Mosl
Advanced Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:| А почему у Вас в прошлом сообщении был укзан test.user, а в последнем просто прочерк... |
При одной попытке авторизации в логе вижу:
1468825560.281 0 10.10.5.67 TCP_DENIED/407 4113 GET http://ya.ru/ - HIER_NONE/- text/html
1468825560.285 2 10.10.5.67 TCP_DENIED/407 4441 GET http://ya.ru/ - HIER_NONE/- text/html
1468825560.288 1 10.10.5.67 TCP_DENIED/407 4717 GET http://ya.ru/ - HIER_NONE/- text/html
1468825568.478 1 10.10.5.67 TCP_DENIED/407 4441 GET http://ya.ru/ - HIER_NONE/- text/html
1468825568.483 4 10.10.5.67 TCP_DENIED/407 4725 GET http://ya.ru/ test.user HIER_NONE/- text/html
Цитата:| Так а пользователь test.user в группе Internet и external acl работает? Попробуйте использовать скрипт ext_wbinfo_group_acl вручную, опции у него должны быть в help'е либо в исходниках. |
Тестовый юзер в группе Internet.
ext_wbinfo_group_acl справки нет.
[root@SQUID2 ~]# /usr/lib64/squid/ext_wbinfo_group_acl -h
Usage: ext_wbinfo_group_acl -dh
-d enable debugging
-h print the help
-K downgrade Kerberos credentials to NTLM.
В интернете нашел такую команду:
[root@SQUID2 ~]# echo test.user internet | /usr/lib64/squid/ext_wbinfo_group_acl
OK
Сервер к домену подключен. Команды wbinfo -g и wbinfo -u выдают списоки групп и пользователей.
Команда id test.user выдает информацию о пользователе.
uid=16777217(test.user) gid=16777216(пользователи домена) groups=16777216(пользователи домена),16777217(группа с запрещением репликации паролей rodc),16777218(администраторы dhcp),16777219(dnsadmins),16777221(издатели сертификатов),16777222(ora_dba),16777223(администраторы предприятия),16777224(organization management),16777225(администраторы схемы),16777226(администраторы домена),16777227(esetadmin),16777228(владельцы-создатели групповой политики),16777229(vncadmin),16777231(1c-admin),16777232(remoteapp),16777233(internet)
Еще команду нашел команду:
[root@SQUID2 ~]# /usr/bin/ntlm_auth --username=test.user
Password:
NT_STATUS_OK: Success (0x0)
Влоге cache.log вижу:
Cannot run '/usr/lib64/squid/ext_wbinfo_group_acl' process.
https://dl.dropboxusercontent.com/u/4928793/cache.log
В итоге гуглю по этой ошибки нахожу это:
As far as I have good understanding of the process, squid do not stop to restart the helper. Therefore in logs appears:
WARNING: external ACL 'memberof' queue overload. Request rejected 'administrator InternetAccess'
The solution is to put the ipv4 flag in front of %LOGIN
Прописал:
external_acl_type AD_Group ipv4 %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
acl Internet external AD_Group Internet
http_access allow Internet
Разделение по группам заработало. Интересный момент, если я добавляю в группу internet нового пользователя то этот пользователь не получит доступ в интернет пока squid не будет перезапущен. Можно внести в конфигурайию squid какие-то изменения что избежать необходимости перезапускать службу в описаном случае?
|
Всего записей: 620 | Зарегистр. 09-05-2006 | Отправлено: 10:22 18-07-2016 | Исправлено: Mosl, 15:09 18-07-2016 |
|
