BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 11 ] 
Автор Сообщение
 Заголовок сообщения: squid и группы в AD.
СообщениеДобавлено: Чт 11 ноя, 2010 2:31 pm 
Не в сети

Зарегистрирован: Вт 30 дек, 2008 9:17 pm
Сообщения: 226
Откуда: Saint-Petersburg
Необходимо сделать прокси squid с разграничением прав в зависимости от группы в AD. машину ввел в домен. wbinfo -u -g -t -p отрабатывают штатно. Сам скрипт /usr/local/libexec/squid/wbinfo_group.pl работает, проверял. Но squid не хочет пускать по группе, в логах видно, что squid не лезе в AD. Что может быть? Группы предполагается использовать несколько 5-10.
Код:
free# cat /usr/local/etc/squid/squid.conf
visible_hostname free.domain.ru
http_port 192.168.11.60:3128


access_log /var/log/squid/access.log


auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth

auth_param negotiate children 10
auth_param negotiate keep_alive on

cache_peer 10.20.1.3    parent 3128 0 no-query default
acl auth proxy_auth REQUIRED


external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl www external nt_group inet_full


#http_access allow all
http_access allow www all
##http_access deny !auth
##http_access allow auth
##http_access deny acl_www
http_access deny all
#http_access allow all


cache_dir ufs /usr/local/etc/squid/cache 45000 64 256


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 12 ноя, 2010 10:31 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1132
Откуда: Kiev
А откуда видно, что он не лезет в АД? Через какой браузер проверяешь?

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 12 ноя, 2010 11:46 am 
Не в сети

Зарегистрирован: Вт 30 дек, 2008 9:17 pm
Сообщения: 226
Откуда: Saint-Petersburg
skeletor писал(а):
А откуда видно, что он не лезет в АД? Через какой браузер проверяешь?

Проблема решилась следующим образом:
В smb.conf
Код:
winbind use default domain = yes

поменял на
Код:
winbind use default domain = no

в squid.conf
Код:
external_acl_type nt_group   %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl inet_full  external nt_group domain\inet_full
acl inet_half  external nt_group domain\inet_half


http_access deny inet_full all
http_access allow  all

Но все равно в логах не видно, что squid лезет в AD.
Но тут возник вопрос, если я ввожу юзера в группу, но wbinfo_group срабатывает не сразу,времена срабатывания не замерял и просто через killall перестартовал.:?
Не подскажите какой параметр надо подкрутить, что бы winbindd адекватно реагировал на изменения в AD?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 12 ноя, 2010 11:49 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1132
Откуда: Kiev
Обычно 2 часа должно пройти.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 12 ноя, 2010 11:57 am 
Не в сети

Зарегистрирован: Вт 30 дек, 2008 9:17 pm
Сообщения: 226
Откуда: Saint-Petersburg
skeletor писал(а):
Обычно 2 часа должно пройти.

Два часа может не устроить администрацию в виде Ген. директора и др важных лиц:D . Буду искать необходимый для тюнинга параметр.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт 12 ноя, 2010 1:42 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1132
Откуда: Kiev
Найдёшь, маякни, мне тоже он нужен. Как вариант перезапускать squid или samb'y

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 14 ноя, 2010 9:01 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вс 16 июл, 2006 12:54 pm
Сообщения: 60
Откуда: Kotelniki, M.O.
skeletor писал(а):
Найдёшь, маякни, мне тоже он нужен. Как вариант перезапускать squid или samb'y


надо добавить ttl
Код:
external_acl_type nt_group  ttl=120  %LOGIN /usr/local/libexec/squid/wbinfo_group.pl


Через 120 секунд будет знать о новом пользователе в группе.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 17 ноя, 2010 2:06 am 
Не в сети

Зарегистрирован: Вт 30 дек, 2008 9:17 pm
Сообщения: 226
Откуда: Saint-Petersburg
Продолжение балета.
Теперь если
Код:
winbind use default domain = yes

то скрипт wbinfo_group.pl работает, но в логах сквида
Код:
Could not get groups for user USERNAME@DOMAIN.RU


А если
Код:
winbind use default domain = no

то в логах сквида все чисто, но сам скрипт не выдает "ок" даже если юзер в группе.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 22 ноя, 2010 12:02 am 
Не в сети

Зарегистрирован: Вт 30 дек, 2008 9:17 pm
Сообщения: 226
Откуда: Saint-Petersburg
Кто-нибудь использует этот скрипт wbinfo_group для определения вхождения в группу(Если да, то можно версию samba squid и их конфги)? Существует ли еще какой-либо способ проверки вхождения юзера в группу из AD, кроме этого скрипта?

Сейчас покапавшись в логах понял, что squid пересылает хелперу логин в виде username@domain.ru, а хелпер ждет в виде просто username. Использую керберос. Буду искать решение проблемы.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 22 ноя, 2010 11:19 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1132
Откуда: Kiev
Попробуй вместо %LOGIN %EXT_USER или %IDENT. Например так:
Код:
external_acl_type nt_group  ttl=120  %EXT_USER /usr/local/libexec/squid/wbinfo_group.pl

Вот, что говорится в доке к squid'y:
Код:
#         %LOGIN        Authenticated user login name
#         %EXT_USER     Username from external acl
#         %IDENT        Ident user name

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн 22 ноя, 2010 7:19 pm 
Не в сети

Зарегистрирован: Вт 30 дек, 2008 9:17 pm
Сообщения: 226
Откуда: Saint-Petersburg
skeletor писал(а):
Попробуй вместо %LOGIN %EXT_USER или %IDENT. Например так:
Код:
external_acl_type nt_group  ttl=120  %EXT_USER /usr/local/libexec/squid/wbinfo_group.pl

Вот, что говорится в доке к squid'y:
Код:
#         %LOGIN        Authenticated user login name
#         %EXT_USER     Username from external acl
#         %IDENT        Ident user name


Тоже не помогло.
Написал сам крошечный helper
Код:
#!/bin/sh
USERNAME=`/bin/echo $1 | /usr/bin/cut -d @ -f 1`
GROUP=$2
/bin/echo $USERNAME $GROUP  | /usr/local/libexec/squid/wbinfo_group.pl

но он не работает, вот кусок лога сквида во время его запуска
Код:
Use of uninitialized value $user in substitution (s///) at /usr/local/libexec/squid/wbinfo_group.pl line 91, <STDIN> line 1.
Use of uninitialized value $ans in concatenation (.) or string at /usr/local/libexec/squid/wbinfo_group.pl line 98, <STDIN> line 1.
Use of uninitialized value $ans in concatenation (.) or string at /usr/local/libexec/squid/wbinfo_group.pl line 99, <STDIN> line 1.
Use of uninitialized value $user in substitution (s///) at /usr/local/libexec/squid/wbinfo_group.pl line 91, <STDIN> line 1.
Use of uninitialized value $ans in concatenation (.) or string at /usr/local/libexec/squid/wbinfo_group.pl line 98, <STDIN> line 1.
Use of uninitialized value $ans in concatenation (.) or string at /usr/local/libexec/squid/wbinfo_group.pl line 99, <STDIN> line 1.
2010/11/22 18:14:37| Accepting  HTTP connections at 192.168.11.62:80, FD 47.
2010/11/22 18:14:37| HTCP Disabled.
2010/11/22 18:14:37| Configuring Parent 10.20.1.3/3128/0
2010/11/22 18:14:37| Configuring Parent 10.20.2.3/3128/0
2010/11/22 18:14:37| Ready to serve requests.
2010/11/22 18:14:37| Done reading /usr/local/etc/squid/cache swaplog (2210 entries)
2010/11/22 18:14:37| Finished rebuilding storage from disk.
2010/11/22 18:14:37|      2210 Entries scanned
2010/11/22 18:14:37|         0 Invalid entries.
2010/11/22 18:14:37|         0 With invalid flags.
2010/11/22 18:14:37|      2210 Objects loaded.
2010/11/22 18:14:37|         0 Objects expired.
2010/11/22 18:14:37|         0 Objects cancelled.
2010/11/22 18:14:37|         0 Duplicate URLs purged.
2010/11/22 18:14:37|         0 Swapfile clashes avoided.
2010/11/22 18:14:37|   Took 0.08 seconds (26081.31 objects/sec).
2010/11/22 18:14:37| Beginning Validation Procedure
2010/11/22 18:14:37|   Completed Validation Procedure
2010/11/22 18:14:37|   Validated 4445 Entries
2010/11/22 18:14:37|   store_swap_size = 17184
2010/11/22 18:14:37| helperHandleRead: unexpected read from nt_group #1, 1 bytes '
'
2010/11/22 18:14:37| helperHandleRead: unexpected read from nt_group #2, 1 bytes '
'
2010/11/22 18:14:37| helperHandleRead: unexpected read from nt_group #3, 1 bytes '
'
2010/11/22 18:14:37| helperHandleRead: unexpected read from nt_group #4, 1 bytes '
'
2010/11/22 18:14:37| helperHandleRead: unexpected read from nt_group #5, 1 bytes '
'
2010/11/22 18:14:37| WARNING: nt_group #1 (FD 31) exited
2010/11/22 18:14:37| WARNING: nt_group #2 (FD 33) exited
2010/11/22 18:14:37| WARNING: nt_group #3 (FD 35) exited
2010/11/22 18:14:37| WARNING: nt_group #4 (FD 37) exited
2010/11/22 18:14:37| Too few nt_group processes are running
2010/11/22 18:14:37| storeDirWriteCleanLogs: Starting...
2010/11/22 18:14:37|   Finished.  Wrote 2210 entries.
2010/11/22 18:14:37|   Took 0.00 seconds (7491525.42 entries/sec).
FATAL: The nt_group helpers are crashing too rapidly, need help!

Squid Cache (Version 3.1.9): Terminated abnormally.
CPU Usage: 0.057 seconds = 0.038 user + 0.019 sys
Maximum Resident Size: 11888 KB
Page faults with physical i/o: 0



Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 11 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика