Форум русскоязычного сообщества Ubuntu


Автор Тема: SQUID3 на Ubuntu server 12.04 c acl по группам из AD ( 2003)  (Прочитано 500 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн netraven

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Приветствую сообщество !  Пробую построить широко применяемую связку
 ubuntu server 12.04 +squid3(3.1.19)+samba3.6.3+ AD (server 2003) для пропуска пользователей в интернет по принадлежности к группам AD.
Использовал руководство http://www.lissyara.su/articles/freebsd/programms/squid+ad+group_access/ с поправкой на особенности  ubuntu. Последовательность правил проверки групп и состав основных блокирующих списков совпадает с руководством. Секция ограничения скорости отключена полностью. Только проверка по группам пользователей и ограничения по ACL.
Сервер введен в домен, wbinfo отрабатывает все основные проверки из статьи ,kinit тоже.  Но не заработали группы распространения. Вообще не видны в результате запроса "wbinfo -g". Как только переделал вид группы inet-admins в "безопасность" и сбросил кеш (net cache flush) - группа отрисовалась в  выводе . Получить напрямую описание любой группы можно было и до этого (wbinfo --group-info=MYDOMAIN\\inet-directors работает).
 Занес пробного пользователя в привилегированную группу inet-admins ,сделал несколько проверок ,
вплоть до ("echo "MYDOMAIN\\vlad inet-admins" | /usr/lib/squid3/wbinfo_group.pl -d"  - выдает "Sending OK to squid").
Проверка принадлежности пользователя любой  группе распространения выдает всегда ( "Sending ERR to squid").
НО при попытке пользователя выйти на произвольный сайт через IE11 на win7 получаем "Доступ запрещён". Доступны только сайты , разрешенные даже пользователям без интернета. То есть, проверка на принадлежность группе не сработала или что-то еще .
В каких логах нужно искать результат отработки данных о пользователе?  И нормально ли ,что видны только группы безопасности AD? В access.log масса записей типа "TCP_DENIED/403...GET ..... UNION_HOUSE\unproxy /NONE ..." Это пользователь специальный ,от имени которого проходит аутентификация в AD (по мануалу создавался). Но у него и не должно быть доступа в инет.
Например, попытка открыть сайт тем же  пользователем  vlad порождает такие записи  :access.log                                                                                                                                                                 451/451               100%
1398757094.934      0 192.168.0.201 TCP_DENIED/407 4030 GET http://www.m24.ru/ - NONE/- text/html
1398757094.937      0 192.168.0.201 TCP_DENIED/407 4355 GET http://www.m24.ru/ - NONE/- text/html
1398757094.946      5 192.168.0.201 TCP_DENIED/403 4593 GET http://www.m24.ru/ MYDOMAIN\unproxy NONE/- text/html
1398757094.962      0 192.168.0.201 TCP_DENIED/403 4019 GET http://www.squid-cache.org/Artwork/SN.png UNION_HOUSE\unproxy NONE/- text/html

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 861
    • Просмотр профиля
Re: SQUID3 на Ubuntu server 12.04 c acl по группам из AD ( 2003)
« Ответ #1 : 29 Апрель 2014, 15:47:48 »
конфиг сквида мы должны угадать?

Оффлайн netraven

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Re: SQUID3 на Ubuntu server 12.04 c acl по группам из AD ( 2003)
« Ответ #2 : 30 Апрель 2014, 12:59:58 »
Конфиг сквида прям по вышеуказанной статье. За исключением  адресов конкретных  машин и закоментированной секции с ограничением скорости. Проблема была в том , что в браузере прокси сервер был указан через IP адрес ,  а не через FQDN.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 27658
    • Просмотр профиля
Re: SQUID3 на Ubuntu server 12.04 c acl по группам из AD ( 2003)
« Ответ #3 : 30 Апрель 2014, 14:33:34 »
Конфиг сквида прям по вышеуказанной статье.
Мы уже достаточно видели проблем, растущих из одной-единственной опечатки.
Вас не просто так просят показывать настоящее состояние вашей конкретной системы, а не какие-то ссылки на то, как у кого-то что-то где-то...
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.061 секунд. Запросов: 25.