Aleksey Keda привел пример (http://www.lissyara.su/?id=1375) настройки прокси сервера squid под FreeBSD, с управлением доступом пользователей через Active Directory.URL: http://www.lissyara.su/?id=1375
Новость: http://www.opennet.me/opennews/art.shtml?num=12691
Сквид помоему самый документированный проект в мире :D
зачем сквиду райд? он прекрасно сам пользует отдельные диски.
Зачем пользователю вообще интернет с такими политиками доступа в глобальную сеть, когда большинство "интересных ресурсов" закрыто ??
Вапросы:1. При добавлении или удалении пользователя из группы, необходимо сделать reload скиду, потому как не подхватывает он изменения группах "на лету". Скорей всего дело в кеше. По-моему сам winbind кеширует ответы, во всяком случае вот что пишет в лог при релоаде сквида:
[2007/10/29 11:49:00, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2222)
initialize_winbindd_cache: clearing cache and re-creating with version number 1как решаете? может поможет, что-то вроде "auth_param ntlm credentialsttl 2 min"?
2. cachemgr может показывать статистику использования ntml children's. Для 200 активных пользователей используются максимум только 7-мь процессов одновременно.
Почему "auth_param ntlm children 30"? Как выбрали значение 30?
3. Смысл керберос в Вашей конфигурации? Зачем самба с ads? Прекрасно работает просто ldap-авторизация в АД. (это не критика, а конкретный вопрос :) ).
Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный - настраиваю керберос аутентификацию везде, где это воможно : )
>Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный
>- настраиваю керберос аутентификацию везде, где это воможно : )Может вам и jabber удалось победить?
>>Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный
>>- настраиваю керберос аутентификацию везде, где это воможно : )
>
>Может вам и jabber удалось победить?а с этим какие-то проблемы?
гораздо интереснее было бы прикрутить керберос к thunderbird & firefox
чтобы, например, не вводить пароли для адресной книги в LDAP и для доступа в инет через сабж
>>>Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный
>>>- настраиваю керберос аутентификацию везде, где это воможно : )
>>
>>Может вам и jabber удалось победить?
>
>а с этим какие-то проблемы?У джаббера проблемы с клиентами. К примеру tkabber интерпретирует доменное имя в JID как имя сервера. Т.е. имя сервера на котором крутится джаббер должно быть просто именем домена. Но в результате возникают проблемы с именами принципалов. Вот как это выглядит:
http://www.opennet.me/openforum/vsluhforumID1/75093.html
Если вам удалось это решить, то хотелось бы узнать каким образом?
>
>гораздо интереснее было бы прикрутить керберос к thunderbird & firefox
>чтобы, например, не вводить пароли для адресной книги в LDAP и для
>доступа в инет через сабжАдресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2. Так что про Kerberos там можно забыть.
Firefox настраивается правкой about:config и добавлением туда :
network.negotiate-auth.trusted-uris http://,https://
network.negotiate-auth.delegation-uris http://,https://
Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от KerberosForWindows от MIT.
>[оверквотинг удален]
>
>У джаббера проблемы с клиентами. К примеру tkabber интерпретирует доменное имя в
>JID как имя сервера. Т.е. имя сервера на котором крутится джаббер
>должно быть просто именем домена. Но в результате возникают проблемы с
>именами принципалов. Вот как это выглядит:
>
>http://www.opennet.me/openforum/vsluhforumID1/75093.html
>
>Если вам удалось это решить, то хотелось бы узнать каким образом?
>да, оказывается в последний раз когда копался в ejabberd, делал все через ЛДАП
ну, по этой известной статейке
http://realloc.spb.ru/share/ejabberd112ad.html
так и не поборол глюк последний, когда мог авторизоваться только один единственный юзер
остальные получали отлуп...>[оверквотинг удален]
>
>Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2.
>Так что про Kerberos там можно забыть.
>
>Firefox настраивается правкой about:config и добавлением туда :
>network.negotiate-auth.trusted-uris http://,https://
>network.negotiate-auth.delegation-uris http://,https://
>Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги
>с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от
>KerberosForWindows от MIT.а как это организовать со стороны сквида?
>[оверквотинг удален]
>>Так что про Kerberos там можно забыть.
>>
>>Firefox настраивается правкой about:config и добавлением туда :
>>network.negotiate-auth.trusted-uris http://,https://
>>network.negotiate-auth.delegation-uris http://,https://
>>Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги
>>с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от
>>KerberosForWindows от MIT.
>
>а как это организовать со стороны сквида?Про сквид не знаю. Я пытался разобраться в их помойке модулей авторизации, но безрезультатно. В качестве простого кэширующего прокси с single-sign-on могу порекоммендовать apache.
>Про сквид не знаю. Я пытался разобраться в их помойке модулей авторизации,
>но безрезультатно. В качестве простого кэширующего прокси с single-sign-on могу порекоммендовать
>apache.Посмотрите на последние релизы squid - там уже все есть.
>[оверквотинг удален]
>
>Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2.
>Так что про Kerberos там можно забыть.
>
>Firefox настраивается правкой about:config и добавлением туда :
>network.negotiate-auth.trusted-uris http://,https://
>network.negotiate-auth.delegation-uris http://,https://
>Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги
>с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от
>KerberosForWindows от MIT.УРА!!!
https://bugzilla.mozilla.org/show_bug.cgi?id=325396
https://bugzilla.mozilla.org/show_bug.cgi?id=308118
процесс пошел...
LDAP - это информационно-справочная служба, а не протокол удаленной аутентификации в отличии от Kerberos. Во-вторых, Kerberos удобен, поскольку позволяет Single-sign-on - зарегистрировался в системе один раз, а потом с помощью полученных сертификатов получаешь доступ ко всем сетевым службам.
> По-моему сам winbind кеширует ответыman(8) winbindd
-n Disable caching. This means winbindd will always have to
wait for a response from the domain controller before it
can respond to a client and this thus makes things slower.
The results will however be more accurate, since results
from the cache might not be up-to-date. This might also
temporarily hang winbindd if the DC doesn't respond.
Безусловно. :)Только некошерно (как-по-мне) выключать кеширование насовсем. Вот в связи с энтим и, так сказать, интересуюсь.
>># те кто ходят неавторизованнымиМожет лучше неавторизованных товарищей авторизовывать еще и по маку?
Есть советы, от которых вреда больше, чем пользы.Зачем понадобилась настройка winbind? ПОлучить билетик на старте? Но можно было сделать и прямее, через kerberos-enabled login, который в состав пакета kerberos входит, а кроме того к теме настройки прокси-сервера никаким боком не относится.
Во-вторых, сквид настроен через ntlm-аuth, т.е. старый протокол, который M$ только из жалости оставляет в AD. Автор мог бы честносказать, что сквид не работает с AD по протоколу Kerberos, и для этой цели рекомендуется использовать альтернатичные продукты, такие как apache.
>>Старая была на линухе, что не есть гуд - моё отношение к помойке хоршо известно
>>Итак, задача - на правильной ОС поднять правильно настроенную проксюдальше можно не читать, красноглазый заболел графоманством
хотя я дочитал, ничего нового, всё это есть в доках тут-же на сайте.
итог: лишняя лишняя бесполезная ссылка в поиске. неудачно поданный материал.
не скажи обсуждение довольно интересное
> Итак, задача - на правильной ОС поднять правильно >настроенную проксю - т.е. авторизация в AD.
>Под это дело был выделен сервак - HP Proliant 380 G3, 2 >ксенона по 3 чтоли гигарца,мдя....правильная операционка оказывается на рэйде с ксеонами работает... для прокси...мдя.
А есчо для ентерпрайзы изпользуеться нестабильный сквид 3, тока через него квип не работает.
В общем резюме: даже если отбросить понты автора, сомнительно для использования.
>мдя....правильная операционка оказывается на рэйде с ксеонами работает... для прокси...мдя.старая прокся - 4 пень на 3 гигагерца.
Загрузка стабильно висит на 40-60%
Это на 6 сотнях юзеров. С учётом планирующегося роста, и того что контора не экономит на железе - считаю железку правильным выбором. Тем боле что предлагали 6 по 140G 15k - вот на этом я тоже решил что будет жирно.
>А есчо для ентерпрайзы изпользуеться нестабильный сквид 3, тока через него квип не работает.Сквид третий использовался в процессе тестов - с учётом одинакового конфига 2.6 и 3.0 - подо что писать - значения не имело. В продакшен идёт именно 2.6.
А квип - ну что ж сделаешь что если у 95% юзеров которым разрешена аська стоит именно он? :)
>В общем резюме: даже если отбросить понты автора, сомнительно для использования.Напиши лучше. Никто ж не запрещает :)
=========
а вот 30 чилдренов - число полученное опытным путём на старой проксе - пока тупо перенесено, потом допилится.
Что могу точно сказать - что на одном чилдрене при двух-трёх одновременно молотящих F5 юзерах - подлагивает.
40%-60% на ксеоне - это ОЧЕНЬ много. Может что-то у Вас не так?давайте сравним:
данные
-----------------
две сотни пользователейmodel name : Intel(R) Celeron(R) CPU 2.00GHz
Memory: 508000k/516032k availablecache_dir ufs /var/cache/squid 10000 256 256
cache_swap_low 95
cache_swap_high 98
------------------Размер access.log за месяц - 1.2G .. 1.5G
Загрузка 0%.
Я не померятся, мне интересно откуда у Вас такая нагрузка.
А понял. "Старая прокся три гигагерца" - это на ней загрузка 40-60. Все равно многовато.
>А понял. "Старая прокся три гигагерца" - это на ней загрузка 40-60.
>Все равно многовато.Рамы маловато, дисковая слабая, сквидгард перегруженный - туда, помоему, пихнули всё что нашли в инете, и т.п...
Ну и ОС неправильный :)
========
Вот честно - не рыл и не имею желания рыть - тот случай когда проще снести не разбираясь.
>А есчо для ентерпрайзы изпользуеться нестабильный сквид 3, тока через него
>квип не работает.а кто мешает заNATить порт 5190? и все прекрасно работает в 3 сквиде
а по поводу железа-рейд (особенно страйп) необходим при большом количестве пользователей.
особенно если отключить буферизацию логов в сквиде.
Ахинея редкостная. Кэш должен лежать на ram-диске. И загрузки заоблачной не будет, и RAID не нужен.
У вас squid на сетку из трех человек, которые ходят на десяток сайтов? Тогда да, вам кеш и в память можно. А 30-100 GB кеш тоже на ramdisk предложите поместить?
150 человек, кеш на 7Гб, вполне хватает. 10Мбит канал.
Ахинея редкостная
>Ахинея редкостная. Кэш должен лежать на ram-диске. И загрузки заоблачной не будет,
>и RAID не нужен.Ну а если очень хорошо подумать, то даже в такой конфигурации для памяти можно найти лучшее применение, чем ram-диск :)
Люди, подскажите мне плиз...не могу никак понять что в конфиге squid отвечает за авторизацию пользователей в AD.У меня FreeBSD 8.1, введена в домен, wbinfo работает.
Мне нужно что бы пользователь ходил в инет через squid без ввода логина и пароля, чтобы squid цеплял пользователей и группы из AD и сам знал кому можно в инет, кому нет...
Я уже совсем запутался...может какой-нить самый простой примерчик...