форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"squid samba ntlm"

Сообщение от Happy_demon (ok) on 29-Ноя-07, 13:42

Доброе время! есть настроенный свкид [root@bc /usr/local/etc]# cat squid/squid.conf | grep -v "^#" | grep -v "^$" dns_testnames localhost cache_access_log /usr/local/etc/squid/var/logs/access.log cache_store_log /usr/local/etc/squid/var/logs/store.log cache_log /usr/local/etc/squid/var/logs/cache.log mime_table /usr/local/etc/squid/mime.conf cache_dir ufs /usr/local/etc/squid/var/cache 100 16 256 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_store_log none pid_filename /usr/local/etc/squid/var/squid.pid auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours refresh_pattern ^ftp:           1440    20%     10080 refresh_pattern ^gopher:        1440    0%      1440 refresh_pattern .               0       20%     4320 acl 1 proxy_auth REQUIRED http_access allow 1 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80          # http acl Safe_ports port 21          # ftp acl Safe_ports port 20          # ftp acl Safe_ports port 443 563     # https, snews acl Safe_ports port 70          # gopher acl Safe_ports port 210         # wais acl Safe_ports port 1025-65535  # unregistered ports acl Safe_ports port 280         # http-mgmt acl Safe_ports port 488         # gss-http acl Safe_ports port 591         # filemaker acl Safe_ports port 777         # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports acl boss src "/usr/local/etc/squid/boss_ip" acl boss_url url_regex "/usr/local/etc/squid/boss_url" http_access allow boss boss_url http_access deny boss_url acl our_networks src 192.168.25.0/24 192.168.20.0/24 http_access deny all http_reply_access allow all icp_access allow all visible_hostname bc.domen.ru httpd_accel_port 80 httpd_accel_host virtual httpd_accel_with_proxy on httpd_accel_uses_host_header on logfile_rotate 32 error_directory /usr/local/etc/squid/errors/Russian-1251 coredump_dir /usr/local/etc/squid/var/cache всё работает. решил (ну как решил - мне решили) добавить ntlm аутентификацию. я так понимаю, что если в настройках IE сказать брать настройки автоматом - то запросы заварачиваются на сквид по следующему правилу 02310 fwd 192.168.25.2,3128 tcp from 192.168.25.0/24 to any dst-port 80,8080 in via rl1 02410 fwd 192.168.25.2,2121 tcp from 192.168.25.0/24 to any dst-port 21 in via rl1 и соответственно в логах сквида нет имени и домена юзверя. если же явным образом указать - идти через 192.168.25.2:80 - о чудо - в логах поячвляется пользователь и домен. вопрос в том - как сделать так чтобы не надо было указывать у каждого пользователя порт прокси? если всё же придётся делать это ручками - как этот процесс автоматизировать (ну там ключ реестра при загрузке им экспортировать или ещё как)? ну и до кучи - как запретить пользователям если они всё же снимут галку по поводу порта прокси заходить в интернет? Заранее спасибо

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "squid samba ntlm"

Сообщение от Junior (ok) on 29-Ноя-07, 14:27

> как этот процесс автоматизировать (ну там ключ реестра при загрузке им экспортировать или >ещё как)? ну и до кучи - как запретить пользователям если >они всё же снимут галку по поводу порта прокси заходить в >интернет? Заранее спасибо Можно сделать vbs-файл, который понимает винда, где указать параметры прокси: set wshShell = Wscript.CreateObject("WScript.Shell") prefix = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\" wshShell.regWrite prefix & "ProxyServer", "192.168.1.1:3128" wshShell.regWrite prefix & "ProxyEnable", 1 Добавить вызов этого файла пользователям в автозапуск (или чтобы при регистрации в домене он автоматом вызывался бы у каждого залогиненного клиента - папка netlogon) Параметры прокси пропиши по вкусу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "squid samba ntlm"
	Сообщение от Happy_demon (ok) on 29-Ноя-07, 15:41
	>> как этот процесс автоматизировать (ну там ключ реестра при загрузке им экспортировать или >Добавить вызов этого файла пользователям в автозапуск (или чтобы при регистрации в >домене >он автоматом вызывался бы у каждого залогиненного клиента - папка netlogon) >Параметры прокси пропиши по вкусу. Идея чудная, скрипт простейший, запись в реестре изменяется. А включаешь - не работает! т.е. я снял в IE галочки насчёт автоматического определения, да даже если с ними только если я вручную укажу в IE настройки прокси он бежит через него - и доменная инфа появляется в логах сквида. а по скрипту - он всё равно я так понимаю у него приоритет - шлюз, а на шлюза правило форвадинга - и нету в логах доменных данных. за скрипт конечно спасибо, но видимо это надо решать по другому. настройками прокси и шлюза. может есть ещё какие-нибудь идеи? буду ооочень признателен.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "squid samba ntlm"
	Сообщение от reader (ok) on 29-Ноя-07, 17:51
	>[оверквотинг удален] > >Идея чудная, скрипт простейший, запись в реестре изменяется. А включаешь - не >работает! т.е. я снял в IE галочки насчёт автоматического определения, да >даже если с ними только если я вручную укажу в IE >настройки прокси он бежит через него - и доменная инфа появляется >в логах сквида. а по скрипту - он всё равно я >так понимаю у него приоритет - шлюз, а на шлюза правило >форвадинга - и нету в логах доменных данных. за скрипт конечно >спасибо, но видимо это надо решать по другому. настройками прокси и >шлюза. может есть ещё какие-нибудь идеи? буду ооочень признателен. перед престованием к галочкам прочитайте про wpad.dat
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "squid samba ntlm"
	Сообщение от Happy_demon (ok) on 30-Ноя-07, 14:09
	>перед престованием к галочкам прочитайте про wpad.dat прочитал. ну это сильно. Надо настроить днс, настроить апач, накнопать wpad.dat сурово. а никак недьзя проще? всего то надо чтоб пользователи ходили через определённый порт. главное мне не понятно. если ломится на порт 3128 - доменные логи есть, если оставить по умалчанию - нет. Но ведь есть же правило форваинга по которому все эти запросы заворачиваются именно на порт 3128! так почему в логах всё раввно нет упоминания о домене? мне не понятно..
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "squid samba ntlm"
	Сообщение от reader (ok) on 30-Ноя-07, 15:08
	>>перед престованием к галочкам прочитайте про wpad.dat > >прочитал. ну это сильно. Надо настроить днс, настроить апач, накнопать wpad.dat сурово. >а никак недьзя проще? всего то надо чтоб пользователи ходили через >определённый порт. главное мне не понятно. если ломится на порт 3128 >- доменные логи есть, если оставить по умалчанию - нет. Но >ведь есть же правило форваинга по которому все эти запросы заворачиваются >именно на порт 3128! так почему в логах всё раввно нет >упоминания о домене? мне не понятно.. при прозрачном проксировании аутентификации не будет, браузер вить не знает что он идет через прокси, соответственно для того что бы видеть в логах то что вы хотите, браузерам нужно указать чтобы ходили через прокси. а вот как автоматизировать процесс прописывания вы и прочитали.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]