forum.opennet.ru - "squid 2.5 stable7 и wbinfo

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"squid 2.5 stable7 и wbinfo_groups.pl"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"squid 2.5 stable7 и wbinfo_groups.pl"
Сообщение от muha on 22-Окт-04, 10:02 (MSK)
Здравствуйте. Задача состоит в том, чтобы с помощью связки самба+squid и внешнего хелпера wbinfo_groups.pl разрешать пользователям в группе домен контроллера на win2003 server доступ в интернет. Причем сделать это прозрачно, т.е. чтобы пользователь не вводил никаких паролей. Самба и сквид стоят последние и собраны с поддержкой wb_group, wbinfo_groups и т.д. После редактирования перловского скрипта он стал работать как и нужно сквиду, т.е. читает из STDIN username и DC_group и отдает результат в виде OK или ERR. В конфиге сквида я убрал все ntlm и basic auth_*, пытаюсь добавить external_acl и меня постигает неудача. Есть ли возможность прозрачно подключить внешний хелпер wbinfo_groups.pl без использования ntlm и basic авторизаций? Что и где я делаю не так? P.S. В инете перерыл и родные самба форумы и сквидовские, что помогло правильно пропатчить сам перловый скрипт. А вот как его подключть... Ума не приложу. P.S.S. В яндексе, гугле на запрос по wbinfo_groups.pl в одной из статей написано: "Много вопоросов было как авторизовать опреленные группы из Wondows домена. Господин с ником "debosh2k" разъясняет: Для авторизации групп - --enable-external-acl-helpers="winbind_group" (это при компилировании SQUID) далее идем в $src/helpers/external_acl/winbind_group и читаем readme. Пишем три строки в конфге (SQUID) и тащимся. PS. Есть еще wbinfo_group тамже - враппер на перле. " Так а где же взять эти три строки? Ведь у сквида я не нашел заветного readme для хелпера.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

squid 2.5 stable7 и wbinfo_groups.pl, Black_Dragon, 13:38 , 22-Окт-04, (1)
- squid 2.5 stable7 и wbinfo_groups.pl, muha, 18:51 , 22-Окт-04, (2)
  - squid 2.5 stable7 и wbinfo_groups.pl, muha, 17:43 , 25-Окт-04, (3)
    - squid 2.5 stable7 и wbinfo_groups.pl, Konstantin, 12:00 , 30-Ноя-04, (4)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "squid 2.5 stable7 и wbinfo_groups.pl"

Сообщение от Black_Dragon (ok) on 22-Окт-04, 13:38  (MSK)

Вот кусок
(-enable-external-acl-helpers=wbinfo_group)
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 20
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
ntlm_auth это не от сквида а от самбы
external_acl_type NT_GROUP %LOGIN /usr/lib/squid/wbinfo_group.pl
acl Inet_ports port 80 # http
acl Inet_ports port 21 # ftp
acl Inet_ports port 443 563 # https, snews
acl Inet_ports port 70 # gopher
acl Inet_ports port 210 # wais
acl Inet_ports port 280 # http-mgmt
acl Inet_ports port 488 # gss-http
acl Inet_ports port 591 # filemaker
acl Inet_ports port 777 # multiling http
acl Inet_port port 28805 # WinXP Games

acl admins external NT_GROUP DOMAIN\ISA-UNLIMITED
acl isa-internet external NT_GROUP DOMAIN\ISA-INTERNET
http_access allow admins
http_access allow Inet_ports isa-internet
http_access deny all

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "squid 2.5 stable7 и wbinfo_groups.pl"

Сообщение от muha on 22-Окт-04, 18:51  (MSK)

Спасибо.
Теперь я понял, что проблема была в том, что я не использовал ntlm и basic параметров. Сделал так, как у вас. Вылетает окно для аутентификации, но ntlm_auth вместо OK или ERR выдает BH. Если в конфиге squid'a оставить только basic - работает, выскакивает окно для ввода имени и пароля, и если все ок, т.е. юзер в моей группе, - он в инете.
Не подскажете, по каким причинам может вылетать BH? Компилировал последний kerberos, сама самба с параметрами --with-ads --with-ldap --with-winbind --with-krb5 --with-ldapsam --with-acl-support (два последних на будущее).

Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "squid 2.5 stable7 и wbinfo_groups.pl"

Сообщение от muha on 25-Окт-04, 17:43  (MSK)

А что самое интересное, так это то, что скомпилированая самба с
--with-all работает на ура. Так что как я понял, проблема в отсутствии какого-то ключа при сборке.

Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "squid 2.5 stable7 и wbinfo_groups.pl"

Сообщение от Konstantin (??) on 30-Ноя-04, 12:00  (MSK)

>А что самое интересное, так это то, что скомпилированая самба с
>--with-all работает на ура. Так что как я понял, проблема в отсутствии
>какого-то ключа при сборке.

слушай, у меня тоже самое, но даже с with-all не проходит
у тебя какая самба?

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "squid 2.5 stable7 и wbinfo_groups.pl"
Сообщение от Black_Dragon (ok) on 22-Окт-04, 13:38 (MSK)
Вот кусок (-enable-external-acl-helpers=wbinfo_group) auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 20 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 20 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours ntlm_auth это не от сквида а от самбы external_acl_type NT_GROUP %LOGIN /usr/lib/squid/wbinfo_group.pl acl Inet_ports port 80 # http acl Inet_ports port 21 # ftp acl Inet_ports port 443 563 # https, snews acl Inet_ports port 70 # gopher acl Inet_ports port 210 # wais acl Inet_ports port 280 # http-mgmt acl Inet_ports port 488 # gss-http acl Inet_ports port 591 # filemaker acl Inet_ports port 777 # multiling http acl Inet_port port 28805 # WinXP Games acl admins external NT_GROUP DOMAIN\ISA-UNLIMITED acl isa-internet external NT_GROUP DOMAIN\ISA-INTERNET http_access allow admins http_access allow Inet_ports isa-internet http_access deny all
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "squid 2.5 stable7 и wbinfo_groups.pl"
	Сообщение от muha on 22-Окт-04, 18:51 (MSK)
	Спасибо. Теперь я понял, что проблема была в том, что я не использовал ntlm и basic параметров. Сделал так, как у вас. Вылетает окно для аутентификации, но ntlm_auth вместо OK или ERR выдает BH. Если в конфиге squid'a оставить только basic - работает, выскакивает окно для ввода имени и пароля, и если все ок, т.е. юзер в моей группе, - он в инете. Не подскажете, по каким причинам может вылетать BH? Компилировал последний kerberos, сама самба с параметрами --with-ads --with-ldap --with-winbind --with-krb5 --with-ldapsam --with-acl-support (два последних на будущее).
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "squid 2.5 stable7 и wbinfo_groups.pl"
	Сообщение от muha on 25-Окт-04, 17:43 (MSK)
	А что самое интересное, так это то, что скомпилированая самба с --with-all работает на ура. Так что как я понял, проблема в отсутствии какого-то ключа при сборке.
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "squid 2.5 stable7 и wbinfo_groups.pl"
	Сообщение от Konstantin (??) on 30-Ноя-04, 12:00 (MSK)
	>А что самое интересное, так это то, что скомпилированая самба с >--with-all работает на ура. Так что как я понял, проблема в отсутствии >какого-то ключа при сборке. слушай, у меня тоже самое, но даже с with-all не проходит у тебя какая самба?
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх