Приветствую сообщество ! Пробую построить широко применяемую связку
ubuntu server 12.04 +squid3(3.1.19)+samba3.6.3+ AD (server 2003) для пропуска пользователей в интернет по принадлежности к группам AD.
Использовал руководство
http://www.lissyara.su/articles/freebsd/programms/squid+ad+group_access/ с поправкой на особенности ubuntu. Последовательность правил проверки групп и состав основных блокирующих списков совпадает с руководством. Секция ограничения скорости отключена полностью. Только проверка по группам пользователей и ограничения по ACL.
Сервер введен в домен, wbinfo отрабатывает все основные проверки из статьи ,kinit тоже. Но не заработали группы распространения. Вообще не видны в результате запроса "wbinfo -g". Как только переделал вид группы inet-admins в "безопасность" и сбросил кеш (net cache flush) - группа отрисовалась в выводе . Получить напрямую описание любой группы можно было и до этого (wbinfo --group-info=MYDOMAIN\\inet-directors работает).
Занес пробного пользователя в привилегированную группу inet-admins ,сделал несколько проверок ,
вплоть до ("echo "MYDOMAIN\\vlad inet-admins" | /usr/lib/squid3/wbinfo_group.pl -d" - выдает "Sending OK to squid").
Проверка принадлежности пользователя любой группе распространения выдает всегда ( "Sending ERR to squid").
НО при попытке пользователя выйти на произвольный сайт через IE11 на win7 получаем "Доступ запрещён". Доступны только сайты , разрешенные даже пользователям без интернета. То есть, проверка на принадлежность группе не сработала или что-то еще .
В каких логах нужно искать результат отработки данных о пользователе? И нормально ли ,что видны только группы безопасности AD? В access.log масса записей типа
"TCP_DENIED/403...GET ..... UNION_HOUSE\unproxy /NONE ..." Это пользователь специальный ,от имени которого проходит аутентификация в AD (по мануалу создавался). Но у него и не должно быть доступа в инет.
Например, попытка открыть сайт тем же пользователем vlad порождает такие записи :
access.log 451/451 100%
1398757094.934 0 192.168.0.201 TCP_DENIED/407 4030 GET http://www.m24.ru/ - NONE/- text/html
1398757094.937 0 192.168.0.201 TCP_DENIED/407 4355 GET http://www.m24.ru/ - NONE/- text/html
1398757094.946 5 192.168.0.201 TCP_DENIED/403 4593 GET http://www.m24.ru/ MYDOMAIN\unproxy NONE/- text/html
1398757094.962 0 192.168.0.201 TCP_DENIED/403 4019 GET http://www.squid-cache.org/Artwork/SN.png UNION_HOUSE\unproxy NONE/- text/html