей в домене. При поднятии уровня контроллера домена
>и леса до "родного" Windows 2003 Server squid начал понимать русские
>имена (по умолчанию Windows 2003 Server в качестве контроллера домена функционирует
>в режиме совместимости с Windows 2000). Так что неприятное для многих
>ограничение снято. Хоть я и не сторонник локализованных логинов, но у
>многих пользователей серьезные проблемы со скоростью печати на английском.
>
>Просьба откорректировать окончание статьи должным образом, дабы не вводить читателей в заблуждение.

К сожалению, мне это не помогло.


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

27. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от tonik email(??) on 16-Янв-06, 19:10 
А кто делал авторизацию Через несколько групп Windows
Прочто пользователей вижу
А вот по группам нет
Не могу въехать в работу wbinfo_group
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Keks (??) on 25-Янв-06, 19:34 
А что вы скажете натакоу ответ?

kinit -p admin@domain.ru
admin@domain.ru`s Password:
kinit: krb5_get_init_creds: Response too big for UDP, retry with TCP

Как заставить его работать по TCP?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

30. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от archy (??) on 07-Мрт-06, 08:24 
Попробуй в /etc/krb5.conf указать
[realms]
SERVER.REALMS = {
  kdc = tcp/rdc.server.realms
}
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

31. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от bb on 22-Мрт-06, 10:47 
>Попробуй в /etc/krb5.conf указать
>[realms]
>SERVER.REALMS = {
>  kdc = tcp/rdc.server.realms
>}
тогда пишет kinit: krb5_get_init_creds: unable to reach any KDC in realm SERVER.REALMS
вопрос остается
как заставить его работать через tcp ???!!

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от bb on 22-Мрт-06, 10:52 
>Попробуй в /etc/krb5.conf указать
>[realms]
>SERVER.REALMS = {
>  kdc = tcp/rdc.server.realms
>}


правильно вот так

[realms]
        ZT = {
        kdc = tcp/server
        admin_server = server
        }

будет через  tcp работать
но теперь на правильный пароль пишет kinit: Password incorrect
как исправить?

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

33. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от bb on 24-Мрт-06, 19:13 
>>Попробуй в /etc/krb5.conf указать
>>[realms]
>>SERVER.REALMS = {
>>  kdc = tcp/rdc.server.realms
>>}
>
>
>правильно вот так
>
>[realms]
>        ZT = {
>        kdc = tcp/server
>        admin_server = server
>        }
>
>будет через  tcp работать
>но теперь на правильный пароль пишет kinit: Password incorrect
>как исправить?


получилось!!
тока конфиг немного другой
оригинальные доки рулят!

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

43. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от swap email(??) on 01-Июн-06, 17:54 
А по подробнее?
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

29. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от yyy (??) on 26-Янв-06, 17:43 
а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена?
остается тока настроить pppoe сервер и прописать ему юзеров с пассами из домена
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

34. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от inot on 30-Мрт-06, 14:49 
Затем что проще использовать сквид для билинга интернета, чем ковыряться в pppoe, да и потом , это ты предлагаешь организации в 1к человек каждому сделать pppoe соединение? Отличное у тебя маштабируемое решение......
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

35. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Максус email on 31-Мрт-06, 14:57 
Странно. После всех манипуляций все заработало. Но вот пользователь существующий локально и в домене не может зайти по ssh
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

36. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sander (??) on 06-Апр-06, 20:25 
с фрей 6 возникли проблемы c nsswitch.conf
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sander (??) on 06-Апр-06, 20:26 
id Administrator не катит
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от awsswa email on 07-Апр-06, 07:20 
после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf строчек

display charset = KOI8-R
unix charset = KOI8-R
dos charset = CP866

отлично видит русских пользователей

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от irokez email on 17-Апр-06, 15:18 
>после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf
>строчек
>
>display charset = KOI8-R
>unix charset = KOI8-R
>dos charset = CP866
>
>отлично видит русских пользователей

видит то видит, а работает? если да - то как? у меня не получаеться :(

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Илья (??) on 19-Апр-06, 17:24 
>>после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf
>>строчек
>>
>>display charset = KOI8-R
>>unix charset = KOI8-R
>>dos charset = CP866
>>
>>отлично видит русских пользователей
>
>видит то видит, а работает? если да - то как? у меня
>не получаеться :(


Пробуй не по имени пользователя, а поего SID тогда прокатит.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

41. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от vovan email(??) on 06-Май-06, 17:21 
>>>после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf
>>>строчек
>>>
>>>display charset = KOI8-R
>>>unix charset = KOI8-R
>>>dos charset = CP866
>>>
>>>отлично видит русских пользователей
>>
>>видит то видит, а работает? если да - то как? у меня
>>не получаеться :(
>
>
>Пробуй не по имени пользователя, а поего SID тогда прокатит.

Илья, плиз подскажи где/как заставить его использовать SID а не имя, перелопатил многое - найти не могу где указать, но похоже это единственный вариант :(.

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

42. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от vovan email(??) on 12-Май-06, 12:26 
>>>>после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf
>>>>строчек
>>>>
>>>>display charset = KOI8-R
>>>>unix charset = KOI8-R
>>>>dos charset = CP866
>>>>
>>>>отлично видит русских пользователей
>>>
>>>видит то видит, а работает? если да - то как? у меня
>>>не получаеться :(
>>
>>
>>Пробуй не по имени пользователя, а поего SID тогда прокатит.
>
>Илья, плиз подскажи где/как заставить его использовать SID а не имя, перелопатил
>многое - найти не могу где указать, но похоже это единственный
>вариант :(.

Разобрался. С русскими работает, но только ntlm и с IE :(((opera нет :().
А мне нужна была basic изначально.
Ну и в логах squid в левой кодировке логины пользователей, но это можно переконвертить.
А по-поводу SID - подскажите кто знают.

Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

44. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Mercury email(??) on 24-Июл-06, 13:50 
А у меня случилось нечто непонятное, вдруг перестала работать ntlm аутентификация, при проверке вместо OK стала выдавать HB. что свидетельствоало о сбое в helpere протоколе.
Как вылечить?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

46. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от _RAW_ email(ok) on 31-Авг-06, 17:35 
Люди, а в нативном режиме если стоит домет то труба?
У меня не хочет работать никак. пробовал разные статьи отрабатывать - шиш...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

47. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Tacit on 13-Сен-06, 13:14 
Блин что только не делал и все пермишины перепробовал и конфиг сотню раз по разному правил и вводил и выводил из домена раз 20... все комманды wbinfo проходят, -helper-protocol=squid-2.5-basic работает, а вот -helper-protocol=squid-2.5-ntlmssp не работает пишет BH (utils/ntlm_auth.c:manage_squid_ntlmssp_request(575))и всё. смотрел исходник я так понял что ему не нравится nt_status...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от примерно раз в час падает связб в инетом on 29-Сен-06, 13:40 
libsmb/clientgen.c:cli_rpc_pipe_close(375)
  cli_rpc_pipe_close: cli_close failed on pipe \NETLOGON, fnum 0x4003 to machine
SERVERNEO.  Error was Call timed out: server did not respond after 10000 millis
econds
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

49. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sda email(??) on 05-Окт-06, 14:58 
  Народ, а как сделать, что самба искала юзверей только в одном домене?
У меня просто очень большое доменное дерево (региональная компания большой организации). Оооочень долго ищет юзеря по всем доменам. :(
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

75. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Yalexand on 02-Фев-09, 12:33 
>  Народ, а как сделать, что самба искала юзверей только в
>одном домене?
>У меня просто очень большое доменное дерево (региональная компания большой организации). Оооочень
>долго ищет юзеря по всем доменам. :(

Почитай на счёт
allow trusted domains =
в smb.conf
Мне помогло уменьшить видимую часть дерева до локального домена.

Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

50. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от alhome email on 15-Ноя-06, 14:39 
Кто-нибудь сталкивался с проблемами при большом количестве пользователей (порядка 250)?
Периодически в cache.log возникает такое:
Login for user [DOMAIN]\[USER]@[WORKSTATION] failed due to [Reading winbind reply failed!]
[2006/11/15 12:04:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(608)
  NTLMSSP NT_STATUS_UNSUCCESSFUL
Через какое-то время все восстанавливается, но ненадолго... :-(
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

53. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от arm email on 15-Дек-06, 14:53 
Помогите разобратся...
все работало хорошо... и работает сейчас... только у некоторых пользователей возникает предложение ввести имя и пароль... при исп. kinit и wbinfo -a на сервере все в порядке... а с клиентской машины просит пароль и все...
При том что не у всех а у некоторых... у остальных же все в порядке...
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

56. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sda email(??) on 08-Фев-07, 09:35 
>Помогите разобратся...
>все работало хорошо... и работает сейчас... только у некоторых пользователей возникает предложение
>ввести имя и пароль... при исп. kinit и wbinfo -a на
>сервере все в порядке... а с клиентской машины просит пароль и
>все...
>При том что не у всех а у некоторых... у остальных же
>все в порядке...

  убей в домене эту клиентскую машину и создай ее.. правда есть вероятность, что профайлы порушатся, скопируй все необходимое ;)

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

55. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от trinix email on 08-Фев-07, 05:55 
Вобщем есть папу(не сильно  существенных) огрехов, в файле nsswitch не надо ничего добавлять, а лишь только редактировать!
Ну с керберосом и так всё ясно, надо не путать регистр.
И на данный момент лучше использовать последнюю самбу это 3.23d.
Собсно и всё, у меня "почти такой же":) вариант работает на 5.4 на 6.1 и на 6.2, всё стабильно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

58. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sda email(ok) on 20-Апр-07, 19:17 
>Вобщем есть папу(не сильно  существенных) огрехов, в файле nsswitch не надо
>ничего добавлять, а лишь только редактировать!
>Ну с керберосом и так всё ясно, надо не путать регистр.
>И на данный момент лучше использовать последнюю самбу это 3.23d.
>Собсно и всё, у меня "почти такой же":) вариант работает на 5.4
>на 6.1 и на 6.2, всё стабильно.

скажи как редактировать?
у меня в nsswitch.conf на freebsd 6.2-stable написано:

group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files

система _иногда_ тормозит при вводе пароля по ssh (видимо ищет в домене этого пользователя или что-то еще)

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

57. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Squidnik email on 12-Фев-07, 16:36 
Вопрос - а если так, то  будет работать ?
acl BOSS proxy_auth Adminnistrator BigBOSS
acl Clients proxy_auth REQUIRED

т.е. можно ли acl таким образом разруливать ?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

59. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Cibermax email on 14-Сен-07, 16:44 
Статья прикольная и то что ее кто-то ругает за FUCK-YOU пусть и идет на FUCK-YOU....... FUCK-YOU.RU резко брасается в глаза и тем самым фокусирует на нем зрение так что не ощибешся а еслиб там была написано my.domain.ru то было менее заметнее.....
ну да ладно........ короче в данный момент далаю как тут описано и тут с толкнулся с ошибкой при выполнение команды:

        kinit -p Administrator@fuck-you.ru либо:
        kinit -p Administrator

в ответ получил:

kinit: krb5_get_init_creds: unable to reach any KDC in realm

и еще кучу ошибок про неправильный пароль хотя он верный и.т.д.

В общем не получалось настроить Kerberos

короче решил данную проблемму следующим образом на каком то из сайтов нарыл
что если у тебя на АД стоит ДНС надо в файл reslov.conf внести в начало такую строчку:

search fuck-you.ru

тем самым мой файл reslov.conf стал похож на такой

search fuck-you.ru
domain  fuck-you.ru
nameserver  192.168.3.100
nameserver  213.213.213.213

последний nameserver  213.213.213.213 это моего провайдера

вот......... всем спасибо все свободны надеюсь я кому-то помог будут еще возникать ошибки буду писать

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

61. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Evgeniy email(??) on 09-Ноя-07, 11:16 
Сделал все как написано. Все работает, машина в домене. Но squid не запускаеться. Точнее запускаеться на минуту и отрубаеться. В лог пишет

2007/11/09 11:01:51| Swap maxSize 3145728 KB, estimated 241979 objects
2007/11/09 11:01:51| Target number of buckets: 12098
2007/11/09 11:01:51| Using 16384 Store buckets
2007/11/09 11:01:51| Max Mem  size: 131072 KB
2007/11/09 11:01:51| Max Swap size: 3145728 KB
2007/11/09 11:01:51| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2007/11/09 11:01:51| Rebuilding storage in /usr/local/squid/cache (DIRTY)
2007/11/09 11:01:51| Using Least Load store dir selection
2007/11/09 11:01:51| Current Directory is /usr/local/squid/logs
2007/11/09 11:01:51| Loaded Icons.
2007/11/09 11:01:52| Accepting HTTP connections at 192.168.3.224, port 3128, FD 36.
2007/11/09 11:01:52| Accepting ICP messages at 0.0.0.0, port 3130, FD 37.
2007/11/09 11:01:52| Accepting HTCP messages on port 4827, FD 38.
2007/11/09 11:01:52| Accepting SNMP messages on port 3401, FD 39.
2007/11/09 11:01:52| WCCP Disabled.
2007/11/09 11:01:52| Pinger socket opened on FD 41
2007/11/09 11:01:52| NETDB state reloaded; 1 entries, 8 msec
2007/11/09 11:01:52| Ready to serve requests.
2007/11/09 11:01:52| WARNING: basicauthenticator #1 (FD 21) exited
2007/11/09 11:01:52| WARNING: basicauthenticator #2 (FD 22) exited
2007/11/09 11:01:52| WARNING: basicauthenticator #3 (FD 23) exited
2007/11/09 11:01:52| WARNING: basicauthenticator #4 (FD 24) exited
2007/11/09 11:01:52| WARNING: basicauthenticator #5 (FD 25) exited
2007/11/09 11:01:52| Too few basicauthenticator processes are running
FATAL: The basicauthenticator helpers are crashing too rapidly, need help!

Squid Cache (Version 2.5.STABLE12): Terminated abnormally.
CPU Usage: 0.157 seconds = 0.067 user + 0.091 sys
Maximum Resident Size: 8152 KB
Page faults with physical i/o: 0
2007/11/09 11:01:57| Pinger exiting.
2007/11/09 11:01:57| Pinger exiting.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sda email(??) on 09-Ноя-07, 11:21 
Проверь права доступа на все файлы. Скорее всего у пользователя из-под которого запускается squid не имеет прав на запуск этих файлов
Ответить | Правка | ^ к родителю #61 | Наверх | Cообщить модератору

63. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Evgeniy email(??) on 09-Ноя-07, 12:03 
>Проверь права доступа на все файлы. Скорее всего у пользователя из-под которого
>запускается squid не имеет прав на запуск этих файлов

Запускаю от имени root.
А если из конфига убрать
        auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
        auth_param ntlm children 10
        auth_param ntlm max_challenge_reuses 0
        auth_param ntlm max_challenge_lifetime

        auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
        auth_param basic children 10
        auth_param basic realm Squid proxy-caching web server
        auth_param basic credentialsttl 2 hours
        auth_param basic casesensitive off

        acl all src 0.0.0.0/0.0.0.0
        acl squidusers proxy_auth REQUIRED(определяем группу юзеров)
        http_access allow squidusers(разрешаем им доступ)
        http_access deny all

то все запускаеться

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

64. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sda email(??) on 09-Ноя-07, 13:27 
>>Проверь права доступа на все файлы. Скорее всего у пользователя из-под которого
>>запускается squid не имеет прав на запуск этих файлов
>
>Запускаю от имени root.

SQUID никогда не запуститься от имени рут, не надо тут :)

Ответить | Правка | ^ к родителю #63 | Наверх | Cообщить модератору

70. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Andreus on 18-Дек-07, 12:07 
Правильно, не надо тут...
# cat rc.conf |grep squid
squid_user="root"
squid_enable="YES"
# ps -aux |grep squid |grep root
root     540  0.0  0.1  3404  1796  ??  Is   11:59AM   0:00.00 /usr/local/sbin/squid -D
Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

71. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sda email(??) on 18-Дек-07, 12:08 
>Правильно, не надо тут...
># cat rc.conf |grep squid
>squid_user="root"
>squid_enable="YES"
># ps -aux |grep squid |grep root
>root     540  0.0  0.1  3404
> 1796  ??  Is   11:59AM  
>0:00.00 /usr/local/sbin/squid -D

Ужас...


Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

65. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Evgeniy email(??) on 09-Ноя-07, 16:08 
А какие конкретно файлы посмотреть? Простите...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

66. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sda email(??) on 09-Ноя-07, 16:14 
>А какие конкретно файлы посмотреть? Простите...

Выполните две команды в каталоге, где конфиги прокси:

cat squid.conf | grep cache_effective

ls -la /usr/local/bin/ntlm_auth

Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

67. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от seff email on 24-Ноя-07, 07:52 
Господа, трабл.
пытаюсь настроить ntlm авторизацию, а сквид не стартует... подскажите, куда копать?
дебаг вывод:
2007/11/24 07:50:11| Starting Squid Cache version 2.6.STABLE16 for i386-portbld-freebsd6.3...
2007/11/24 07:50:11| Process ID 13611
2007/11/24 07:50:11| With 3712 file descriptors available
2007/11/24 07:50:11| Using kqueue for the IO loop
2007/11/24 07:50:11| Performing DNS Tests...
2007/11/24 07:50:11| Successful DNS name lookup tests...
2007/11/24 07:50:11| DNS Socket created at 0.0.0.0, port 64910, FD 9
2007/11/24 07:50:11| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2007/11/24 07:50:11| helperStatefulOpenServers: Starting 5 'ntlm_auth' processes
2007/11/24 07:50:11| helperOpenServers: Starting 5 'ntlm_auth' processes
2007/11/24 07:50:12| helperOpenServers: Starting 5 'squid_ldap_group.pl' processes
2007/11/24 07:50:12| Unlinkd pipe opened on FD 29
2007/11/24 07:50:12| Swap maxSize 8192000 KB, estimated 630153 objects
2007/11/24 07:50:12| Target number of buckets: 31507
2007/11/24 07:50:12| Using 32768 Store buckets
2007/11/24 07:50:12| Max Mem  size: 8192 KB
2007/11/24 07:50:12| Max Swap size: 8192000 KB
2007/11/24 07:50:12| Rebuilding storage in /usr/local/squid/cache (DIRTY)
2007/11/24 07:50:12| Using Least Load store dir selection
2007/11/24 07:50:12| Set Current Directory to /usr/local/squid/cache
2007/11/24 07:50:12| Loaded Icons.
2007/11/24 07:50:12| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 31.
2007/11/24 07:50:12| Accepting ICP messages at 0.0.0.0, port 3130, FD 32.
2007/11/24 07:50:12| Ready to serve requests.
2007/11/24 07:50:12| WARNING: ntlmauthenticator #1 (FD 10) exited
2007/11/24 07:50:12| WARNING: ntlmauthenticator #2 (FD 11) exited
2007/11/24 07:50:12| WARNING: ntlmauthenticator #3 (FD 12) exited
2007/11/24 07:50:12| Too few ntlmauthenticator processes are running
FATAL: The ntlmauthenticator helpers are crashing too rapidly, need help!

Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

68. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от sda email(??) on 25-Ноя-07, 16:23 
>[оверквотинг удален]
>2007/11/24 07:50:12| Loaded Icons.
>2007/11/24 07:50:12| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 31.
>
>2007/11/24 07:50:12| Accepting ICP messages at 0.0.0.0, port 3130, FD 32.
>2007/11/24 07:50:12| Ready to serve requests.
>2007/11/24 07:50:12| WARNING: ntlmauthenticator #1 (FD 10) exited
>2007/11/24 07:50:12| WARNING: ntlmauthenticator #2 (FD 11) exited
>2007/11/24 07:50:12| WARNING: ntlmauthenticator #3 (FD 12) exited
>2007/11/24 07:50:12| Too few ntlmauthenticator processes are running
>FATAL: The ntlmauthenticator helpers are crashing too rapidly, need help!

Блин, ну читайте же выше посты. Там есть мои ответы на эту ситуацию

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

69. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от freddy (??) on 06-Дек-07, 11:25 
Про ntlm аутентификацию через группы:

1.Пользователи, которых надо пускать в и-нет прописаны в текстовом файле name_userov. Настройки имеют вид:

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic

acl squidusers proxy_auth "/путь/name_userov"

Плюс такого подхода: если пользователя нет в файле name_userov, то при доступе к сквиду ему даётся отлуп в виде "Доступ запрещён".

Минус: после добавления пользователя в файл name_userov, необходимо перезапускать сквид.

2. Пользователи, которых надо пускать в и-нет, прописаны в группе ActiveDirectory, которая называется internet_users.  
Настройки имеют вид:

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internet_users"
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\internet_users"

acl squidusers proxy_auth REQUIRED

Плюс такого подхода: при добавлении пользователя в доменную группу internet_users, пользователю не надо перезаходить в домен (как это бывает необходимо при доступе к Win-ресурсам), нет необходимости перезапускать сквид.

Минус: если пользователя не допускают к и-нету,т.е. его имени нет в доменной группе internet_users, то при доступе к сквиду ему выдаётся окошко аутентификации. У пользователя возникает соблазн узнать чужие имя-пароль, набрать их в окошке, поставить галочку "запомнить", и ходить всегда, даже после перезагрузки ПК, в и-нет за счёт чужого трафика.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

73. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от REDPULSAR email on 28-Авг-08, 13:04 
хм а ктонить делал так чтоб авторизированные пользователи на свиде шли в инет через нат?
И при этом работал кеш (не принцепиально)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

74. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от SeF (ok) on 29-Авг-08, 01:08 
>хм а ктонить делал так чтоб авторизированные пользователи на свиде шли в
>инет через нат?
>И при этом работал кеш (не принцепиально)

Уважаемый, пора вылазить из тазика, если кеш не принципиален, то PPPoE  вам намного лучше поможет.
З.Ы. При использовании PPPoE вам никто, не мешает необходимый трафик заворачивать как и куда угодно.

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

76. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от nixdaemon email on 03-Фев-09, 17:50 
>хм а ктонить делал так чтоб авторизированные пользователи на свиде >шли в инет через нат?
>И при этом работал кеш (не принцепиально)

я делал. у меня на центральном шлюзе нат стоит под линуксом, а в локалке фря, на ней сквид с авторизацией в AD.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

77. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Margarita (??) on 16-Мрт-10, 11:22 
спасибо большое
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от Squid windows (ok) on 05-Июл-10, 23:32 
Добротная статья, спасибо!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "Авторизация squid в домене Windows 2003 Server (squid freebs..."  +/
Сообщение от aos (ok) on 06-Июл-11, 15:40 
статья лучшая из тех что мне попадались. из ньюансов скажу лишь что коннектил самбу в домен при акаунте отличном от administrator и паролем что не иммет в своем составе сложных спецсимволов
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру