Morph: SQUID и доменная аутентификация.

8 сообщений / 0 new
Последнее сообщение
Гость
Morph: SQUID и доменная аутентификация.

Имеется SQUID 2.5 STABLE4
Имеется Samba 3.0.2a настроенная, с winbind (работает без проблем, пользователи из домена видны на машине с linux)
Домен Windows 2000 Server
Как приделать к сквиду доменную аутентивикацию???

Сыр (не проверено)

прежде всего пересобрать сквид с поддержкой wb и ntlm аутификации...
/configure -enable-auth="ntlm,basic" --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind"
(ессено одной строкой)
а потом все бет довольно просто....
для собсно аутификации:
auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 hours
....и для юзеров :
acl myusers proxy_auth REQUIRED
(ессено не забыв создать acl myusers)

:)
<span class='smallblacktext'>[ Редактирование Wed Feb 02 2005, 05:55PM ]</span>

Morph (не проверено)

Скажи, а хелпер от этой версии сквида работает с 3-й самбой?

Сыр (не проверено)

Упс... не досмотрел....
Тут немного по другому....
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
(одной строкой)
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth
--helper-protocol=squid-2.5-basic
(одной строкой)
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic redentialsttl 2 hours

.... ntlm_auth из сборки Самбы, а не сквидовский.... а так же права на каталог winbindd_privileged должны быть 777... хотя лучше и безопасней сменить группу на squid ....

<span class='smallblacktext'>[ Редактирование Thu Feb 03 2005, 01:22PM ]</span>

Morph (не проверено)

а режик3 будет имена прользователей подхватывать? Пытался поднять NTLM мсяца 2 назад тогда ничего не вышло... Может из прав на этот самы каталог...

Сыр (не проверено)

На счет режика не в курсе, не пробовал.... Хотя по идее должон работать...

Morph (не проверено)

[code]
1107847426.776 393 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 377 GET http://img.yandex.ru/i/fp2_morda.js Adminncstu FIRST_UP_PARENT/proxy.estav.ru application/x-javascript
1107847426.791 0 192.168.207.9 TCP_DENIED/407 1751 GET http://img.yandex.ru/i/logo-passport.gif - NONE/- text/html
1107847426.795 0 192.168.207.9 TCP_DENIED/407 1767 GET http://img.yandex.ru/i/logo-passport.gif - NONE/- text/html
1107847426.799 0 192.168.207.9 TCP_DENIED/407 1733 GET http://img.yandex.ru/i/i-help2.gif - NONE/- text/html
1107847426.802 0 192.168.207.9 TCP_DENIED/407 1730 GET http://img.yandex.ru/i/i-mail.gif - NONE/- text/html
1107847426.806 1 192.168.207.9 TCP_DENIED/407 1746 GET http://img.yandex.ru/i/i-mail.gif - NONE/- text/html
1107847426.990 202 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 362 GET http://img.yandex.ru/i/loginform-shadow.gif Adminncstu FIRST_UP_PARENT/proxy.estav.ru image/gif
1107847426.992 0 192.168.207.9 TCP_DENIED/407 1749 GET http://img.yandex.ru/i/i-help2.gif - NONE/- text/html
1107847427.058 263 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 362 GET http://img.yandex.ru/i/logo-passport.gif Adminncstu FIRST_UP_PARENT/proxy.estav.ru image/gif
1107847427.062 255 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 362 GET http://img.yandex.ru/i/i-mail.gif Adminncstu FIRST_UP_PARENT/proxy.estav.ru image/gif
1107847427.174 181 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 362 GET http://img.yandex.ru/i/i-help2.gif Adminncstu FIRST_UP_PARENT/proxy.estav.ru image/gif
1107847427.295 231 192.168.207.9 TCP_MISS/302 542 GET http://bs.yandex.ru/count/Emy6VvY7E6G30BkxQWX2KMz4eTn_ojzq2Qg6nWUkU5eTGNW3 Adminncstu FIRST_UP_PARENT/proxy.estav.ru text/plain
1107847427.298 122 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 362 GET http://img.yandex.ru/i/logo-big-txt.gif Adminncstu FIRST_UP_PARENT/proxy.estav.ru image/gif
1107847427.372 4153 192.168.207.9 TCP_MISS/200 21965 GET http://www.yandex.ru/ Adminncstu FIRST_UP_PARENT/proxy.estav.ru text/html
1107847427.376 0 192.168.207.9 TCP_DENIED/407 1736 GET http://img.yandex.ru/i/advanced.gif - NONE/- text/html
1107847427.378 0 192.168.207.9 TCP_DENIED/407 1752 GET http://img.yandex.ru/i/advanced.gif - NONE/- text/html
1107847427.391 92 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 362 GET http://img.yandex.ru/i/arr-b.gif Adminncstu FIRST_UP_PARENT/proxy.estav.ru image/gif
1107847427.394 97 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 362 GET http://img.yandex.ru/i/arr-t.gif Adminncstu FIRST_UP_PARENT/proxy.estav.ru image/gif
1107847427.497 102 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 362 GET http://img.yandex.ru/i/mail-br.gif Adminncstu FIRST_UP_PARENT/proxy.estav.ru image/gif
1107847427.500 119 192.168.207.9 TCP_CLIENT_REFRESH_MISS/304 362 GET http://img.yandex.ru/i/advanced.gif Adminncstu FIRST_UP_PARENT/proxy.estav.ru image/gif
[/code]

Как понимать? Страничка грузится наполовину :( (видимо из кеша).

Кста - у этого прокси есть parent-proxy. может из-за этого?
[ Редактирование Tue Feb 08 2005, 10:49AM ]

Morph (не проверено)

да :) реально из-за этого :) добавил never_direct allow all и фсе покатило.

ВОПРОС!

Можно ли по юзерам раздать delay_pools?

Если да - то как...если нет, то как поступить?

И как вообще запретить доступ определенной группе машин.

[ Редактирование Wed Feb 09 2005, 05:07PM ]

RSS-материал