SQUID + SAMS прозрачная авторизация в AD

[AlistaM]

Добрый день, прощу помощи в настройке SQUID для SAMS, читал разные статьи но так не очень то и понял почему у меня не работает. Я так понимаю демон sams сам должен настраивать squid.conf? Если вручную ставлю в squid.conf

Код: [Выделить]

acl mynet src 192.168.0.0/24
http_access allow mynet
то все работает, но естесвенно для всей сети, если закомментировать эти строчки то в интернет из локальной сети не пускает, хотя в sams пользователи из домена тянуться нормально. хочу настроить прозрачный прокси сервер но с ограничением по юзерам из ad, то есть те кто активированы в SAMS тем можно ходить, остальным нельзя.

squid

(Нажмите, чтобы показать/скрыть)

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
acl localnet src 192.168.0.0/16   # RFC1918 possible internal network
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
 cache_dir ufs /var/spool/squid 100 16 256
access_log /var/log/squid/access.log squid
 pid_filename /var/run/squid.pid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Package(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
delay_pools 2
delay_class 1 2
delay_class 2 2
delay_access 1 allow _sams_
delay_access 1 deny all
delay_parameters 1 (null)/(null) (null)/(null)
delay_access 2 allow _sams_default
delay_access 2 deny all
delay_parameters 2 (null)/(null) (null)/(null)
hosts_file /etc/hosts
coredump_dir /var/spool/squid

iptables

(Нажмите, чтобы показать/скрыть)

# Generated by iptables-save v1.4.4 on Fri Jun 24 15:58:43 2011
*filter
:INPUT ACCEPT [18476:1373706]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2358:194087]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state INVALID -j DROP
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 6000:6063 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -i eth1 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 53 --dport 1024:65353 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 25 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 110 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 143 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 22 --dport 1020:1023 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --sport 21 --dport 1024:65535 ! --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -s 192.168.0.0/24 -i eth0 -m conntrack --ctstate NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -o eth1 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 25 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 110 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 143 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1020:1023 --dport 22 -j ACCEPT
-A OUTPUT -o eth1 -p tcp -m tcp --sport 1024:65535 --dport 21 -j ACCEPT
COMMIT
# Completed on Fri Jun 24 15:58:43 2011
# Generated by iptables-save v1.4.4 on Fri Jun 24 15:58:43 2011
*nat
:PREROUTING ACCEPT [7438:893527]
:OUTPUT ACCEPT [2172:175014]
:POSTROUTING ACCEPT [1023:95108]
-A PREROUTING ! -d 192.168.0.0/24 -i eth0 -p tcp -m multiport --dports 80,8080 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -j SNAT --to-source 83.83.83.83
COMMIT
# Completed on Fri Jun 24 15:58:43 2011

[fisher74]

Что-то меня параметры вёдер "(null)" смущают....
И где собственно указано, что работать с SAMS? Хотя признаться сам с ним ни  разу не работал, но по логике вижу группу _sams_ в вёдрах, а в разрешениях нет.

Быстрогуглин кажет, чтодолжно быть ещё что-то типа

auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sams

auth_param basic children 3
auth_param basic realm Corporate Internet Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

[AlistaM]

было еще, но после того как сделал на самсе несколько раз реконфигурирование squid оно исчезло, но и с тем что было не работало. а можно ли стандартными средствами squid сделать ограничение по объему трафика на определенную группу юзеров в ad, а на другую безлимит? если да то можно вообще от sams отказаться, кроме логирования

[AlistaM]

я кажется начинаю что -то понимать, кажется все проблемы пошли после того как я удалил дефолтовый шаблон в sams!!! сейчас буду думать как бы это поправить.
Пользователь решил продолжить мысль 27 Июня 2011, 12:46:30:после того как добавил шаблон по умолчанию получилось вот так:

(Нажмите, чтобы показать/скрыть)

acl _sams_4e0836b7031a7 proxy_auth "/etc/squid/4e0836b7031a7.sams"
acl _sams_4e0836b7031a7_time time MTWHFA 00:00-23:59
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
acl localnet src 192.168.0.0/24   # RFC1918 possible internal network
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow _sams_4e0836b7031a7  _sams_4e0836b7031a7_time  
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
 cache_dir ufs /var/spool/squid 100 16 256
access_log /var/log/squid/access.log squid
 pid_filename /var/run/squid.pid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|?) 0   0%   0
refresh_pattern (Release|Package(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
delay_pools 1
delay_class 1 2
delay_access 1 allow _sams_4e0836b7031a7
delay_access 1 deny all
delay_parameters 1 524288/524288 524288/524288
hosts_file /etc/hosts
coredump_dir /var/spool/squid

Пользователь решил продолжить мысль 27 Июня 2011, 13:04:29:теперь пишет:

Код: [Выделить]

2011/06/27 12:56:36| Invalid Proxy Auth ACL 'acl _sams_4e0836b7031a7 proxy_auth "/etc/squid/4e0836b7031a7.sams" ' because no authentication schemes are fully configured.
FATAL: Bungled squid.conf line 440: acl _sams_4e0836b7031a7 proxy_auth "/etc/squid/4e0836b7031a7.sams"
Squid Cache (Version 2.7.STABLE9): Terminated abnormally.

Пользователь решил продолжить мысль 27 Июня 2011, 15:03:27:sams по моему вообще не меняет auth_param. после того как прописал:

Код: [Выделить]

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

стало нормально рестартиться, но все равно пользователя так и не пускает, при попытке выхода на сайт пишет:

Код: [Выделить]

Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is correct.

squid имеет параметры:

(Нажмите, чтобы показать/скрыть)

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl _sams_4e0836b7031a7 proxy_auth "/etc/squid/4e0836b7031a7.sams"
acl _sams_4e0836b7031a7_time time MTWHFA 00:00-23:59
acl _sams_4e085a6686248 proxy_auth "/etc/squid/4e085a6686248.sams"
acl _sams_4e085a6686248_time time MTWHFAS 00:01-23:58
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
acl localnet src 172.16.0.0/12   # RFC1918 possible internal network
acl localnet src 192.168.0.0/24   # RFC1918 possible internal network
acl SSL_ports port 443      # https
acl SSL_ports port 563      # snews
acl SSL_ports port 873      # rsync
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70      # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535   # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl Safe_ports port 631      # cups
acl Safe_ports port 873      # rsync
acl Safe_ports port 901      # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow _sams_4e0836b7031a7  _sams_4e0836b7031a7_time  
http_access allow _sams_4e085a6686248  _sams_4e085a6686248_time  
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
icp_access allow localnet
icp_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
 cache_dir ufs /var/spool/squid 100 16 256
access_log /var/log/squid/access.log squid
 pid_filename /var/run/squid.pid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|?) 0   0%   0
refresh_pattern (Release|Package(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
delay_pools 2
delay_class 1 2
delay_class 2 2
delay_access 1 allow _sams_4e0836b7031a7
delay_access 1 deny all
delay_parameters 1 524288/524288 524288/524288
delay_access 2 allow _sams_4e085a6686248
delay_access 2 deny all
delay_parameters 2 524288/524288 524288/524288
hosts_file /etc/hosts
coredump_dir /var/spool/squid

помогите пожалуйста решить? в чем может быть загвоздка?

кстати squid стоит 2.7, а в
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
прописано 2.5. это может как то влиять?
Пользователь решил продолжить мысль 27 Июня 2011, 15:27:27:ntlm_auth --username=sim.ss
password:
NT_STATUS_OK: Success (0x0)

Пользователь решил продолжить мысль 27 Июня 2011, 16:44:55:актуально
как удалить тему?