URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 4670
[ Назад ]

Исходное сообщение
"Тематический каталог: Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"

Отправлено auto_topic , 22-Ноя-04 20:35 
Обсуждение статьи тематического каталога: Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)

Ссылка на текст статьи: http://www.opennet.me/base/net/squid_win200_auth.txt.html


Содержание

Сообщения в этом обсуждении
"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Hedgehog57 , 22-Ноя-04 20:35 
Пара комментариев. Я использую
эти схемы уже год. Но под Linux. Сейчас стоит

samba 3.0.7
squid-2.5-stable-5

Хелперы были оба. В данный момент перешел на хелпер из samba - он во многом более адекватный.

1. Что касается прав доступа до winbind_privileged
Я только не помню кто, но при задаче прав 0777, этот кто-то (вроде winbind) не запускается и ругается на права. Благо у меня XFS. Я просто добавил ACL для доступа пользователя SQUID.

2. Эта схема к сожалению не работает локально. То-есть авторизация работает, а вот проверка пользователя в группе не работает. Но связано это с тем, что winbind не хочет локально выдавать информацию о группах. Приходится группы отдельно проверять через squid_unix_group. Я ее немного правил как раз для того, чтобы пользователи передавались без доменной части.


"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено arachnid , 23-Ноя-04 10:43 
а не может быть 2 связанно с локальностью/глобальностью группы, которую ты завел в домене? проверка (хелпером сквида) проходит нормально только в глобальных группах.

"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Dimez , 22-Ноя-04 23:15 
Надо поменять группу на root:squid(с root:root) на /var/cache/samba/winbindd_privileged и всё будет работать

"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено Dimka , 05-Июн-05 21:30 
>Надо поменять группу на root:squid(с root:root) на /var/cache/samba/winbindd_privileged и всё будет работать
>


а есди у меня нет такой группы!?
и Squid STABLE10? что тогда?


"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено Nichls , 06-Июн-05 10:27 
>>Надо поменять группу на root:squid(с root:root) на /var/cache/samba/winbindd_privileged и всё будет работать
>>
>
>
>а есди у меня нет такой группы!?
>и Squid STABLE10? что тогда?

Должна быть группа nobody. Ее и указывай, ибо как правило под этим юзером Кальмар и стартует.



"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено arruah , 23-Ноя-04 08:09 
имхо намного гибче было бы авторизацию делать через openldap

"Тематический каталог: Авторизация Windows-пользователей в SQ..."
Отправлено arachnid , 23-Ноя-04 10:46 
>Обсуждение статьи тематического каталога: Авторизация Windows-пользователей в SQUID на основе их доменных
>аккаунтов (squid auth win)
>
>Ссылка на текст статьи: http://www.opennet.me/base/net/squid_win200_auth.txt.html

хорошая статья! наконец то появлся материал, обобщающий инфу по авторизации через групы! которого,кстати, почему то нет на радном сайте сквида. только вроде в форумах (жаль, что она не вышла неделю назад :)


"Тематический каталог: Авторизация Windows-пользователей в SQ..."
Отправлено Nichls , 23-Ноя-04 16:21 
Журнал пришел неделю назад :)

"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Nichls , 23-Ноя-04 16:17 
Приятно, что статью опубликовали, не зря сканировал и правил. Надеюсь, что автор меня за это не засудит. (Не смог я сним связаться)

Лично мне помогла именно эта статья (правда осталась одна проблема). Все остальное, что нашел в Сети, не слишком-то помогло (может изложено не совсем нормальным языком :)

PS читайте журнал "Системный Администратор", это статья из октябрьского номера.


"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Nichls , 23-Ноя-04 17:39 
Единственное, что не заработало (не понятно мне, почему), так это автоматическая авторизация в IE.

Постоянно просит логин\пароль.

В качестве winbind separator = \ и он закоментарен.
в squid.conf прописано

auth_param ntlm program /usr/local/bin/ntlm_auth
        --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5

    auth_param ntlm max_challenge_reuses 0 auth_param ntlm
    max_challenge_lifetime 2 minutes

    auth_param basic program /usr/local/bin/ntlm_auth
        --helper-protocol=squid-2.5-basic auth_param basic children 5

    auth_param basic realm Squid proxy-caching web server auth_param basic redentialsttl 2 hours

В Сети написано, что это иза того, что стоит IE 6.0 , но я проверил это на Wun2K+IE 5.0 и все равно просит логин\пароль.

Как это вылечить?


"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено arachnid , 24-Ноя-04 10:51 
а какая самба? 3? судя по конфигу...

при использовании самбы 2.2 и сквида 2.5 все работает со всеми браузерами...
статья до работы с группами повторяет фак http://www.squid-cache.org/Doc/FAQ/FAQ-23.html#ss23.2, проверь по нему на всякий случай...
хелпер лежит, где указанно?


"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено Nichls , 24-Ноя-04 16:04 
samba 3.0.8

auth_param ntlm program /usr/local/samba/bin/ntlm_auth  --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0 auth_param ntlm
max_challenge_lifetime 2 minutes

auth_param basic program /usr/local/samba//bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5

И если запустить проверку хелпера, как лписано в статье - все работает.

IE же спрашивает логин\пароль (WinXP SP2\IE 6.0 и Win2K SP4\IE 5.0).
Если это проблема не решается, то все остальное не имеет смысла.

Как это можно решить?
Все пишут в Сети, что все работает, но как задашь вопрос - в ответ тишина.


"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Grab , 23-Ноя-04 19:42 
А с точки зрения безопастности, правильно ли Samba Server на шлюзе (гейте). Я так думаю, что это не верно.

"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено arachnid , 24-Ноя-04 10:53 
>А с точки зрения безопастности, правильно ли Samba Server на шлюзе (гейте).
>Я так думаю, что это не верно.

сомнения в студию! :)


"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено Nichls , 24-Ноя-04 13:43 
Это зависит от того, как построена сеть. У нас все на Cisco, посему это не важно. ИМХО.

"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено atomic , 29-Ноя-04 12:59 
Что-то не получается настроить докачку FlashGet как для http так для ftp. Подскажите что в докачке надо прописать, какой тип прокси и надо ли вписывать доменное имя пользователя и пароль?

"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Nichls , 30-Ноя-04 19:53 
Народ, неужели никто не подскажет, как заставить IE  не спрашивать логин/пароль при выходе в Интернет.

Из-за этой неприятности нет смысла внедрять данную вещь.


"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Nichls , 02-Дек-04 14:32 
Народ, неужели никто не подскажет, как заставить IE  не спрашивать логин/пароль при выходе в Интернет.

Из-за этой неприятности нет смысла внедрять данную вещь.


"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено drurus , 06-Дек-04 12:56 
FlashGet не поддерживает NTLM аутентификацию.
от запроса пароля спасло переустановка прав на winbindd_privileged, а задание группы squid будет работать ведь если сквид запускается от имени пользователя этой группы.
samba.sh:
chmod 750 /usr/local/samba/var/locks/winbindd_privileged
"запуск самбы"
chmod 755 /usr/local/samba/var/locks/winbindd_privileged

"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Nichls , 02-Дек-04 18:48 
Вроде поборол.

Теперь при выходе в Интернет IE, если пользователь добавлен в определенную группу, есть выход в Сеть, в противном случае - отказ.

Вот мой конфиг:

squid.conf

#============================================== VARIANT WITH GROUP ======================================
    auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMAIN\\proxy-users"
    auth_param ntlm children 5
    auth_param ntlm max_challenge_reuses 0
    auth_param ntlm max_challenge_lifetime 2 minutes

    auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MYDOMAIN\\proxy-users"
    auth_param basic children 5
    auth_param basic realm Squid proxy-caching web server
    auth_param basic credentialsttl 2 hours
#============================================== VARIANT WITH GROUP ======================================

#============================================== VARIANT WITH GROUP ======================================
    acl NTLMauth        proxy_auth      REQUIRED
    http_access         allow           NTLMauth
#============================================== VARIANT WITH GROUP ======================================

smb.conf

       [global]
       workgroup = MYDOMAIN
       netbios name = piton
       server string = piton.mydomain.ru
       hosts allow = 10. 127.
#       winbind separator=+
       winbind use default domain = yes
       winbind uid = 10000-20000
       winbind gid = 10000-20000
       winbind enum users = yes
       winbind enum groups = yes
       template homedir = /home/winnt/%D/%U
       template shell = /bin/bash
       max log size = 50
       security = domain
       password server = srv1 srv3
       encrypt passwords = yes

squid собирался с опциями:
./configure --enable-auth="basic ntlm" --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind" --with-external-acl-helpers="wbinfo_group"

samba - как указано в начале статьи.

FreeBSD 4.10
samba-3.0.8
squid-2.5.STABLE6

Единственное, что осталось не понятно, так почему в access.log squid'a, если доступ запрещен, не пишется имя пользователя (только IP машины), который ломился в интернет:
1102000944.430      8 10.66.64.230 TCP_DENIED/407 1699 GET http://mail.ru/ - NONE/- text/html


"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено bardak , 26-Янв-05 11:55 
Samba 3.0.9 и Squd 2.5.STABLE7

В конфиге squid.conf:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmss --require-membership-of="DOMAIN+User"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-bassic --require-membership-of="DOMAIN+User"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

Пробую провести проверку хелпера, как описано в статье выдает сообщение об ошибке:
[2005/01/26 12:51:54, 10] utils/ntlm_auth.c:manage_squid_request(1609)
  Got 'test' from squid (length: 4).
[2005/01/26 12:51:54, 2] utils/ntlm_auth.c:manage_squid_basic_request(718)
  Password not found. Denying access

В чем причина?


"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено Dmitry , 17-Мрт-05 15:16 
Прикольно, конечно samba-3.0.11, squid-2.5.9, FreeBSD 5.3-STABLE. Если писать
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmss
Все работает.

А Вот если
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmss --require-membership-of="DOMAIN+User"

Фиг вам и wblog такая ошибка валится:
[2005/03/17 15:11:09, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(261)
  [14851]: request interface version
[2005/03/17 15:11:09, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(297)
  [14851]: request location of privileged pipe
[2005/03/17 15:11:09, 3] nsswitch/winbindd_misc.c:winbindd_info(248)
  [14851]: request misc info
[2005/03/17 15:11:09, 5] nsswitch/winbindd.c:winbind_client_read(477)
  read failed on sock 19, pid 14851: EOF
[2005/03/17 15:11:09, 5] nsswitch/winbindd.c:winbind_client_read(477)
  read failed on sock 20, pid 14851: EOF

wbinfo все находит, ntlm_auth руками авторизируется нормально. Протокол в самбе битый? Али сквид плохо рулит?


"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Владимир , 07-Апр-05 15:27 
такой вопрос немного не хватает гибкости,
обычно надо в нет пускать всех, а например какой-то отдел не пустить (группу) можно конечно блокировать по одному занеся 20 юзеров в конфиг-файл сквида (или внешний файл не важно )
можно добавить 1000 пользователей в группу прокси юзерс, а 20 не добавить, тоже мне вариант, а если у вас два домена???, абзац.

а можно просто добавить строку
acl badgroup MYDOMAIN/my_group
http_access deny badgroup
вот такая функциональностьесть????
вот этого решения хотелось бы :(
мож кто прикрутил?


"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено Nichls , 17-Май-05 14:45 
>такой вопрос немного не хватает гибкости,
>обычно надо в нет пускать всех, а например какой-то отдел не пустить
>(группу) можно конечно блокировать по одному занеся 20 юзеров в конфиг-файл
>сквида (или внешний файл не важно )
>можно добавить 1000 пользователей в группу прокси юзерс, а 20 не добавить,
>тоже мне вариант, а если у вас два домена???, абзац.
>
>а можно просто добавить строку
>acl badgroup MYDOMAIN/my_group
>http_access deny badgroup
>вот такая функциональностьесть????
>вот этого решения хотелось бы :(
>мож кто прикрутил?

sams.irc.perm.ru

Правда я с бубдном до сих пор скачу :) но вещь интересная


"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Vovann , 09-Июн-05 16:55 
Сделал почти всё как во всевозможных мануалах и на данный момент имею следущий результат: при запуске squid Parsing Config File:Unknown authentication scheme 'ntlm'. Шо ето значить?  По поводу прав на /var/db/samba/winbindd_privileged- нету у меня группы squid, меняю владельца на nobody- перестаёт запускаться winbindd. Вот такая вот печальная история

"Авторизация Windows-пользователей в SQUID на основе их домен..."
Отправлено Nichls , 11-Июн-05 10:09 
>Сделал почти всё как во всевозможных мануалах и на данный момент имею
>следущий результат: при запуске squid Parsing Config File:Unknown authentication scheme 'ntlm'.
>Шо ето значить?  По поводу прав на /var/db/samba/winbindd_privileged- нету у
>меня группы squid, меняю владельца на nobody- перестаёт запускаться winbindd. Вот
>такая вот печальная история

Скорей всего у тебя squid собран без ntlm.

Выполни ./configure --help | less и прочти. Там все написано. Если что не понятно - пиши. Когда сам делал - все по шагам написал - могу помочь.

Есть такая команда - find :)
find / | grep "winbindd_privileged" - самый простой способ.
Если у тебя FreeBSD - то этот каталог живет где-то тут: /usr/local/samba/var/lock/winbindd_privileged - пишу по памяти, но точно в каталоге Samba.

Пиши. На себе убедился, что работает, хотя по началу полно было ошибок.


"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Basmach , 02-Мрт-06 00:00 
По поводу прав на /var/db/samba/winbindd_privileged
Тут нужна именно группа squid и никакая другая. Прочитать можно тут http://www.squid-cache.org/Doc/FAQ/FAQ-23.html#ss23.5 и тут http://samba.org/samba/docs/man/manpages-3/winbindd.8.html

"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено naas , 19-Июн-07 16:07 
вроде все заработало, но как-то странно: в браузере при авторизации приходится вводить домен+имя, тогда работает. как обойтись без ввода домена?

"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Dzirt , 04-Июл-08 11:37 
Нашол пару неточностей! Может их специально внесли что б народ копи -пастом не страдал )))

Но как по мне такие вещи отпугивают начинающих.

И так!

первая неточность заключается в строках

    acl NTLMauth http_access
    proxy_auth allow
    REQUIRED NTLMauth

незнаю что это автор пытался написать но работать оно не будет.

мой вариант работает 100% я проверял на трех разных серверах

acl server proxy_auth REQUIRED
http_access allow server

слова похожи но порядок неправельный )))

дальше захотелось мне проверять принадлежность к группе.

добавил в конфиг

external acl type ntgroup concurrency=5%LOGIN /usr/local/libexec/wbinfo_group.pi

ну я незнаю ачепятка это или задумка автора но сразу в глаза кидается

wbinfo_group.pi

ну как минимум должно быть

wbinfo_group.pl

ну да ладно ачепятки бывают у всех, я сам не без греха ))

Но у меня все равно не работало. Я полез вычитывать дефолтовый конфиг, и сразу же понял в чем проблема.

давайте сравним строки:

авторская
external acl type ntgroup concurrency=5%LOGIN /usr/local/libexec/wbinfo_group.pi

моя
external_acl_type ntgroup concurrency=5 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

називается найди различия )).


"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено Петр , 15-Авг-08 12:04 
wbinfo_group без perl

#!/bin/sh

while read USERNAME GROUPNAME
do

        if  [ -z $USERNAME ] || [ -z $GROUPNAME ] ; then
                echo ERR
        else
                SID=`wbinfo -n $GROUPNAME 2>/dev/null ` &&  \
                GID=`wbinfo -Y $SID       2>/dev/null ` && \
                wbinfo -r $USERNAME 2>/dev/null | grep -q $GID && \
                echo OK || echo ERR
        fi
done


"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено genyas , 01-Июн-10 15:32 
Хорошая статейка , тока вот у меня вопрос тут нарисовался на горизонте , есть домен и есть под домены , пробую через helper по группе авторизовывать , --mebership-of и т.д все работает . все отлично  но получается что я не могу использовать другие группы , но зато работает авторизация через домен и через его поддомены , то бишь mos.comp.ru и copm.ru . А если есть группы , как быть , раньше использовался wbinfo-group.pl , была выборка по группам , но в этом случаи отваливалась авторизация в поддомене .Так как же объединит авторизацию в домене и поддомене с авторизации еще и по группам ??

"Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов (squid auth win)"
Отправлено genyas , 02-Июн-10 17:00 
Усе тема закрыта , сам разобрался , просто надо филтр подправить в wbiinfo-group.pl что бы он еще и поддомен выбирал .