» SQUID (только под *nix)

vlary да я то знаю. вы на предыдущей странице почитайте:

Цитата:

Вообще-то все работает и прозрачный прокси с авторизацией (за NTLM ручаюсь)

Alukardd простите...

anahaym
Думаю мне всё-таки надо извиниться
Да, я вижу то, что вижу, но судя по всему это обман зрения, в виду того, что браузер мог подсовывать пароль, запомненный раньше, который проксик получая туппо записывал в лог, а авторизацию в общем-то и не проводил. У меня нету других объяснений попавшим в лог именам пользователей.

Цитата:

но ни кто не мешает вам изменить logformat.

а можете мне объяснить вот это? я прочитал, но мозга не хватило понять как и что менять.

anahaym
Вот переменные отвечающие за имя пользователя:
Цитата:

        un    User name
        ul    User name from authentication
        ui    User name from ident
        us    User name from SSL
        ue    User name from external acl helper

Вот logformat 2.7 ветке по умолчанию
Цитата:

The default formats available (which do not need re-defining) are:

logformat squid %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
logformat squidmime %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt [%>h] [%<h]
logformat common %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st %Ss:%Sh
logformat combined %>a %ui %un [%tl] "%rm %ru HTTP/%rv" %Hs %<st "%{Referer}>h" "%{User-Agent}>h" %Ss:%Sh

Как видите во всех стандартных форматах имя пользователя и так присутствует, так что я хз что вы там менять собрались. А вообще список переменных у вас есть, вот и составляйте из них удобную для Вас строку лога.
Для применения формата указывается строка access_log /path/to/log/file logformat (например, access_log /var/log/squid/access.log squid). Опция access_log заменяет опцию cache_access_log. Можно использовать любую.

Alukardd а может есть какие анализаторы, которые могут у себя менять в отчётах это?

anahaym
Что менять? Я кстати там еще абзац добавил в тот пост, про то как применить.

Alukardd
ну вот у меня лог:


Цитата:

1323421372.963 304 192.168.10.19 TCP_MISS/304 334 GET http://forum.ru-board.com/forall/ajax/resize.gif - DIRECT/72.233.112.78 -
1323421372.965 46 192.168.10.19 TCP_MISS/302 1043 GET http://www.googleadservices.com/pagead/conversion/987334975/? - DIRECT/209.85.148.157 image/gif
1323421373.035 65 192.168.10.19 TCP_MISS/200 618 GET http://googleads.g.doubleclick.net/pagead/viewthroughconversion/987334975/? - DIRECT/209.85.148.155 image/gif
1323421373.079 298 192.168.10.19 TCP_MISS/304 336 GET http://i.ru-board.com/temp/a-real/3.jpg - DIRECT/72.233.112.78 -
1323421373.086 295 192.168.10.19 TCP_MISS/304 334 GET http://i.ru-board.com/Cheery/projects/vkeyboard/vkeyboard/bug_rep.gif - DIRECT/72.233.112.78 -

так вот мне нужно вместо моего IP 192.168.10.19 подставить туда моё имя.
Я вот подумал, может есть какие анализаторы которые это умеют? сейчас пользуюсь lightsquid
мне это нужно только для отчётностей.

anahaym
Значит оно у вас не опознается по каким-то причинам... Попробуйте использовать формат с другими переменными содержащими имена, кроме un. У вас она пустая, об этом говорит дефис (-) перед словом DIRECT.

Добавлено:
Я пользуюсь Free-SA в качестве анализатора, у него есть опция username_file и в файле прописано соответствие IP или Логина реальному ФИО. Но я этим не пользуюсь, у меня в логах и так имена имеются.

Цитата:

у меня в логах и так имена имеются.

а у меня прозрачный прокси... у меня нет имён. есть только IP.
А есть норм дока на FREE-SA? а то я искал, но нормальной не нашёл.

anahaym
Конфиг free-sa неплохо от комментирован. Так же много полезной инфы есть... конечно в мане! man free-sa.conf. Вот старенькая веб версия man'а.

Alukardd да я пока на установке застрял. это конечно печально. но после make install - дальше что? захожу по адресу сервера - там обзор папок...
нашёл, что нужно сделать скрипт. сделал:


Цитата:

cat free-sa_day
#!/bin/bash
# оПХКНФЕМХЕ ЯНГДЮМХЪ НРВЕРНБ ОН ФСПМЮКЮЛ SQUID
#set -x
umask 0022
#бЮФМШИ ЛНЛЕМР ДКЪ ЙНДХПНБЙХ
#с ЛЕМЪ ОН ЙПНМС ОНКСВЮКЯЪ юМЦКХИЯЙХИ НРВ&#9574;Р
#ю ОПХ ПСВМНЛ ГЮОСЯЙЕ пСЯЯЙХИ
export LANG=ru_RU.UTF-8
export LC_ALL=
free_sa=/usr/bin/free-sa
date1=`date +%x`

получаю -

Цитата:

root@bl:/etc/free-sa# ./free-sa_day
./free-sa_day: line 12: /usr/bin/free-sa: No such file or directory

делаю


Цитата:

root@bl:/etc/free-sa# whereis free-sa
free-sa: /etc/free-sa /usr/share/free-sa /usr/share/man/man1/free-sa.1

или


Цитата:

root@bl:/etc/free-sa# find / -name "free-sa"
/var/cache/free-sa
/var/www/free-sa
/etc/free-sa
/usr/share/free-sa
/root/free-sa

решил я с lightsquid с именами. http://www.lissyara.su/articles/freebsd/programms/lightsquid/

вообщем я не знаю, баг ли это или нет, но в х64 не у одного меня free-sa установился не корректно. Пришлось на виртуалке устанавливать х32 дебиан, и скопировать с него файл. всё работает.

anahaym
Ну вполне возможно... У меня просто все системы x86, я пока не вижу какие приложения переписаны под AMD64 и получат выигрыш от 64-х разрядной системы.

я тоже раньше не видел смысла - пока не портировали на фрю zfs

Приветствую.

Использую Rejik довольно давно, squid + rejik крутятся на FreeBSD.
Все устраивало, но недавно на предприятие пришла бумажка, согласно которой предстоит ужесточить правила блокирования сайтов.
В итоге шеф задал задачу сделать контент-фильтр, который будет отсеивать сайты с определенным содержимым.
К примеру, нужно отсеивать все сайты где встречается слово "вконтакте", и плевать даже если это реклама или просто ссылка, если на сайте есть это слово то сайт должен быть забанен.
Знаю что такое может сделать Dansguardian, но он не подходит мне по ряду причин.

Можете мне посоветовать какие нибудь скрипты или программы поддерживающие этот функционал??????

Если что, готов потратить время на написание такого скрипта или программы.
Загвоздка лишь в том, что я понятия не имею как перехватить данные, которые вытягивает squid, для проверки на "вшивость", перед тем, как они будут переданы пользователю.

Есть статья на английском. Есть ли корректный перевод этой статьи? Может аналогичная статья на русском есть? А может ли кто-нибудь сделать корректный перевод?

Все это я пытаюсь сделать на Debian 6.0.3.

Nigelist у меня была, но для NTLM... временно не доступна...

Цитата:

Nigelist у меня была, но для NTLM... временно не доступна...

Не понял? При чем NTLM?

ваша статья - Kerberos/LDAP Authentication, а у меня есть когда авторизация NTLM
только без Cyfin Reporter...

а что у вас не получается по этой статье?

Цитата:

ваша статья - Kerberos/LDAP Authentication, а у меня есть когда авторизация NTLM
только без Cyfin Reporter...

а что у вас не получается по этой статье?

Вот:

Цитата:

By default the squid account will not be able to query the "memberOf" attribute in AD. Select the top level of your active directory domain in Active Directory Users and Computers, Right click on it and choose properties, Security Tab, Add the squid user and give it read permissions (should happen by default) and allow it to read "This Object and all child objects" by going into Advanced options.

Я примерно понимаю о чем идет речь, но никак не могу найти в оснастке "Active Directory - пользователи и компьютеры", вкладку "Безопасность" в свойствах корневой директории домена.

Добавлено:

Еще один неясный (непонятный) абзац.

Цитата:

That client browsers are using Integrated Windows Authentication
That you have added all users to the relevant Internet Users security groups in AD
That all client browsers are set to use automatically detect proxy settings for internet access. Using group policy is a sensible option here or perhaps restrict outbound HTTP access on your firewall to weed out users without auto-detection configured.

Test access with Internet Explorer by Ticking "Use automatic configuration script" and insert http://squidproxy.example.local/wpad.dat (change the proxy FQDN to yours of course) in the address field and then access any websites. Good luck, I hope it works! Stop here and troubleshoot if it is not working or else you will end up with a lot of angry users!

Add a CNAME record in DNS to point wpad.example.local to squidproxy.example.local

Добавлено:
В итоге, не могу на контроллере домена выйти в интернет через IE8

Цитата:

Я примерно понимаю о чем идет речь, но никак не могу найти в оснастке "Active Directory - пользователи и компьютеры", вкладку "Безопасность" в свойствах корневой директории домена.

для этого нужно включить в АД - View - Advanced Optoins.

Цитата:

Test access with Internet Explorer by Ticking "Use automatic configuration script"
В итоге, не могу на контроллере домена выйти в интернет через IE8

попробуйте это не использовать.

anahaym не помогает. Могу предоставить доступ к связке через TeamViewer.

ну если только ночью...
что в логах /var/log/squid3/access.log ?

Цитата:

ну если только ночью...
что в логах /var/log/squid3/access.log ?

Логи не создавались.

Nigelist вам обязательно Kerberos?

anahaym очень уж хочется. Классно ведь, доступ к интернету, через доменную авторизацию... Посадил юзвера на другую машину, он авторизовался и усе - доки его на месте, интернет кому положено есть. Никаких лишних телодвижений...

Цитата:

Классно ведь, доступ к интернету, через доменную авторизацию

она бывает разной. NTLM - это тоже авторизация, которая используется в домене. и будет - никаких лишних телодвижений.
Поищите доки с NTLM, моя пока не доступна...

Цитата:

она бывает разной. NTLM - это тоже авторизация, которая используется в домене. и будет - никаких лишних телодвижений.
Поищите доки с NTLM, моя пока не доступна...

Цитата:

NTLM/NTLMv2. Используется для аутентификации в рабочих группах. Samba совместима с NTLMv2. При аутентификации используются легко подбираемые хэши паролей.

Kerberos. В настоящее время, Kerberos является самой защищенной системой, используется криптография с секретным ключом. Применяется в доменах Active Directory (AD). Samba, начиная с версии 3 полноценно поддерживает данный протокол в виде клиента.

Цитата:

NTLM/NTLMv2. Используется для аутентификации в рабочих группах.

это вы где такое нашли?
http://technet.microsoft.com/ru-ru/library/cc755284%28WS.10%29.aspx
оно конечно используется, но не только в рабочих группах.


Цитата:

При аутентификации используются легко подбираемые хэши паролей.

а при Basic аутентификации реквизиты вообще в открытом тексте передаются.

anahaym не буду спорить. Ибо не совсем компетентен в этом вопросе. Но все равно, хочу авторизацию LDAP/Kerberos.