squid & sams & AD

[Shwed]

имеется Ubuntu 7,10
на ней поднят сквид
имеется домен на базе win2k3 с поднятой AD.  Требуется предоставить доступ пользователям в инет на основе их учетных записей в домене
сначала хотел настроить доступ на основе ntlm авторизации
потом наткнулся на упоминание о sams, который вроде как умеет брать пользователей из AD и уже сам определять правила доступа и тд
поставил sams по инструкции с сайта разработчика http://sams.irc.perm.ru/doc/ru/install.html  а также прочел https://forum.ubuntu.ru/index.php?topic=16352.msg154552#msg154552
вроде все поставилось
правда симлинк пришлось ручками сделать ну да ладно

установлен также webmin
захожу посмотреть сценарии, выполняемые при загрузке или завершении работы системы
захожу в samsd  посмотреть его статус
пишет
Выполнение /etc/init.d/samsd status ..

status: Unknown job: /usr/local/bin/samsdaemon

Причем сам файл /usr/local/bin/samsdaemon присутствует

Ладно захожу в веб-интерфейс
залогинился
В информации о системе куча ошибок вида

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 33

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 45

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 30

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 42

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 30

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 42

Проверил настройки php, mysql - вроде все нормально

Ладно думаю все же попробую выбрать способ авторизации через AD

при нажатии на кнопку "Тестировать ответ PDC" выдает

TEST PDC

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 30

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 42

Fatal error: Call to undefined function ldap_connect() in /usr/local/share/sams/src/adldap.php on line 107

Кто что может подсказать?

[Shwed]

поставил php-ldap
ответ от PDC есть, но варнинги остались

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 30

Warning: exec() has been disabled for security reasons in /usr/local/share/sams/mysqltools.php on line 42

[Shwed]

при попытке реконфигурировать сквид через веб интерфейс самс в журнале пишет

2008-03-12   12:59:31   samsdaemon   Reading request to reconfigure SQUID
2008-03-12   12:59:33   samsdaemon   Reconfigure & restart SQUID... Error

[Shwed]

странно, отменил все что делал в самс с пользователями и шаблонами. попробовал снова реконфигурировать - таже фигня
оставил на ночь
с утра пришел - попробовал еще раз - реконфигурировался сразу 

[Shwed]

добавляем пользователя из АД
добавился
пытаемя реконфигурировать сквид из веб интерфейса самс
не может 

[Shwed]

а насчет варнингов я где то прочитал, что это может быть как раз из за включенного safe_mode в php

но ведь в параметре disable_functions = "chdir,dl,ini_get_all,popen,proc_open,passthru,pcntl_exec" функция exec исключена....
почему же тогда пишет, что нельзя ее запустить?

[Shwed]

странно, но после выходных варнинги исчезли 
а я уж было начал ручками ntlm авторизацию настраивать...

[Shwed]

другая проблема:

Для авторизации пользователей по ldap-протоколу использую ldap_auth модуль встроенный в squid.

Существуют пользователи в корне каталога AD в контейнере Users (default контейнер) и в Оранизационной Единице(ou) squid.

Авторизация в АД пользователей находящихся в контенере Users проходит удачно: ./ldap_auth -u cn -b "cn=Users,dc=my,dc=net" ldapserv user userpassword OK

Авторизация в АД пользователей находящихся в организационной единице squid тоже проходит удачно.

 /usr/lib/squid/ldap_auth -u cn -b "ou=squid,dc=jscguideh,dc=ru" ldapserv
user2 user2password OK

Выше были приведены примеры для пользователей, созданных для эксперемента.

Но у меня структура AD разбита по организационным еденицам, соответствующим отделам внутри организации
Организационные еденицы вложены одна в другую
И если указать в команде только верхнюю ОУ, то пользователи из нижних ОУ не авторизуются. В команде можно указать и нижнюю ОУ и далее по цепочке. Но если таких цепочек много?
Логично было бы пользователей, имеющих право доступа в инет, прописать в группу, скажем, inet_users.
но вот
 /usr/lib/squid/ldap_auth -u cn -b "cn=inet_users,dc=jscguideh,dc=ru" ldapserv
user2 user2password ERR Success

 

[AlektroNik]

Вот эту статейку прочти http://www.lissyara.su/?id=1375 + инструкция к  самсу! У меня все отлично пахало!!!

И еще одно небольшое предупреждение! Веб админкам я вообще не доверяю, такчто если их и использую, то только для просмотра тойже статистики или каких либо настроек! А правлю все ручками!!!

Кстати эти настройки наверняка должны подойти и к убунте потомучто сквид, самс и самба это сторонние программы, заточенные подовсе Удачи!

[Shwed]

спасибо
я уже вроде натыкался на эту статью, очень хорошая статья!
вообще существует целая куча подобных статей
просто я уже запутался, что делал, а что нет  надо весте подробный журнал действий 
переставил сервак, ибо он пока что не в боевом режиме, так что можно ковыряться ))
тоже уже подумал о том, что самс - штука, конечно, удобная, но можно и без него обойтись

ЗЫ: тоже все больше убеждаюсь в том, что все эти веб-интерфейсы не особо и нужны
а по хорошему, как положено, обойтись бы на серваке без гуев вообще..... но пока так не могу, сложно )) тем паче, что начальник отдела без гуеев себя чувствует еще хуже, чем я