The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"OpenNews: Настройка squid с авторизацией в Active Directory"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от opennews (??) on 06-Ноя-07, 21:25 
Aleksey Keda привел пример (http://www.lissyara.su/?id=1375) настройки  прокси сервера squid под FreeBSD, с  управлением доступом пользователей через Active Directory.

URL: http://www.lissyara.su/?id=1375
Новость: http://www.opennet.me/opennews/art.shtml?num=12691

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Настройка squid с авторизацией в Active Directory"  +1 +/
Сообщение от exn (??) on 06-Ноя-07, 21:25 
Сквид помоему самый документированный проект в мире :D
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от Аноним on 06-Ноя-07, 21:58 
зачем сквиду райд? он прекрасно сам пользует отдельные диски.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от helloworld on 06-Ноя-07, 22:27 
Зачем пользователю вообще интернет с такими политиками доступа в глобальную сеть, когда большинство "интересных ресурсов" закрыто ??
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от sash (??) on 06-Ноя-07, 22:55 
Вапросы:

1. При добавлении или удалении пользователя из группы, необходимо сделать reload скиду, потому как не подхватывает он изменения группах "на лету". Скорей всего дело в кеше. По-моему сам winbind кеширует ответы, во всяком случае вот что пишет в лог при релоаде сквида:

[2007/10/29 11:49:00, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2222)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1

как решаете? может поможет, что-то вроде "auth_param ntlm credentialsttl 2 min"?

2. cachemgr может показывать статистику использования ntml children's. Для 200 активных пользователей используются максимум только 7-мь процессов одновременно.

Почему "auth_param ntlm children 30"? Как выбрали значение 30?

3. Смысл керберос в Вашей конфигурации? Зачем самба с ads? Прекрасно работает просто ldap-авторизация в АД. (это не критика, а конкретный вопрос :) ).

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от deepwalker (ok) on 07-Ноя-07, 06:03 
Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный - настраиваю керберос аутентификацию везде, где это воможно : )
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от geekkoo email(??) on 07-Ноя-07, 07:41 
>Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный
>- настраиваю керберос аутентификацию везде, где это воможно : )

Может вам и jabber удалось победить?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от fank on 08-Ноя-07, 15:46 
>>Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный
>>- настраиваю керберос аутентификацию везде, где это воможно : )
>
>Может вам и jabber удалось победить?

а с этим какие-то проблемы?

гораздо интереснее было бы прикрутить керберос к thunderbird & firefox
чтобы, например, не вводить пароли для адресной книги в LDAP и для доступа в инет через сабж

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от geekkoo email(ok) on 08-Ноя-07, 16:06 
>>>Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный
>>>- настраиваю керберос аутентификацию везде, где это воможно : )
>>
>>Может вам и jabber удалось победить?
>
>а с этим какие-то проблемы?

У джаббера проблемы с клиентами. К примеру tkabber интерпретирует доменное имя в JID как имя сервера. Т.е. имя сервера на котором крутится джаббер должно быть просто именем домена. Но в результате возникают проблемы с именами принципалов. Вот как это выглядит:

http://www.opennet.me/openforum/vsluhforumID1/75093.html

Если вам удалось это решить, то хотелось бы узнать каким образом?

>
>гораздо интереснее было бы прикрутить керберос к thunderbird & firefox
>чтобы, например, не вводить пароли для адресной книги в LDAP и для
>доступа в инет через сабж

Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2. Так что про Kerberos там можно забыть.

Firefox настраивается правкой about:config и добавлением туда :
network.negotiate-auth.trusted-uris http://,https://
network.negotiate-auth.delegation-uris http://,https://
Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от KerberosForWindows от MIT.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от fank on 08-Ноя-07, 17:54 
>[оверквотинг удален]
>
>У джаббера проблемы с клиентами. К примеру tkabber интерпретирует доменное имя в
>JID как имя сервера. Т.е. имя сервера на котором крутится джаббер
>должно быть просто именем домена. Но в результате возникают проблемы с
>именами принципалов. Вот как это выглядит:
>
>http://www.opennet.me/openforum/vsluhforumID1/75093.html
>
>Если вам удалось это решить, то хотелось бы узнать каким образом?
>

да, оказывается в последний раз когда копался в ejabberd, делал все через ЛДАП
ну, по этой известной статейке
http://realloc.spb.ru/share/ejabberd112ad.html
так и не поборол глюк последний, когда мог авторизоваться только один единственный юзер
остальные получали отлуп...

>[оверквотинг удален]
>
>Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2.
>Так что про Kerberos там можно забыть.
>
>Firefox настраивается правкой about:config и добавлением туда :
>network.negotiate-auth.trusted-uris http://,https://
>network.negotiate-auth.delegation-uris http://,https://
>Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги
>с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от
>KerberosForWindows от MIT.

а как это организовать со стороны сквида?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от geekkoo email(ok) on 08-Ноя-07, 18:35 
>[оверквотинг удален]
>>Так что про Kerberos там можно забыть.
>>
>>Firefox настраивается правкой about:config и добавлением туда :
>>network.negotiate-auth.trusted-uris http://,https://
>>network.negotiate-auth.delegation-uris http://,https://
>>Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги
>>с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от
>>KerberosForWindows от MIT.
>
>а как это организовать со стороны сквида?

Про сквид не знаю. Я пытался разобраться в их помойке модулей авторизации, но безрезультатно. В качестве простого кэширующего прокси с single-sign-on могу порекоммендовать apache.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от deepwalker (ok) on 14-Ноя-07, 14:10 
>Про сквид не знаю. Я пытался разобраться в их помойке модулей авторизации,
>но безрезультатно. В качестве простого кэширующего прокси с single-sign-on могу порекоммендовать
>apache.

Посмотрите на последние релизы squid - там уже все есть.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от fank on 08-Ноя-07, 18:02 
>[оверквотинг удален]
>
>Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2.
>Так что про Kerberos там можно забыть.
>
>Firefox настраивается правкой about:config и добавлением туда :
>network.negotiate-auth.trusted-uris http://,https://
>network.negotiate-auth.delegation-uris http://,https://
>Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги
>с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от
>KerberosForWindows от MIT.

УРА!!!
https://bugzilla.mozilla.org/show_bug.cgi?id=325396
https://bugzilla.mozilla.org/show_bug.cgi?id=308118
процесс пошел...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "OpenNews: Настройка squid с авторизацией в Active Directory"  +/
Сообщение от geekkoo email(??) on 07-Ноя-07, 07:36 
LDAP - это информационно-справочная служба, а не протокол удаленной аутентификации в отличии от Kerberos. Во-вторых, Kerberos удобен, поскольку позволяет Single-sign-on - зарегистрировался в системе один раз, а потом с помощью полученных сертификатов получаешь доступ ко всем сетевым службам.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от Николай Попов email on 07-Ноя-07, 02:13 
> По-моему сам winbind кеширует ответы

man(8) winbindd
-n Disable  caching.  This means winbindd will always have to
          wait for a response from the domain controller  before  it
          can respond to a client and this thus makes things slower.
          The results will however be more accurate,  since  results
          from  the  cache  might not be up-to-date. This might also
          temporarily hang winbindd if the DC doesn't respond.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от sash (??) on 07-Ноя-07, 18:25 
Безусловно. :)

Только некошерно (как-по-мне) выключать кеширование насовсем. Вот в связи с энтим и, так сказать, интересуюсь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от Ne01eX (??) on 07-Ноя-07, 06:47 
>># те кто ходят неавторизованными

Может лучше неавторизованных товарищей авторизовывать еще и по маку?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от geekkoo email(??) on 07-Ноя-07, 07:30 
Есть советы, от которых вреда больше, чем пользы.

Зачем понадобилась настройка winbind? ПОлучить билетик на старте? Но можно было сделать и прямее, через kerberos-enabled login, который в состав пакета kerberos входит, а кроме того к теме настройки прокси-сервера никаким боком не относится.

Во-вторых, сквид настроен через ntlm-аuth, т.е. старый протокол, который M$ только из жалости оставляет в AD. Автор мог бы честносказать, что  сквид не работает с AD по протоколу Kerberos, и для этой цели рекомендуется использовать альтернатичные продукты, такие как apache.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от bass (??) on 07-Ноя-07, 08:29 
>>Старая была на линухе, что не есть гуд - моё отношение к помойке хоршо известно
>>Итак, задача - на правильной ОС поднять правильно настроенную проксю

дальше можно не читать, красноглазый заболел графоманством
хотя я дочитал, ничего нового, всё это есть в доках тут-же на сайте.
итог: лишняя лишняя бесполезная ссылка в поиске. неудачно поданный материал.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от otaku (ok) on 07-Ноя-07, 09:00 
не скажи обсуждение довольно интересное
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от Аноним on 07-Ноя-07, 09:30 
> Итак, задача - на правильной ОС поднять правильно >настроенную проксю - т.е. авторизация в AD.
>Под это дело был выделен сервак - HP Proliant 380 G3, 2 >ксенона по 3 чтоли гигарца,

мдя....правильная операционка оказывается на рэйде с ксеонами работает... для прокси...мдя.

А есчо для ентерпрайзы изпользуеться  нестабильный сквид 3, тока через него квип не работает.


В общем резюме: даже если отбросить понты автора, сомнительно для использования.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от товарисч email on 07-Ноя-07, 10:31 
>мдя....правильная операционка оказывается на рэйде с ксеонами работает... для прокси...мдя.

старая прокся - 4 пень на 3 гигагерца.
Загрузка стабильно висит на 40-60%
Это на 6 сотнях юзеров. С учётом планирующегося роста, и того что контора не экономит на железе - считаю железку правильным выбором. Тем боле что предлагали 6 по 140G 15k - вот на этом я тоже решил что будет жирно.
>А есчо для ентерпрайзы изпользуеться  нестабильный сквид 3, тока через него квип не работает.

Сквид третий использовался в процессе тестов - с учётом одинакового конфига 2.6 и 3.0 - подо что писать - значения не имело. В продакшен идёт именно 2.6.
А квип - ну что ж сделаешь что если у 95% юзеров которым разрешена аська стоит именно он? :)
>В общем резюме: даже если отбросить понты автора, сомнительно для использования.

Напиши лучше. Никто ж не запрещает :)
=========
а вот 30 чилдренов - число полученное опытным путём на старой проксе - пока тупо перенесено, потом допилится.
Что могу точно сказать - что на одном чилдрене при двух-трёх одновременно молотящих F5 юзерах - подлагивает.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от sash (??) on 07-Ноя-07, 18:51 
40%-60% на ксеоне - это ОЧЕНЬ много. Может что-то у Вас не так?

давайте сравним:

данные
-----------------
две сотни пользователей

model name      : Intel(R) Celeron(R) CPU 2.00GHz
Memory: 508000k/516032k available

cache_dir ufs /var/cache/squid 10000 256 256
cache_swap_low 95
cache_swap_high 98
------------------

Размер access.log за месяц - 1.2G .. 1.5G

Загрузка 0%.

Я не померятся, мне интересно откуда у Вас такая нагрузка.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от sash (??) on 07-Ноя-07, 18:58 
А понял. "Старая прокся три гигагерца" - это на ней загрузка 40-60. Все равно многовато.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от товарисч on 08-Ноя-07, 01:32 
>А понял. "Старая прокся три гигагерца" - это на ней загрузка 40-60.
>Все равно многовато.

Рамы маловато, дисковая слабая, сквидгард перегруженный - туда, помоему, пихнули всё что нашли в инете, и т.п...
Ну и ОС неправильный :)
========
Вот честно - не рыл и не имею желания рыть - тот случай когда проще снести не разбираясь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от coroner email on 08-Ноя-07, 11:08 
>А есчо для ентерпрайзы изпользуеться  нестабильный сквид 3, тока через него
>квип не работает.

а кто мешает заNATить порт 5190? и все прекрасно работает в 3 сквиде
а по поводу железа-рейд (особенно страйп) необходим при большом количестве пользователей.
особенно если отключить буферизацию логов в сквиде.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от неаноним on 08-Ноя-07, 07:54 
Ахинея редкостная. Кэш должен лежать на ram-диске. И загрузки заоблачной не будет, и RAID не нужен.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от angra (ok) on 08-Ноя-07, 08:47 
У вас squid на сетку из трех человек, которые ходят на десяток сайтов? Тогда да, вам кеш и в память можно. А 30-100 GB кеш тоже  на ramdisk предложите поместить?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от неаноним on 08-Ноя-07, 22:11 
150 человек, кеш на 7Гб, вполне хватает. 10Мбит канал.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от Fylhtq on 08-Ноя-07, 09:33 
Ахинея редкостная
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от bakake email on 10-Ноя-07, 13:05 
>Ахинея редкостная. Кэш должен лежать на ram-диске. И загрузки заоблачной не будет,
>и RAID не нужен.

Ну а если очень хорошо подумать, то даже в такой конфигурации для памяти можно найти лучшее применение, чем ram-диск :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Настройка squid с авторизацией в Active Directory"  +/
Сообщение от BereZ email(ok) on 11-Окт-10, 16:53 
Люди, подскажите мне плиз...не могу никак понять что в конфиге squid отвечает за авторизацию пользователей в AD.

У меня FreeBSD 8.1, введена в домен, wbinfo работает.

Мне нужно что бы пользователь ходил в инет через squid без ввода логина и пароля, чтобы squid цеплял пользователей и группы из AD и сам знал кому можно в инет, кому нет...

Я уже совсем запутался...может какой-нить самый простой примерчик...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру