Добрый день...
Прыгаем по граблям дальше:)
Хочется, чтобы Squid пускал только пользователей внесенных в группу AccessInternet. Группа естественно создается в AD....
Проблемы возникли уже на этапе компиляции:(./configure --prefix=/usr/local/squid --enable-delay-pools --enable-snmp --enable-auth="ntlm,basic" --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind" --enable-default-err-language=Russian-1251 --enable-external-acl-helpers="wbinfo_group,winbind_group" --enable-delay-pool
s --with-samba-sources=/usr/src/asplinux/SOURCES/samba-3.0.0-2/samba-3.0.0..................
Making all in external_acl
make[2]: Вход в каталог `/usr/src/asplinux/SOURCES/squid-2.5.STABLE4/helpers/external_acl'
Making all in wbinfo_group
make[3]: Вход в каталог `/usr/src/asplinux/SOURCES/squid-2.5.STABLE4/helpers/external_acl/wbinfo_group'
make[3]: Цель `all' не требует выполнения команд.
make[3]: Выход из каталог `/usr/src/asplinux/SOURCES/squid-2.5.STABLE4/helpers/external_acl/wbinfo_group'
Making all in winbind_group
make[3]: Вход в каталог `/usr/src/asplinux/SOURCES/squid-2.5.STABLE4/helpers/external_acl/winbind_group'
source='wb_check_group.c' object='wb_check_group.o' libtool=no \
depfile='.deps/wb_check_group.Po' tmpdepfile='.deps/wb_check_group.TPo' \
depmode=gcc3 /bin/sh ../../../cfgaux/depcomp \
gcc -DHAVE_CONFIG_H -I. -I. -I../../../include -I. -I../../../include -I../../../include -I../../../src -I/usr/src/asplinux/SOURCES/samba-3.0.0-2/samba-3.0.0//source -g -O2 -Wall -c `test -f wb_check_group.c || echo './'`wb_check_group.c
source='wb_common.c' object='wb_common.o' libtool=no \
depfile='.deps/wb_common.Po' tmpdepfile='.deps/wb_common.TPo' \
depmode=gcc3 /bin/sh ../../../cfgaux/depcomp \
gcc -DHAVE_CONFIG_H -I. -I. -I../../../include -I. -I../../../include -I../../../include -I../../../src -I/usr/src/asplinux/SOURCES/samba-3.0.0-2/samba-3.0.0//source -g -O2 -Wall -c `test -f wb_common.c || echo './'`wb_common.c
wb_common.c: In function `init_request':
wb_common.c:68: structure has no member named `domain'
wb_common.c:77: structure has no member named `domain'
wb_common.c:77: structure has no member named `domain'
wb_common.c:77: structure has no member named `domain'
wb_common.c:77: structure has no member named `domain'
wb_common.c:77: structure has no member named `domain'
wb_common.c:77: structure has no member named `domain'
wb_common.c:77: structure has no member named `domain'
wb_common.c:77: structure has no member named `domain'
wb_common.c:78: structure has no member named `domain'
wb_common.c:78: structure has no member named `domain'
wb_common.c: In function `winbindd_send_request':
wb_common.c:334: structure has no member named `domain'
make[3]: *** [wb_common.o] Ошибка 1
make[3]: Выход из каталог `/usr/src/asplinux/SOURCES/squid-2.5.STABLE4/helpers/external_acl/winbind_group'
make[2]: *** [all-recursive] Ошибка 1
make[2]: Выход из каталог `/usr/src/asplinux/SOURCES/squid-2.5.STABLE4/helpers/external_acl'
make[1]: *** [all-recursive] Ошибка 1
make[1]: Выход из каталог `/usr/src/asplinux/SOURCES/squid-2.5.STABLE4/helpers'
make: *** [all-recursive] Ошибка 1
#
Мои попытки разобраться привили только к
http://www.mail-archive.com/squid-users@squid-cache.org...
Вывод из этой темы использовать samba-2.2.8a для раскрытия групп...:(
Но это ведь не наши методы:)))
Кто еще пытался собрать кальмара с samba 3.0 и ключом --enable-external-acl-helpers="winbind_group" Поделитесь опытом...
а что если поставить обычно squid, а допуск определить через настройку конфига squid.conf, прописать там айпишники нужного диапазона, можно плюc дополнительно настроить редирект для прозрачного кэширования тоже для определенного интерфейса или группы IP.
>а что если поставить обычно squid, а допуск определить через настройку конфига
>squid.conf, прописать там айпишники нужного диапазона, можно плюc дополнительно настроить редирект
>для прозрачного кэширования тоже для определенного интерфейса или группы IP.
Это уже приблизительно так и есть...
Но, такая система не устраивает... не хватает гибкости...
>>а что если поставить обычно squid, а допуск определить через настройку конфига
>>squid.conf, прописать там айпишники нужного диапазона, можно плюc дополнительно настроить редирект
>>для прозрачного кэширования тоже для определенного интерфейса или группы IP.
>
>
>Это уже приблизительно так и есть...
>Но, такая система не устраивает... не хватает гибкости...сама samba скомпилена с опциямиями --with-winbind
--with-winbind-auth-challenge ? и она имхо должна быть настроена
на домен и использование winbind
погляди статью :
http://www.asmodeus.com.ua/library/soft/squid/squid_auth.htm
может поомжет
>>>а что если поставить обычно squid, а допуск определить через настройку конфига
>>>squid.conf, прописать там айпишники нужного диапазона, можно плюc дополнительно настроить редирект
>>>для прозрачного кэширования тоже для определенного интерфейса или группы IP.
>>
>>
>>Это уже приблизительно так и есть...
>>Но, такая система не устраивает... не хватает гибкости...
>
>сама samba скомпилена с опциямиями --with-winbind
>--with-winbind-auth-challenge ? и она имхо должна быть настроена
>на домен и использование winbind
>погляди статью :
>http://www.asmodeus.com.ua/library/soft/squid/squid_auth.htm
>может поомжетСамбу я не сам собирал...Взял готовый rpm пакет.
smbd -d
По мимо всего прочего говорит
.........................
--with Options:
WITH_ADS
WITH_PAM
WITH_QUOTAS
WITH_SENDFILE
WITH_SMBMOUNT
WITH_SYSLOG
WITH_UTMP
WITH_WINBIND
...........................
Так что подозреваю со стороны сборки самбы все ОК.
Самба в домен интегрирована на диски пускает пользователей из AD
и группы AD samba тоже раскрывает......
Дык что с этой стороны все тип топ…
За статейку спасиб, но она немного не в тему...
Т.к. используется samba 2.2.6pre2 а я пытаюсь заставить работать squid c Samba 3.0-2
Точнее они уже у меня работают задача заставить squid понимать группы из AD в своих листах доступа, а не только пользователей проверять и логи вести...
Как утверждается (я сам не проверял) с samba-2.2.8a Squid 2.5 работает и группы раскрывает, но 2,2,8 мне не нужна :(
>Это уже приблизительно так и есть...
>Но, такая система не устраивает... не хватает гибкости...а что не хватает - то ? какой именно гибкости ?
>
>>Это уже приблизительно так и есть...
>>Но, такая система не устраивает... не хватает гибкости...
>
>а что не хватает - то ? какой именно гибкости ?
Не хватает...
Мне нужно пользователей пускать в нинет не по подсетям а
по группам...
Для начала создается группа Internet-128 И Internet-64
И те кто в Internet-128 Должны ходить в инет со скоростью 128К
а те кто Internet-64 64 соответственно...
Те кто не попадает в эти группы в инет не допускается ваще...
Кроме того для группы Internet-64 Нужно закрыть определеные адреса :)
Ну и в томже духе...
>Добрый день...
>Прыгаем по граблям дальше:)
.........................
>Мои попытки разобраться привили только к
>http://www.mail-archive.com/squid-users@squid-cache.org...
>Вывод из этой темы использовать samba-2.2.8a для раскрытия групп...:(
>Но это ведь не наши методы:)))
>Кто еще пытался собрать кальмара с samba 3.0 и ключом --enable-external-acl-helpers="winbind_group"
> Поделитесь опытом...Надыбал тут ...
http://www1.id.squid-cache.org/mail-archive/squid-users/http://www1.id.squid-cache.org/mail-archive/squid-users/2003...
В общем толи лыжи не едут толи я...Кхм...
Народ настраивает а я никак собрать не могу:(
!ХЕЛП МИ ПЛИЗ!
>>Добрый день...
>>Прыгаем по граблям дальше:)
>.........................
>>Мои попытки разобраться привили только к
>>http://www.mail-archive.com/squid-users@squid-cache.org...
>>Вывод из этой темы использовать samba-2.2.8a для раскрытия групп...:(
>>Но это ведь не наши методы:)))
>>Кто еще пытался собрать кальмара с samba 3.0 и ключом --enable-external-acl-helpers="winbind_group"
>> Поделитесь опытом...
>
>Надыбал тут ...
>http://www1.id.squid-cache.org/mail-archive/squid-users/
>
>http://www1.id.squid-cache.org/mail-archive/squid-users/2003...
>
>В общем толи лыжи не едут толи я...Кхм...
>Народ настраивает а я никак собрать не могу:(
>!ХЕЛП МИ ПЛИЗ!
Я собирал squid 2.5 & samba 3.01, авторизация ntlm берется из самбы.
А разделять по группам можно с помощью sams.
>>>Добрый день...
>>>Прыгаем по граблям дальше:)
>>.........................
>>>Мои попытки разобраться привили только к
>>>http://www.mail-archive.com/squid-users@squid-cache.org...
>>>Вывод из этой темы использовать samba-2.2.8a для раскрытия групп...:(
>>>Но это ведь не наши методы:)))
>>>Кто еще пытался собрать кальмара с samba 3.0 и ключом --enable-external-acl-helpers="winbind_group"
>>> Поделитесь опытом...
>>
>>Надыбал тут ...
>>http://www1.id.squid-cache.org/mail-archive/squid-users/
>>
>>http://www1.id.squid-cache.org/mail-archive/squid-users/2003...
>>
>>В общем толи лыжи не едут толи я...Кхм...
>>Народ настраивает а я никак собрать не могу:(
>>!ХЕЛП МИ ПЛИЗ!
>Я собирал squid 2.5 & samba 3.01, авторизация
>ntlm берется из самбы.
>А разделять по группам можно с помощью sams.
!!!ООО!!!!
!!!это Круто!!!
А по подробнее можно??? :)
Какой дистриб Squid и samba Брал.
С какими ключами компелил.Про sams чуток....:)
все на самом деле очень просто (это написано на samba.org)
1 при сборке не надо --with-samba-sources=/....
2 сквид не умеет использовть winbind_group хелпер от самба3, надо использовать перловый врапер wbinfo_group
3 и, в заключение, кусок конфига сквида:auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
external_acl_type NT_global_group %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
у меня все работает, удачи.
>все на самом деле очень просто (это написано на samba.org)
>1 при сборке не надо --with-samba-sources=/....
>2 сквид не умеет использовть winbind_group хелпер от самба3, надо использовать перловый
>врапер wbinfo_group
>3 и, в заключение, кусок конфига сквида:
>
>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>
>external_acl_type NT_global_group %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
>
>у меня все работает, удачи.
У меня при --with-samba-sources=/....
squid-2.5.STABLE4 собираться не хотел.
Правда это давно было...за наводку спасибо не знал...
попробую....
>все на самом деле очень просто (это написано на samba.org)
>1 при сборке не надо --with-samba-sources=/....
>2 сквид не умеет использовть winbind_group хелпер от самба3, надо использовать перловый
>врапер wbinfo_group
>3 и, в заключение, кусок конфига сквида:
>
>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>
>external_acl_type NT_global_group %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
>
>у меня все работает, удачи.А не льзяли носом в статью ткнуть а то я чтото найти не могу...:(
чтобы юзать auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
надо сначало дать права доступу сквиду на винбиндовский паип в редхате он находится /var/cache/samba/winbindd_privileged ... тобиж дать права юзеру под которым работает сквид я сделал так chown -R root:squid /var/cache/samba/winbindd_privileged и нтлм заработал правда токо тоды кода басик отключил =) надо будет попробовать перекомпилить самбу и сквид мож будут работать нормально а так нтлм робит)
>
>А не льзяли носом в статью ткнуть а то я чтото найти
>не могу...:(начни с этого
http://samba.rinet.ru/samba/docs/man/ntlm_auth.1.htmlу меня на Фре5.1 работает (Squid Cache: Version 2.5.STABLE2,samba 3.0 ), причем ntlm_auth и basic аутентификация. Собирал все сам из исходников.
Самба с патчем (patch-3.0.0-3.0.1),
до этого патча разные траблы вылазили в cache.log, щас все рулит!
>все на самом деле очень просто (это написано на samba.org)
>1 при сборке не надо --with-samba-sources=/....
>2 сквид не умеет использовть winbind_group хелпер от самба3, надо использовать перловый
>врапер wbinfo_group
>3 и, в заключение, кусок конфига сквида:
>
>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>
>external_acl_type NT_global_group %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
>
>у меня все работает, удачи.
кажется поЛУЧИЛОСЬ!!!
Теперь вот вопрос на сколько быстро это все будет работать???
Смогут 150 человек одновремено через кеш работать без трмозов?
>>все на самом деле очень просто (это написано на samba.org)
>>1 при сборке не надо --with-samba-sources=/....
>>2 сквид не умеет использовть winbind_group хелпер от самба3, надо использовать перловый
>>врапер wbinfo_group
>>3 и, в заключение, кусок конфига сквида:
>>
>>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>>
>>external_acl_type NT_global_group %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
>>
>>у меня все работает, удачи.
>
>
>кажется поЛУЧИЛОСЬ!!!
>Теперь вот вопрос на сколько быстро это все будет работать???
>Смогут 150 человек одновремено через кеш работать без трмозов?На самом деле все еще гораздо проще :))) надо, в файлах, там где при компиляции ошибки, испнавить domain на domain_name :) и все. В Самбе 3 поменяли имена полей в структуре вот и все :)) вот тока зачем???
>>>все на самом деле очень просто (это написано на samba.org)
>>>1 при сборке не надо --with-samba-sources=/....
>>>2 сквид не умеет использовть winbind_group хелпер от самба3, надо использовать перловый
>>>врапер wbinfo_group
>>>3 и, в заключение, кусок конфига сквида:
>>>
>>>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>>>
>>>external_acl_type NT_global_group %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
>>>
>>>у меня все работает, удачи.
>>
>>
>>кажется поЛУЧИЛОСЬ!!!
>>Теперь вот вопрос на сколько быстро это все будет работать???
>>Смогут 150 человек одновремено через кеш работать без трмозов?
>
>На самом деле все еще гораздо проще :))) надо, в файлах, там
>где при компиляции ошибки, испнавить domain на domain_name :) и все.
>В Самбе 3 поменяли имена полей в структуре вот и все
>:)) вот тока зачем???Угу спасибо.
Как буду собирать заново попробую...:)
>все на самом деле очень просто (это написано на samba.org)
>1 при сборке не надо --with-samba-sources=/....
>2 сквид не умеет использовть winbind_group хелпер от самба3, надо использовать перловый
>врапер wbinfo_group
>3 и, в заключение, кусок конфига сквида:
>
>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>
>external_acl_type NT_global_group %LOGIN /usr/local/squid/libexec/wbinfo_group.pl
>
>у меня все работает, удачи.У меня все тоже работает, но я б добавил на всякий для народа:
acl aclname externel NT_global_group Needed_NT-Group_Name
ну и
http_access allow aclnameи кто пользует дилэй пулы, не забыть и туда вписать.
Кому совсем с этим туго - кричите, брошу своим конфигом, только не ждите коментов :-).
И кста, сначала можно попробовать проверить врапер-винбайнд-самбу-КД:
# ./wbinfo_group.pl
ЮзерВГруппе ИмяДомена+ИмяГруппы
OK
ЮзерНеИзГруппы ИмяДомена+ИмяГруппы
ERR
ЮзерВГруппе ИмяГруппы
OK
Все остальное
ERR