» SQUID (только под *nix)

Цитата:

krb5kdc: No such file or directory - while initializing database for realm MYDOMAIN.LOCAL

проверить файл /etc/krb5kdc/kdc.conf привести к нужному виду.
скорее всего postinstall криво отработал или был проигнорирован.
у меня он выглядит вот так:

Код: # cat /etc/krb5kdc/kdc.conf
[kdcdefaults]
kdc_ports = 750,88

[realms]
GELTD.LOCAL = {
database_name = /var/lib/krb5kdc/principal
admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab
acl_file = /etc/krb5kdc/kadm5.acl
key_stash_file = /etc/krb5kdc/stash
kdc_ports = 750,88
max_life = 10h 0m 0s
max_renewable_life = 7d 0h 0m 0s
master_key_type = des3-hmac-sha1
supported_enctypes = aes256-cts:normal arcfour-hmac:normal des3-hmac-sha1:normal des-cbc-crc:normal des:normal des:v4 des:norealm des:onlyrealm des:afs3
default_principal_flags = +preauth
}

У меня вопрос. Если у меня на контроллере домена уже работает служба керберос, т.е. эта служба уже представляет собой TGS и TGT. Зачем тогда нужно на прокси-сервере устанавливать krb5-admin-server?

Добавлено:
У меня /etc/krb5kdc/kdc.conf выглядит точно также, за исключением имени домена.
Файлов admin_keytab = FILE:/etc/krb5kdc/kadm5.keytab, acl_file = /etc/krb5kdc/kadm5.acl и key_stash_file = /etc/krb5kdc/stash у меня нет. Скорее всего при запуске демоны на них и ругаются. Я так понимаю нужно запустить krb5_newrealm. Когда я его запускаю, он мне выдает:
This script should be run on the master KDC/admin server to initialize
a Kerberos realm. It will ask you to type in a master key password.
This password will be used to generate a key that is stored in
/etc/krb5kdc/stash. You should try to remember this password, but it
is much more important that it be a strong password than that it be
remembered. However, if you lose the password and /etc/krb5kdc/stash,
you cannot decrypt your Kerberos database.
Loading random data

и чего-то ждет или что-то делает я не пойму.


Цитата:

Код:
# apt-get purge krb5-admin-server krb5-kdc krb5-user && apt-get install krb5-admin-server krb5-kdc krb5-user

Пробовал, но про default realm не спрашивает а пишет Ссылка

MadMas
по всей видимости ты прав. скорее всего нужен только krb5-user, он тянет за собой все нужные либы https://packages.debian.org/ru/sid/krb5-user
практически все мануалы, которые я находил в сети, рекомендуют ставить кдц и админ-сервер, сам не знаю для чего. у меня, кстати, эти службы не запущены:

Код: # service --status-all|grep krb5
[ - ] krb5-admin-server
[ - ] krb5-kdc

Народ вопрос наверное покажется странным но все таки.
Сегодня одного из пользователей перестало пускать в инет по билету кербероса, по basic аутентификации тоже не работало. После того как стали выяснять что же произошло узнали что пользователь сменил себе пасс на учетке и занес его в русской раскладке.
Собственно вопрос может кто такое встречал, и как это побороть?

yakostik
Цитата:

Собственно вопрос может кто такое встречал, и как это побороть?

Как же, встречалось. А нефиг логины и пароли русскими буквами делать.
Что, английских уже не достаточно?
Вот когда перейдем а исконно российские ОС и софт, тогда это можно будет без
опасения словить на свою zhopa приключений.

Цитата:

Вот когда перейдем а исконно российские ОС и софт

1Ass?

MAGNet


Цитата:

попробуй снести эти сервисы у себя или остановить, если без них не взлетит.

Так ничего и не взлетело .

[more] [more] [more] [more] [/more]
Есть пара вопросов по сквиду:
В связи с частыми сбоями старого сервака, (которому более 15 лет) возникала необходимость перенести сквид на другое железо. Т.к. уже есть VMWare сервер прикрутил к нему FreeBSD 10.1 по аналогии со старым сервером, только версии софта последние...
Что бы не заморачиваться с конфигом сквида перенёс его со старой версии, было правда пара тройка ошибок из-за разных версий, но всё это легко полечилось. Поставил на тест и тут полезли неприятные вещи: при переходе по ссылке в браузере (любом) выдаёт сообщение:

Цитата:

Прокси-сервер отказывается принимать соединения

после обновления страницы всё появляется, но для пользователя это не есть гуд Нагуглил что ошибка лечится в след версии. Обновил до крайней версии сквида 3.4.12 но воз и ныне там
Вот что пишется в кэш.лог
[more]
2015/04/02 06:32:34 kid1| helperOpenServers: Starting 1/5 'squidGuard' processes
2015/04/02 10:29:38 kid1| assertion failed: comm.cc:1823: "isOpen(fd) && !commHasHalfClosedMonitor(fd)"
2015/04/02 10:29:43 kid1| Set Current Directory to /var/squid/cache/squid
2015/04/02 10:29:43 kid1| Starting Squid Cache version 3.4.12 for i386-portbld-freebsd10.1...
2015/04/02 10:29:43 kid1| Process ID 7392
2015/04/02 10:29:43 kid1| Process Roles: worker
2015/04/02 10:29:43 kid1| With 87876 file descriptors available
2015/04/02 10:29:43 kid1| Initializing IP Cache...
2015/04/02 10:29:43 kid1| DNS Socket created at 0.0.0.0, FD 8
2015/04/02 10:29:43 kid1| Adding domain domain.local from /etc/resolv.conf
2015/04/02 10:29:43 kid1| Adding nameserver 127.0.0.1 from /etc/resolv.conf
2015/04/02 10:29:43 kid1| Adding nameserver 192.168.100.4 from /etc/resolv.conf
2015/04/02 10:29:43 kid1| helperOpenServers: Starting 0/5 'squidGuard' processes
2015/04/02 10:29:43 kid1| helperOpenServers: No 'squidGuard' processes needed.
2015/04/02 10:29:43 kid1| Logfile: opening log daemon:/var/log/squid/access.log
2015/04/02 10:29:43 kid1| Logfile Daemon: opening log /var/log/squid/access.log
2015/04/02 10:29:43 kid1| Logfile: opening log stdio:/var/log/squid/access_syslog.log
2015/04/02 10:29:43 kid1| Unlinkd pipe opened on FD 15
2015/04/02 10:29:43 kid1| Logfile: opening log stdio:/var/log/squid/store.log
2015/04/02 10:29:43 kid1| Swap maxSize 20480000 + 262144 KB, estimated 1595549 objects
2015/04/02 10:29:43 kid1| Target number of buckets: 79777
2015/04/02 10:29:43 kid1| Using 131072 Store buckets
2015/04/02 10:29:43 kid1| Max Mem size: 262144 KB
2015/04/02 10:29:43 kid1| Max Swap size: 20480000 KB
2015/04/02 10:29:43 kid1| Rebuilding storage in /var/squid/cache/squid (dirty log)
2015/04/02 10:29:43 kid1| Using Least Load store dir selection
2015/04/02 10:29:43 kid1| Set Current Directory to /var/squid/cache/squid
2015/04/02 10:29:43 kid1| Finished loading MIME types and icons.
2015/04/02 10:29:43 kid1| HTCP Disabled.
2015/04/02 10:29:43 kid1| Squid plugin modules loaded: 0
2015/04/02 10:29:43 kid1| Accepting HTTP Socket connections at local=0.0.0.0:3128 remote=[::] FD 19 flags=9
2015/04/02 10:29:43 kid1| Store rebuilding is 4.42% complete
2015/04/02 10:29:43 kid1| Done reading /var/squid/cache/squid swaplog (90548 entries)
2015/04/02 10:29:43 kid1| Finished rebuilding storage from disk.
2015/04/02 10:29:43 kid1| 90548 Entries scanned
2015/04/02 10:29:43 kid1| 0 Invalid entries.
2015/04/02 10:29:43 kid1| 0 With invalid flags.
2015/04/02 10:29:43 kid1| 90548 Objects loaded.
2015/04/02 10:29:43 kid1| 0 Objects expired.
2015/04/02 10:29:43 kid1| 0 Objects cancelled.
2015/04/02 10:29:43 kid1| 0 Duplicate URLs purged.
2015/04/02 10:29:43 kid1| 0 Swapfile clashes avoided.
2015/04/02 10:29:43 kid1| Took 0.47 seconds (194017.15 objects/sec).
2015/04/02 10:29:43 kid1| Beginning Validation Procedure
2015/04/02 10:29:43 kid1| Completed Validation Procedure
2015/04/02 10:29:43 kid1| Validated 90548 Entries
2015/04/02 10:29:43 kid1| store_swap_size = 1952912.00 KB
2015/04/02 10:29:44 kid1| storeLateRelease: released 0 objects
2015/04/02 10:32:41 kid1| Starting new redirector helpers...
2015/04/02 10:32:41 kid1| helperOpenServers: Starting 1/5 'squidGuard' processes
2015/04/02 10:32:41 kid1| Starting new redirector helpers...
2015/04/02 10:32:41 kid1| helperOpenServers: Starting 1/5 'squidGuard' processes
2015/04/02 10:32:41 kid1| Starting new redirector helpers...
2015/04/02 10:32:41 kid1| helperOpenServers: Starting 1/5 'squidGuard' processes
2015/04/02 10:32:41 kid1| Starting new redirector helpers...
2015/04/02 10:32:41 kid1| helperOpenServers: Starting 1/5 'squidGuard' processes
2015/04/02 10:32:41 kid1| Starting new redirector helpers...
2015/04/02 10:32:41 kid1| helperOpenServers: Starting 1/5 'squidGuard' processes
[/more]
т.е. вот этих ошибок:
Цитата:

assertion failed: comm.cc:1823: "isOpen(fd) && !commHasHalfClosedMonitor(fd)"

появляется много. каждый раз после сбоя, и я так понимаю что сквид в этот момент перезапускается?
выкладываю конфиг сквида, может где то там грабли из старой версии тянутся? без ACL
squid.conf
[more]
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 256 MB
cache_swap_low 90
cache_swap_high 95

maximum_object_size 16384 KB
minimum_object_size 0 KB
maximum_object_size_in_memory 8 KB

ipcache_size 1024
ipcache_low 90
ipcache_high 95

fqdncache_size 1024
cache_replacement_policy lru
memory_replacement_policy lru

cache_dir ufs /var/squid/cache/squid 20000 16 256
access_log daemon:/var/log/squid/access.log squid
logformat mylog %{%d.%m.%Y %H:%M:%S}tl.%03tu %6tr %>a %Ss/%>Hs %<st %rm %ru %un %Sh/%<A %mt
access_log stdio:/var/log/squid/access_syslog.log mylog
cache_log /var/log/squid/cache.log

cache_store_log daemon:/var/log/squid/store.log
cache_store_log stdio:/var/log/squid/store.log
mime_table /usr/local/etc/squid/mime.conf
log_mime_hdrs off
pid_filename /var/run/squid/squid.pid
debug_options ALL,1
client_netmask 255.255.255.255

ftp_user Squid@
ftp_passive on
ftp_sanitycheck on

check_hostnames on
hosts_file /etc/hosts

url_rewrite_program /usr/local/bin/squidGuard
url_rewrite_children 5 startup=0 idle=1 concurrency=0

refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320

quick_abort_min 16 KB
quick_abort_max 16 KB
quick_abort_pct 95

read_ahead_gap 16 KB

negative_ttl 5 minutes
positive_dns_ttl 6 hours
negative_dns_ttl 1 minute
dns_v4_first on

forward_timeout 4 minutes
connect_timeout 60 second
read_timeout 15 minutes
request_timeout 5 minutes
persistent_request_timeout 1 minute
half_closed_clients on
ident_timeout 10 seconds
shutdown_lifetime 30 seconds

acl x-mms-framed rep_mime_type -i ^application/x-mms-framed$

acl AllUsers src all

acl SSL_ports port 443 7002 8101 8443 2400 7091 4064 4068 10240
acl Safe_ports port 80        # http
acl Safe_ports port 8080    # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 7002    # for iFOBS
acl CONNECT method CONNECT

# Deny requests to unknown ports
http_access deny !Safe_ports

# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

cache_mgr proxy@domain
cache_effective_user squid
cache_effective_group squid
visible_hostname proxy.domain

logfile_rotate 7

memory_pools on
memory_pools_limit 5 MB
forwarded_for off
log_icp_queries on
cachemgr_passwd password all
buffered_logs off
icon_directory /usr/local/etc/squid/icons
global_internal_static on
short_icon_urls on

error_directory /usr/local/etc/squid/errors/ru
error_log_languages on
err_page_stylesheet /usr/local/etc/squid/errorpage.css

uri_whitespace strip
coredump_dir /var/squid/cache/squid
redirector_bypass on
ignore_unknown_nameservers on
[/more]

На странице разрабов увидел что 3.4.12 в этой ветке последняя, дальше идёт 3.5
Сквид ставил из портов. Пните в меня ссылкой как 3.5 поставить не из портов? [/more] [/more] [/more]

Mac_Sym
1.
cache_mem 256 MB
что так пожидил памяти под кэш в ОЗУ? Нет у тебя что ли памяти совсем на новом серваке? Добавь, если есть.
2.
cache_dir ufs /var/squid/cache/squid 20000 16 256
тут ты наоборот не пожидил и поставил дохрена - аж 20 Гигов! Твой сквид будет больше перебирать индексы кэша, чем юзеров обслуживать. Больше 1-2 гигов лучше не давать. А если у тебя трафик от прова безлимитный, то дисковый кэш лучше вообще не юзать !
Имей ввиду, что на каждый гиг дискового кэша, сквид берет 10 мегов в ОЗУ
3.
cache_store_log daemon:/var/log/squid/store.log
cache_store_log stdio:/var/log/squid/store.log
это вообще отрубай, оно нафиг никому не нужно, только место на диске будет жрать и производительность уменьшать.
4.
memory_pools on
memory_pools_limit 5 MB
про это не помню, нужно читать, лучше оставить по дефолту, то есть убрать лимит
и сделать memory_pools off
5.
half_closed_clients on
попробуй сделать off

P.S.
Не привел аксели доступа для юзеров.
Попробуй поработать без squidGuard, может с ним еще какие-то косяки.
Сквид свежее, если есть желание, можешь поставить, скомпилив из исходников.
http://www.squid-cache.org/Versions/
А лучше попробуй поставить из портов версию 3.3

ipmanyak
Большое спасибо за ответ.
1 увеличил, хотя везде дают разные рекомендации...
2 уменьшил
3,4,5 убрал.

Аксес листы буду вдумчиво разбирать, потому как достались от предыдущего админа.
Интересно какая версия сейчас считается стабильной?
и буду экспериментировать с версиями сквида, благо есть где

MAGNet

Не прошло и пол года как я как-то настроил этот несчастный керберос. Как и было до этого сказано ни krb5-admin-server, ни krb5-kdc на линуксе не нужен, только krb5-user.

Теперь я готов к


Цитата:

Добавлено:
Про группы напишу позже, когда заработает авторизация.

Уже перепробовал различные варианты обращения к существующим группам, ничего не получается.

MadMas
всё написанное справедливо для debian-like. версия squid 3.3.8
для использования групп есть внешний хелпер ext_kerberos_ldap_group_acl. Проблема в том, что по умолчанию он не устанавливается и даже не собирается, его нужно собрать отдельно. так и поступим:

Код: # mkdir /usr/src/squid3 && cd /usr/src/squid3
# apt-get source squid3
# apt-get build-dep squid3
# cd ./squid3-3.3.8
# ./configure && make
# cd ./helpers/external_acl/kerberos_ldap_group
# make
# cp ext_kerberos_ldap_group_acl /usr/lib/squid3/

MadMas
Можете еще тут посмотреть http://blog.it-kb.ru/2014/06/26/forward-proxy-squid-3-3-on-ubuntu-server-14-04-lts-part-5-squid-conf-settings-for-kerberos-ntlm-basic-and-access-rules/

Товарищи подскажите, а а есть у кого список черных сайтов? Типа соцсети, порносайты, развлекательные? Или подскажите где их взять, ибо вручную каждый писать долго.

Здравствуйте. Скажите, существует ли возможность бесплатно получать списки контент фильтров для сквида? Актуальные для России?

k3NGuru
S1NT3Z
есть такой проект - Rejik - внимательно читаете что это и как работает, после регистрируетесь и запрашиваете бан-листы на проверку; вам на почту присылают страничку с 10-ю ссылками и вы должны определить, относятся они к заявленной категории или нет. правильный ответ +1, неправильный - минус весь список, т.е. -10.
по достижении 200 очков у вас начнет увеличиваться "денежный" счет, местные деньги называются БАНАами. за 10 БАНов можно один раз скачать полный список БАН-листов, заточенных под Россию.
Там, на сайте, собственно всё что я рассказал, уже написано. Ознакомьтесь.
Если хотите, чтоб всё было просто и быстро - годовая подписка 2 килорубля.

К слову, меня уже один раз упрекнули, что я тут якобы рекламирую этот далеко не бесплатный проект.
Это не так, я сам все выходные сидел и проверял эти долбаные ссылки! Вы даже не представляете, как это нудно
Теперь мой баланс выглядит вот так:

Здравствуйте. Как организовать сбор логов squid с удаленных серверов на центральный? Установка rsyslog, syslog-ng не рассматривается, т.к. удаленные шлюзы сертифицированы и не допускают установки доп. ПО

RiD2005

Цитата:

удаленные шлюзы сертифицированы и не допускают установки доп. ПО

sshd, надеюсь, на удаленных шлюзах имеется?
тогда можно собирать через rsync по крону с центрального сервера и анализировать их там

MAGNet
Спасибо. Организовал сбор с помощью rsync через ssh

Подскажите возможно ли как то дать возможность пользователя ходить в инет через squid в обход авторизации по ip адресам без запуска второй копии сквида с другим конфигом?

yakostik добавьте аксели для этого юзера выше правил авторизации

Добрый день, коллеги.
у меня установлен squid3.1.20 работает ntlm_auth с AD WinServer2003R2.
проблема в следующем, сам сквид работает исправно, но при переходе на сайт contact.rslb.ru запрашивает авторизацию (вылетает окошко авторизации).в логах только вот это
Код: TCP_DENIED/407 3878 CONNECT contact.rslb.ru:443 - text/html

Renua
Я вообще у Вас не вижу в конфиге разрешающего правила для всех запросов.
А другие ssl сайты работают?

Alukardd
работают. проблема решена. у поставщика доступ предоставляется только с определенного ip-адреса. отправил запрос на добавление дополнительного белого ip-адреса.

помогите разобраться в чем проблема((( Вот это в логах:
Код: could not obtain winbind domain name!

Подскажите пожалуйста! установлено "delay_parameters 1 24000/30000000" это означает что скачав 30 мегабайт на максимальной скорости, скорость упадет до 24 кбайт/с. возможно ли сделать та, что бы перестав качать, скорость опять восстанавливалась?( добавлялись те же 30 мег на максимальной скорости)

Zigic Параметры указываются для объектов, то бишь для 1 файла. Для другого объекта/файла скорость снова будет сначала макимальной.

Код: delay_parameters 2 -1/-1 2000/16000
-1/-1 – весь канал отдать сквиду - анлимитед, а индивдуально на каждого юзверя ведерки по 16кб, а струйка в него в 2кб !
(сначала быстро усосет 16кб, а потом будет лить со скоростью в 2кб/cек)
точнее - быстро будет усасывать объекты размером до 16кб , объекты больше 16кб будет сосать на скорости 2кб

ipmanyak
из данного примера я так понял, что первые 16кб юзверь скачает на максимальной скоросте вне зависимости от размера объекта(будь он 2 кб или 1000 кб) А вот после этого, он сможет скачивать объекты на максимальной скорости только те, которые не превышают 16кб? я правильно понимаю?

Zigic да

ipmanyak
Хмм.. интересно. Спасибо! А может быть Вы знаете, через какое время (или каким образом) сбрасывается этот "счетчик"?(т.е. когда юзверь опять сможет скачать файл 100кб с первыми 16кб на максимальной скорости)

Zigic
Так он писал:

Цитата:

Параметры указываются для объектов, то бишь для 1 файла. Для другого объекта/файла скорость снова будет сначала макимальной.