Добро пожаловать на форум, Гость!
Войдите или зарегистрируйтесь!
Имя пользователя:   Пароль:  
Запомнить меня 




Начать новую тему Ответить на тему   [ Сообщений: 7 ] 
Автор Сообщение
 Заголовок сообщения: Squid + AD.
СообщениеДобавлено: 27 мар 2015, 13:42 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 267
Откуда: Брянск
Зарегистрирован: 18 май 2012, 16:34
Благодарил (а): 0 раз.
Поблагодарили: 18 раз.
ОС: ARCH Linux
Тут дело такое. У меня кальмар+squid авторизует по IP. В сети DHCP и само собой разумеется время от времени пользователи натыкаются на невозможность иметь доступ за пределы предприятия. Немного и нечасто,но случается плюс с определенным интервалом приходится проводить ревизии....Короче решил я засунуть все это добро в домен. И почитав несколько примеров конфигурации и статей пришел к выводу,что идея то не ахти фонтан. При использовании LDAP кальмар будет постоянно бомбить домен, а когда пользователей 500+ это ой как не здорово. Использовать NTLM, Kerberos не кашерно,поскольку придется синхронизировать время с домена.....а это ну никак не здорово,потому,что домен сам синхронизирует время со шлюза,где и сидит кальмар. Да и не все пользователи, которым нужен доступ в инет являются доменными. Вот такая вот каракатица получилась. Короче прикинув все за и против я вот подумываю про статику в DHCP. Пришел комп, подготовил его,прописал на DHCP и сдал в эксплуатацию. И IP постоянен и домен не загружен запросами, и в плане безопасности проще и надежнее.... Что подскажете граждане?


01010000011010000110000101101110011101000110111101101101


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid + AD.
СообщениеДобавлено: 27 мар 2015, 16:16 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 3

Зарегистрирован: 27 мар 2015, 16:14
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
ОС: OS X
чем тебя напрягает синхронизация времени и использовать ntlm?
squid + ntlm + ad отлично работает


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid + AD.
СообщениеДобавлено: 27 мар 2015, 17:32 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 267
Откуда: Брянск
Зарегистрирован: 18 май 2012, 16:34
Благодарил (а): 0 раз.
Поблагодарили: 18 раз.
ОС: ARCH Linux
Тем,что домен синхронизируется с железки,которая должна будет входить в этот домен и получать список пользователей. Такая вот рекурсия.... Отключать этот сервис уже нельзя,поскольку с неё синхронизируются не доменные железки тоже. Кстати SAMS без проблем и какой либо синхронизации стучится в домен и получает список.


01010000011010000110000101101110011101000110111101101101


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid + AD.
СообщениеДобавлено: 27 мар 2015, 23:15 
Юзер
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 3

Зарегистрирован: 27 мар 2015, 16:14
Благодарил (а): 0 раз.
Поблагодарили: 0 раз.
ОС: OS X
у меня самс старой версии, есть косяки с интеграции в ad, сделал на прямую через squid
могу посоветовать покурить в сторону realmd


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid + AD.
СообщениеДобавлено: 31 мар 2015, 12:58 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 267
Откуда: Брянск
Зарегистрирован: 18 май 2012, 16:34
Благодарил (а): 0 раз.
Поблагодарили: 18 раз.
ОС: ARCH Linux
В общем сделал через LDAP. Развернул пока весь аналог на виртуальных системах,но оно работает. Никаких косяков по sams не наблюдаю. Единставенный недостаток,что пользователю приходится вводить пароль всякий раз когда он приходит на рабочее место и пытается получить доступ в интернет,ну или 2 часа отсутствует. Хотя с точки зрения безопасности это куда безопаснее,чем хранить пароли на машинах пользователей.
Значит какие были грабли...
1. Sams. Разработчик не знаю каким местом думал,но создавать таблицы в кодировке latin это жестокая шутка. В итоге,когда притягиваешь пользователя из домена,то вся русскоязычная информация в базе будет выглядеть некорректно. После чтения русскоязычных форумов и посылания их далеко и надолго с их дибильными советами по ручному редактированию таблиц кодировки,я нашел вменяемое решение от производителя и все исправил за пару минут. Теперь все символы корректны и на своих местах. Ставить phpmyadmin ради исправить кодировку.....здесь матом нельзя да? Вот если кому надо нормальное решение.
Код:
ALTER TABLE Table CONVERT TO CHARACTER SET utf8 COLLATE utf8_unicode_ci;

2. Squid ldap helper трахал мозг своим ERR Success. Тут несколько подходов. Во первых пользователь домена (не админ не ведитесь на это) должен валяться в папке Users. Со вложенностью будет вам гемморой. Кстати sams прекрасно эту вложенность кушает.
Далее обязательно поставьте ldap-utils. В бунте ставится на раз.
Команда опроса домена на наличие того или иного пользователя у меня заработала следующая.
Код:
/usr/lib/squid3/squid_ldap_auth -R -D "squid3@domain.local" -w "usepasswd" -b "dc=domain,dc=local" -f "sAMAccountName=%s" name.domain.local

Кстати надо не забывать в шаблонах в sams указывать,что аутентифицируем именно через adldp.
Дабы пользователи вне домена могли пользоваться интрнетом то списки и разрешения размещать до auth секции конфигурации кальмара. Ну а остальные настройки в принципе штатны.
На днях потащу всё это к начальнику отдела на одобрение......Как то так. ;)


01010000011010000110000101101110011101000110111101101101


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid + AD.
СообщениеДобавлено: 04 апр 2015, 08:59 
Аватар пользователя
Статус: Не в сети

GeoIP: Kyrgyzstan

Сообщений: 1887

Зарегистрирован: 03 мар 2010, 11:25
Благодарил (а): 4 раз.
Поблагодарили: 39 раз.
ОС: Slackware-current
Phantom
Листинг могешь кинуть конфигов? Сам подумывал каракатицу на домен привесить, но пока хомяки на статике через дхцп сидят не сильно напрягает. А всякие плюшки типа социалки рулятся через маки их железок.


Изображение

Изображение

Work: Slackware Linux 14.0 х 'all Servers'
Laptop: Slackware64-current / Xfce 4.10 / Linux 3.10.5


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Squid + AD.
СообщениеДобавлено: 06 апр 2015, 11:48 
Эникейщик
Аватар пользователя
Статус: Не в сети

GeoIP: Russian Federation

Сообщений: 267
Откуда: Брянск
Зарегистрирован: 18 май 2012, 16:34
Благодарил (а): 0 раз.
Поблагодарили: 18 раз.
ОС: ARCH Linux
Через маки....сурово,но неправильно. Прикинь завтра тебе рулить кальмаром 2 подсети.... Ух будет невесело весь конфиг перелопачивать и режимы менять, а заводить жуткую жуть вроде arp proxy это анахронизм в самом радикальном проявлении. %)
Так...конфиги. Да там по большому счету ничего сложного. Ну кроме того,что работать придется в выходной,когда минимум пользователей пользуется сим сервисом.
1. Прыгаешь в свой sams.conf и добавляешь следующее
Код:
LDAPSERVER=тут IP твоего ада
LDAPBASEDN=domain.local
LDAPUSER=пользователь домена. У меня тут самый кастрированный.
LDAPUSERPASSWD=его пароль
LDAPUSERSGROUP= Папка, где в аду валяется зверь. Если есть вложенности,то прекрасно кушает через /, но мой тебе совет создай в папке Users. Авторизуй с какой нить машины. Легче  жить будет. Кальмар не понимает вложенности.

Сохранить закрыть.
httpd перезапуск....или релоад как угодно.
Значит в морде ставишь галочку "Тип авторизации" в Active Directory. IP режим снимаешь,поскольку когда ты будешь тащить из ада зверей,они будут некорректно прописываться в файле конфигурации.
Далее в панели интерфейса слева у тебя появится необходимый пункт с настройками ада. Прыгаешь туда. Там уже должны быть внесены те настройки,которые ты в конфиге писал. Если тут всё, то жми кнопку "Тестировать подключение к Active Directory". Если он тебе вывалил весь домен,то значит все. Самсу ты настроил.
Теперь нужно настроить кальмара. Тут все несколько сложнее. Нужно в фаиле конфигурации включить тип авторизации, а именно найти где описана директива auth_param и вся хрень к ней и отредактировать/вписать следующее. Естественно предварительно ты должен проверить,что ldap helper работает. Запускаешь следующий состав. У меня в домене для этого создан пользователь squid3.
Код:
/usr/lib/squid3/squid_ldap_auth -R -D "squid3@domain.local" -w "password" -b "dc=domain,dc=local" -f "sAMAccountName=%s" nameserver.domain.local(ИМЯ, НИКАКОГО IP!)

Далее вводишь логин и через пробел пароль кастрированного доменного пользователя и если ответ OK. То идешь дальше.....если же ERR Success то одеваешь перья и достаешь бубен....придется разбираться.
Далее собственно squid.conf
Код:
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -D "squid3@domain.local" -w "password" -b "dc=domain,dc=local" -f "sAMAccountName=%s" nameserver.domain.local(ИМЯ, НИКАКОГО IP!)
auth_param basic children 10
auth_param basic realm Proxy Authentication
auth_param basic credentialsttl 8 hours

.....Если самсы нет,то ещё надо acl прописать где нить внизу для этих зверей.
acl proxy-users proxy_auth REQUIRED
http_access allow proxy-users

Если ничего не забыл,то все. А нет кстати сразу скажу как регистрировать. В веб морде заходишь туда же,где тестировал подключение к домену и внизу ярлычок в виде домика. Вот именно то,что тебе надо. И вот ещё важное. В шаблонах не забудь поменять способ авторизации на adld.


01010000011010000110000101101110011101000110111101101101


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 7 ] 
   Похожие темы   Автор   Ответов   Просмотров   Последнее сообщение 
Перенесенная ^_^

в форуме Linux

root

3

38

02 мар 2010, 16:15

Gen1us2k Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Опубликован пакетный менеджер GNU Guix 0.12 и дистрибутив...

в форуме Новости *nix

[Ботя]

0

396

23 дек 2016, 13:30

Гость Перейти к последнему сообщению

Нет новых непрочитанных сообщений в этой теме Компания Microsoft представила виртуальную файловую систе...

в форуме Новости *nix

[Ботя]

0

329

04 фев 2017, 03:30

Гость Перейти к последнему сообщению



Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Собрано Raven. Русская поддержка phpBB
phpBB SEO