Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблема с squidNT

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Открыть новую тему     Написать ответ в эту тему

spawel

Newbie		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Бинарники squid/2.7.STABLE8 от 13.03.2010 :
2.7.STABLE8 или тоже самое
2.7.STABLE8-bin-DELAYP
 
"минимальный" конфиг
 
 
Первое сообщение
Всего записей: 4 | Зарегистр. 02-01-2006 | Отправлено: 19:56 21-01-2006 | Исправлено: ndch, 09:53 14-09-2013
aMario



Крокодилас Генас		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Я squidNT вообще никогда не использовал, у меня squid всегда работал на Unix/Linux.

Значит мой вопрос не про вас и не надо его "топить"
Всего записей: 1011 | Зарегистр. 03-09-2001 | Отправлено: 13:20 13-03-2014
vlary



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
aMario
Цитата:
Значит мой вопрос не про вас и не надо его "топить"
Что значит - "топить"? Во-первых, squid он и в Африке squid, и на винде. И желаемого функционала в виде квот по объему у него точно нет.
Во-вторых, я предложил концепции решения. В той программе у ребят имеются исходники,
и если у вас есть человек, умеющий программировать под винду,
то доработать код под эту задачу ему труда не составит.
Я прекрасно представляю задачу, возможные методы ее реализации, но мне это не нужно.
Если у вас в запасе есть лучшее решение, или надеетесь на имеющееся готовое - флаг в руки.


----------
Заслуженный SCOтовод, почетный SUNтехник и любитель Кошек
Всего записей: 17278 | Зарегистр. 13-06-2007 | Отправлено: 15:17 13-03-2014
aMario



Крокодилас Генас		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vlary

Цитата:
Что значит - "топить"?

Значит то, что мой вопрос утонул в ваших пространных рассуждениях о Squid-e

Цитата:
Во-первых, squid он и в Африке squid, и на винде. И желаемого функционала в виде квот по объему у него точно нет.

Это я знаю и без ваших высказываний.

Цитата:
Во-вторых, я предложил концепции решения.  

Меня интересовал вопрос успешного решения проблемы, цитирую: "Удалось ли кому-нить запилить squidNT с лимитами по трафику для пользователей?"
Концепции и теории есть у меня и без вас.
Всего записей: 1011 | Зарегистр. 03-09-2001 | Отправлено: 16:13 13-03-2014
sfantom20



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Добрый день!
 
пытаюсь настроить авторизацию керберос на squid 2.7 (сквид под windows)
 
 
Мой конфиг
 

Код:
 
http_port 192.168.0.11:8086
visible_hostname proxymail.motor.local
 
cache_dir ufs c:/squidnt/var/cache 2048 16 256
max_open_disk_fds 0
 
minimum_object_size 0 KB
 
cache_mem 2048 MB
 
store_dir_select_algorithm least-load
 
minimum_object_size 0 KB
maximum_object_size 4096 KB
 
cache_swap_low 90
cache_swap_high 95
 
update_headers on
logfile_rotate 10
 
debug_options ALL,1 33,2 29,4 82,4 28,4
logfile_daemon c:/squidnt/libexec/logfile-daemon.exe
access_log c:/squidnt/var/logs/access.log
pid_filename c:/squidnt/var/logs/squid.pid
cache_log c:/squidnt/var/logs/cache.log
 
 
auth_param basic program C:/squidnt/libexec/squid_ldap_auth.exe -R -D SQUIDService@motor.local -w 12345678 -b "ou=omkb,dc=motor,dc=local" "sAMAccountName=%s" srv-ad2.motor.local
authenticate_ttl 1 hour  
 
 
external_acl_type ldap_users %LOGIN C:/squidnt/libexec/squid_ldap_group.exe -b -R -d "dc=motor,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,cn=Пользователи,ou=builtin,dc=motor,dc=local))" -D SQUIDService@dmotor.local -w 12345678 -R srv-ad2.motor.local ttl=3600
acl group-allow-inet external ldap_users UsersWithInternet
 
acl all src 10.141.8.0/24
 
http_access allow group-allow-inet
 
acl INTERNET proxy_auth REQUIRED
http_access allow INTERNET
http_access allow all
http_access deny all
 
 
refresh_pattern -i \.gif$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.png$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpg$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.jpeg$ 43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.pdf$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.zip$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tar$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.gz$   43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.tgz$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.exe$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.prz$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.ppt$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.inf$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.swf$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mid$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.wav$  43200 100% 43200 override-lastmod override-expire
refresh_pattern -i \.mp3$  43200 100% 43200 override-lastmod override-expire
 
 

 
В интернет не пускает, выдается меня на авторизацию
в логах пишет такое
 
access.log

Код:
 
1571218334.775      0 10.141.8.21 TCP_DENIED/407 1780 CONNECT www.gstatic.com:443 - NONE/- text/html
1571218498.518      0 10.141.8.21 TCP_DENIED/407 1927 GET http://tile-service.weather.microsoft.com/en-US/livetile/preinstall? - NONE/- text/html
1571218498.518      0 10.141.8.21 TCP_DENIED/407 1927 GET http://tile-service.weather.microsoft.com/en-US/livetile/preinstall? - NONE/- text/html
1571218705.195      0 10.141.8.21 TCP_DENIED/407 1822 CONNECT clientservices.googleapis.com:443 - NONE/- text/html
1571218705.210      0 10.141.8.21 TCP_DENIED/407 1903 GET http://clientservices.googleapis.com/chrome-variations/seed? - NONE/- text/html
1571218764.175      0 10.141.8.21 TCP_DENIED/407 1792 CONNECT clients4.google.com:443 - NONE/- text/html
1571218781.459      0 10.141.8.21 TCP_DENIED/407 1825 CONNECT watson.telemetry.microsoft.com:443 - NONE/- text/html
 
 

 
cache.log
 

Код:
 
019/10/16 15:41:56| aclMatchAclList: checking all
2019/10/16 15:41:56| aclMatchAcl: checking 'acl all src 10.141.8.0/24'
2019/10/16 15:41:56| aclMatchIp: '10.141.8.21' found
2019/10/16 15:41:56| aclMatchAclList: returning 1
2019/10/16 15:41:56| aclCheck: checking 'http_access allow group-allow-inet'
2019/10/16 15:41:56| aclMatchAclList: checking group-allow-inet
2019/10/16 15:41:56| aclMatchAcl: checking 'acl group-allow-inet external ldap_users UsersWithInternet'
2019/10/16 15:41:56| authenticateValidateUser: Auth_user_request was NULL!
2019/10/16 15:41:56| authenticateAuthenticate: broken auth or no proxy_auth header. Requesting auth header.
2019/10/16 15:41:56| aclAuthenticated: returning 0 sending authentication challenge.
2019/10/16 15:41:56| aclMatchExternal: ldap_users user not authenticated (-1)
2019/10/16 15:41:56| aclMatchAclList: no match, returning 0
2019/10/16 15:41:56| aclCheck: match found, returning 2
2019/10/16 15:41:56| aclCheckCallback: answer=2
2019/10/16 15:41:56| The request CONNECT 23.23.194.123:443 is DENIED, because it matched 'group-allow-inet'
2019/10/16 15:41:56| The reply for CONNECT 23.23.194.123:443 is ALLOWED, because it matched 'group-allow-inet'
 

 
Всего записей: 257 | Зарегистр. 15-12-2004 | Отправлено: 12:43 16-10-2019 | Исправлено: sfantom20, 12:45 16-10-2019
yuris

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Вангую, что сквид не понимает кирилицу в имени группы

Цитата:
cn=Пользователи

хотя как он работает на винде - хз
Всего записей: 383 | Зарегистр. 19-11-2001 | Отправлено: 11:58 17-10-2019
sfantom20



Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
заменил пользователей на группу UsersWithInternet

Код:
external_acl_type ldap_users %LOGIN C:/squidnt/libexec/squid_ldap_group.exe -b -R -d "dc=motor,dc=local" -f "(&(sAMAccountName=%v)(memberOf=cn=%a,cn=UsersWithInternet,ou=builtin,dc=motor,dc=local))" -D SQUIDService@dmotor.local -w 12345678 -R srv-ad2.motor.local ttl=3600
acl group-allow-inet external ldap_users UsersWithInternet
 

 
появились такие ошибки
 

Код:
 
019/10/18 08:11:32| aclMatchAclList: checking all
2019/10/18 08:11:32| aclMatchAcl: checking 'acl all src 10.141.8.0/24'
2019/10/18 08:11:32| aclMatchIp: '10.141.8.21' found
2019/10/18 08:11:32| aclMatchAclList: returning 1
2019/10/18 08:11:32| aclCheck: checking 'http_access allow group-allow-inet'
2019/10/18 08:11:32| aclMatchAclList: checking group-allow-inet
2019/10/18 08:11:32| aclMatchAcl: checking 'acl group-allow-inet external ldap_users UsersWithInternet'
2019/10/18 08:11:32| authenticateValidateUser: Auth_user_request was NULL!
2019/10/18 08:11:32| authenticateAuthenticate: broken auth or no proxy_auth header. Requesting auth header.
2019/10/18 08:11:32| aclAuthenticated: returning 0 sending authentication challenge.
2019/10/18 08:11:32| aclMatchExternal: ldap_users user not authenticated (-1)
2019/10/18 08:11:32| aclMatchAclList: no match, returning 0
2019/10/18 08:11:32| aclCheck: match found, returning 2
2019/10/18 08:11:32| aclCheckCallback: answer=2
2019/10/18 08:11:32| The request GET http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/pinrulesstl.cab?c8792880d29c5502 is DENIED, because it matched 'group-allow-inet'
2019/10/18 08:11:32| The reply for GET http://ctldl.windowsupdate.com/msdownload/update/v3/static/trustedr/en/pinrulesstl.cab?c8792880d29c5502 is ALLOWED, because it matched 'group-allow-inet'
 
 
Всего записей: 257 | Зарегистр. 15-12-2004 | Отправлено: 05:13 18-10-2019
ipmanyak



Platinum Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sfantom20  
>auth_param basic program  
Пишешь , что хочешь керберос, а сам похоже юзаешь basic авторизацию  
 
Почитай  тут про Керберос  
https://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
чтобы был именно керберос нужно юзать в 2.7 прогу mswin_negotiate_auth.exe
 
 
В  акселях и в параметрах запуска squid_ldap_group.exe  вместо srv-ad2.motor.local попробуй указать IP сервера вместо имени.
 
А вот в настройках браузеров или в системе,  наоборот, юзай   FQDN прокси-сервера, а не IP. Это вроде было обязательное условие для Кербероса. Для NTLM и BASIC этого не требуется.  
 
Если устроит NTLM авторизация, то тут есть готовый конфиг.
 
https://aradm.ru/page/nastroyka-proksi-servera-squidnt-s-avtorizatsiey-polzovateley-v-active-directory
 
 


----------
В сортире лучше быть юзером, чем админом...
Всего записей: 11735 | Зарегистр. 10-12-2003 | Отправлено: 09:10 18-10-2019 | Исправлено: ipmanyak, 09:18 18-10-2019
yuris

Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sfantom20
Пробуй запустить хелпер отдельно в консоли C:/squidnt/libexec/squid_ldap_group.exe со всеми параметрами, на лине подобный хелпер выводит ошибки если есть и позволяет оттестировать аутентификацию. Что будет на винде - хз.
Всего записей: 383 | Зарегистр. 19-11-2001 | Отправлено: 11:44 18-10-2019
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Проблема с squidNT


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru