» SQUID (только под *nix)

Цитата:

Можете ознакомится с данной статьей, там прям все разжевано как Squid

Спасибо за статью но это все у меня работает. И группы и права и ограничения.
Проблемма только в том что не работает auth_param basic program /usr/lib/squid3/basic_ldap_auth если машина вне домена.
И почему то не пускает в инет по ip

k3NGuru
Цитата:

А че так? Всем можно даже Социалочки заходить?  

Я отключил авторизацию, но акцесс-листы от этого никуда не делись

vlary
При прозрачном проксе, надо настраивать wpad? Или достаточно будет Samba с Winbind?
Вручную вбивать настройки не вариант, так как в офисе ноутбуки в основном.

k3NGuru
Цитата:

При прозрачном проксе, надо настраивать wpad?

Он потому и называется "прозрачный", что ничего не надо настраивать.
Ни браузер, ни система о нем даже не подозревают.

vlary
Я про то что траффик с шлюза заворачивать то нужно
Вот только не могу понять по какому порту заворачивать?
Тут http://zyxel.ru/kb/2347 указано написано, что по 8080, в остальных мануалах заворачивать 80.

k3NGuru
Цитата:

Я про то что траффик с шлюза заворачивать то нужно

Конечно. Обычно это делается через Iptables.
Можно то, что идет на 80 порт, заворачивать, можно и 8080 прихватить.
А прозрачный порт сквида пусть будет, допустим, 3128, непрозрачный - 3129.
И прописано у меня правило для Iptables (шлюз и сквид на одной машине):
Код: -A PREROUTING -i eth0 -p tcp -m tcp -s 192.168.0.0/24 ! -d 192.168.0.0/24 --dport 80 -j REDIRECT --to-port 3128

Подскажите, как настроить Squid, чтоб он был прозрачным, а статистику вел не по IP, а по учеткам из домена (Windows Server 2008)?
В качестве анализатора логов LightSquid (ну или другой, кто предложит).

Для начала нужно ввести сам Squid в домен, после Самба и Винбинд? Или не нужно этого?

k3NGuru
Цитата:

Для начала нужно ввести сам Squid в домен, после Самба и Винбинд? Или не нужно этого?

Это смотря какой helper использовать... Можно и так и так.
Цитата:

В качестве анализатора логов LightSquid (ну или другой, кто предложит).

в своё время я для себя выбрал sarg.
Цитата:

Подскажите, как настроить Squid, чтоб он был прозрачным

Раньше это называлось transparent, теперь intercept, описано в оф. доке здесь, НО Вас это не устроит — в таком режиме невозможно проводить аутентификацию.

Цитата:

Раньше это называлось transparent, теперь intercept, описано в оф. доке здесь, НО Вас это не устроит — в таком режиме невозможно проводить аутентификацию.

Вот это и печально.

k3NGuru
Цитата:

Вот это и печально.

А чего печального? Акцесс-листы никто не отменял.
А чтобы быть уверенным, что 192.168.22.33 это Вася Пупкин, применять средства на
нижних уровнях. 802.1Х, например.

k3NGuru В чем проблема то? Прокси можешь прописать в IE и Мозилле групповыми политиками. Хром по дефолту берет настройки из IE. В домен вводить сервер со сквидом смысла нету, если ты и шары еще на нем хочешь держать, тогда вводи.

vlary
DHCP штука не постоянная Плюс приезжие заморские гости, тут же телефончеги и айпадики.

ipmanyak
Дело в том, что большая часть у нас буки, а они командировочные. Обучать каждого сотрудника, чтоб он убирал галку в IE не сложно, просто руководству это врятли понравится.

Мне надо, чтоб была статистика из АД.
Пришли ко мне безопасники, сказали, дай мне отчет, по посещениям интернета у Васи Пупкина, а там IP, а на этом IP за месяц мог быть и Петя Петров и Ваня Соколов (простите если кто имеет данные ФИ, я не специально).

Думаю данную http://diladele.com/ гламурнобутстраповую фишку прикрутить, одно не радует - денежку хотят за нее.

k3NGuru
Цитата:

DHCP штука не постоянная

О привязке к МАК адресу не слышал? Да я и советовал не DHCP, а 802.1Х.
Цитата:

Плюс приезжие заморские гости, тут же телефончеги и айпадики

Цитата:

Мне надо, чтоб была статистика из АД.  

Вы что, всех заезжих гостей и телефончики с айпадами в АД заводите?!

vlary
Только Топ-Манагеров, с резервацией в DHCP по МАК. Типо приехал хоп и внешка, не надо искать админов, чтоб подключили и настроили.

Цитата:

Обучать каждого сотрудника, чтоб он убирал галку в IE не сложно, просто руководству это врятли понравится.

Я для себя сделал так
Авторизация через билеты кербероса что бы была статистика по юзерам благодаря керберосу отпадает нужда ставить и настраивать самбу.
А вот наливка параметров тем кто принимает политики тем доменом, тем кому по какой-то причине незя ставить прокси в политику те получают через DHCP option ссылку на wpad.dat и уже он настраивает проксю, при получении нового ip в случае если ссылка не была получена настройки на проксю теряются.

Поверяли на ноутах гостей браузеры нормально все воспринимают и начинать просить авторизацию.

Всем привет, squid настроен на запрет всего, кроме белых списков, белые списки направленны в основном на почтовые сервисы (yandex rambler и т.д). проблема в том, что например mail.rambler.ru открывает только шапку сайта, понимаю что на сайте некоторые объекты ведут на внешние ссылки, думаю они и не грузятся, кто с этим сталкивался?

Kaber
Так и есть. На крупных сервисах множество ресурсах размещены на различных серверах. Как правило, для нормальной работы необходимо разрешить большинство из них. Остальное можно "закрыть" редиректором (например squidGuard), разместив пустую страницу на локальном вэб-сервере. Это решит вопрос с подвисанием загрузки внешних ресурсов.

Вопрос по Kerberos:
настроил, всё работает, но загвоздка в том, что авторизуются не только юзеры, но и компьютеры!
всё это прикручивалось для контроля пользователей на сервере терминалов и с таким подходом теряет смысл.
Почему оно так происходит и как этого избежать?!

Добавлено:
Кажется проблема не в авторизации, а в парсинге логов...
Подскажет кто-нибудь, как решить? Я пока ничего придумать не могу %)

Всем спасибо, сам балбес.
каким-то волшебным образом раскомментировалась отладочная строка:

Код: allow localnet

Всем привет )
Чего-то в моём любимо squidе появилось куча записей в cache.log такого плана:
"basic_ldap_auth: WARNING, could not bind to binddn 'Invalid credentials'".
Делаю вывод, что кто-то старательно пытается авторизоваться на проксе, но безуспешно (

Вопрос: как мне отследить IP хоста (или хостОВ), с которых ломятся люди (или неЛЮДИ)?
Может есть какой-нить хитрый способо типа расширенного логгирования запросов? Грамотный совет бы совсем не помешал )

Цитата:

Может есть какой-нить хитрый способо типа расширенного логгирования запросов

Как вариант насколько я помню у модулей ldap в настройке есть ключ для отладки который выводит в лог инфу о том с каким логином пытались стучаться и еще кое что.
см. доки
-d
Debug mode where each step taken will get reported in detail. Useful for understanding what goes wrong if the results is not what is expected.

День добрый всем, скажите пожалуйста, столкнулся с такой проблемкой, связка сквид самс2 работает, все хорошо, но sams2 все пишет в конфиг сквида, что не есть хорошо, получается список разрешенных доменов очень большой и в конфиге появляется длинная строка из этих доменов.
Заметил что сквид все молча съедает, когда строка состоит не более чем из 1024 символов, если чуть больше все сквид не запускается.
Отсюда вопрос, как заставить самс2 делать отдельные списки, как это было в самс1.0.5 или как снять ограничение на 1024 символа.

bubaleh111
Hardcoded.

Код: root@proxy:/usr/src/squid3/squid3-3.3.8/src# grep -r "#define CONFIG" ./*.h
./ConfigParser.h:#define CONFIG_LINE_LIMIT 2048

Всем привет,

Подскажите пожалуйста, в чем может быть косяк. Суть проблемы в следующем, настраивал все по этой статье http://macrodmin.ru/2012/07/proksi-squid-s-avtorizaciej-v-domene-active-directory. Сначала настроил первый сервер в старом домене на win2003. Все работает замечательно. Установил в точности так же второй прокси, в другом домене с win2008, но сквид никого из этого домена не пускает. Браузер постоянно выводит запрос пароля, после третьего ввода пишет "Cache Access Denied". Система: Debian 7 wheezy, сквид: 2.7.STABLE9. В логах сквида по всем запросам TCP_DENIED.
Что я делаю не так?

MadMas
забейте уже на эту самбу и ntlm! - это способы авторизации образца 1812-го года.
для корректности действий нужно понимать, что делаешь.
Механизм авторизации должен быть Kerberos, для этого нужно создать в домене соответствующий объект - Компьютер. Не нужно вводить компьютер в домен при помощи самбы и устанавливать её не нужно! У нас ведь не файл-сервер, верно?
Внимательно изучаем теорию работы с Kerberos, убеждаемся, что всё понятно и продолжаем..
..предположим, что минимальные настройки сети и времени у нас сделаны - устанавливаем и настраиваем Kerberos auth...
Установка Kerberos:

Код: # apt-get install krb5-admin-server krb5-config krb5-kdc krb5-user

О великий ALL, кто-нибудь откликнитесь!

Добавлено:
MAGNet, сорри, не заметил вашего сообщения, не обновил страницу.

Да как бы меня ntlm устраивает полностью, может быть это и старомодно уже не спорю.
Хотя вы наверное правы, попробую kerberos.

MadMas
попробуйте. вы даже не представляете на сколько это проще. помню давным давно пробовал именно вашу схему, занимался с ней сексом недели две, но так и не достиг единения с самбой.
вдумчиво изучив механизмы kerberos смог всё настроить за пол дня, дерзайте.

Я пока не совсем четко представляю себе механизм работы kerberos, а как на счет разделения по группам. Сейчас у меня в домене три группы, которым на squid'e соответствует разный уровень доступа. В случае с kerberos у меня будет такая же возможность?

С группами все ок не переживайте работает так же.

Вроде все настроил, но ситуация ровно такая-же - постоянный запрос логина/пароля. В логах /var/log/kadmin.log:
Mar 28 15:17:04 www-3 kadmind[7078](Error): No such file or directory while initializing, aborting

В логах /var/log/krb5kdc.log:
krb5kdc: No such file or directory - while initializing database for realm MYDOMAIN.LOCAL

При запуске демона /etc/init.d/krb5-kdc:
Starting Kerberos KDC: krb5kdckrb5kdc: cannot initialize realm MYDOMAIN.LOCAL - see log file for details

При запуске демона /etc/init.d/krb5-admin-server:
Starting Kerberos administrative servers: kadmindkadmind: No such file or directory while initializing, aborting

Логи у кербероса всегда такие информативные?