Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Проверка принадлежности пользователя к группе AD SQUID'ом  (Прочитано 5034 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн NINJA2121

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Всем доброго дня.
Прошу помощи в решении проблемы проверки SQUID'ом принадлежности пользователя к определенной группе в AD для классификации доступа в интернет.
все настройки делались вот по этой серии инструкций http://blog.it-kb.ru/2014/06/16/forward-proxy-squid-3-3-on-ubuntu-server-14-04-lts-part-1-install-os-on-hyper-v-generation-2-vm/

вроде все работает, и пользователей видит и группы видит, а вот проверять к какой группе относится тот или иной пользователь не хочет


odmin@ubuntu:~$ sudo /usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "OU=InternetAccess,OU=Groups,OU=R19,OU=FGUP,dc=main,dc=russianpost,dc=ru" -D squid-r19@main.russianpost.ru -W /etc/squid3/conf/ldap.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=InternetAccess,OU=Groups,OU=R19,OU=FGUP,DC=main,DC=russianpost,DC=ru))" -h r19eskdc01.main.russianpost.ru r19eskdc02.main.russianpost.ruAlexander_Ivanov R19-Internet-Full
ext_ldap_group_acl: WARNING: could not bind to binddn 'Invalid credentials'

ERR


подскажите где посмотреть и куда копать, с линуксом работаю 2-ой месяц, поэтому попрошу немного подробнее давать советы.
Заранее благодарю за помощь.
P.S. если что нужно показать пишите я отправлю

Оффлайн shyatan007

  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Как вариант посмотреть там же:http://forum.it-kb.ru/viewtopic.php?t=70&p=327
Если у вас настроен kerberos, можно проверку по группам сделать через помощник сквида ext_kerberos_group_ldap_acl
У меня проверка на принадлежность к группе идет через этот хелпер. Все гуд

Оффлайн NINJA2121

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
shyatan007,
то есть, ты предлагаешь попробовать заменить хелпера?
какие изменения придется вносить в конфиг?

Оффлайн shyatan007

  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
/usr/lib/squid3/ext_kerberos_group_ldap_acl -g "група в AD" -D "ТВОЙ ДОМЕН ПОЛНОСТЬЮ В БОЛЬШОМ РЕГИСТРЕ"
Как то так.
Почитай здесь: http://interface31.ru/tech_it/2015/07/nastraivaem-squid-dlya-raboty-s-active-directory-chast-3-avtorizaciya-na-osnove-grupp-ad.html

Оффлайн NINJA2121

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
shyatan007,
ОК
буду пробовать, отпишусь по результату.

Оффлайн NINJA2121

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
Заменил хелпера - все работает на ура, только инет тормозит сильно, подскажите куда смотреть? весь конфиг уже перелопатил на 100 рядов

Оффлайн shyatan007

  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Сколько пользователей?
С какими параметрами запускается хелпер?

Оффлайн NINJA2121

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
пользователей не больше 5 пока (решил поэкспериментировать на коллегах)

вот полностью конфиг сквида

# Network
    acl localnet src 10.67.1.0/24
    acl ops17 src 192.168.99.0/24
    acl guests src 192.168.0.0/20

# Ports
    http_port 10.67.1.39:3128
    http_port 127.0.0.1:3128
    dns_nameservers 10.67.0.141
    dns_nameservers 10.67.0.142
    dns_nameservers 8.8.8.8

# Caching
    # for memory
# cache_mem 2048 MB
# maximum_object_size_in_memory 2048 KB
# memory_replacement_policy heap GDSF
    # for HDD
# cache_replacement_policy heap LFUDA
# cache_dir ufs /mnt/squid-cache/ 7000 16 256
# maximum_object_size 32768 KB


# Loginig
    access_log daemon:/var/log/squid3/access.log squid
    cache_log /var/log/squid3/cache.log
    cache_store_log /var/log/squid3/store.log
    logfile_rotate 31

# Troubleshooting
#    cache_log /var/log/squid3/cache.log
    coredump_dir /var/spool/squid3

# Cache tuning
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
    refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
    refresh_pattern . 0 20% 4320

# Kerberos authentication
    auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -s HTTP/r19proxy.main.russianpost.ru
    auth_param negotiate children 20 startup=0 idle=1
    auth_param negotiate keep_alive on

    acl auth proxy_auth REQUIRED

# Access Group
    external_acl_type full ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g R19-Internet-Full -D MAIN.RUSSIANPOST.RU
    external_acl_type standart ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g R19-Internet-Standart -D MAIN.RUSSIANPOST.RU
    external_acl_type restricted ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g R19-Internet-Restricted -D MAIN.RUSSIANPOST.RU
    external_acl_type blocked ttl=300 negative_ttl=60 %LOGIN /usr/lib/squid3/ext_kerberos_ldap_group_acl -a -g R19-Internet-Blocked -D MAIN.RUSSIANPOST.RU

    acl full external full
    acl standart external standart
    acl restricted external restricted
    acl blocked external blocked

# URL Filtering
    acl whitelist dstdomain "/etc/squid3/conf/acl/white.acl"
    acl blacklist dstdomain "/etc/squid3/conf/acl/black.acl"
    acl priority dstdomain "/etc/squid3/conf/acl/priority.acl"

# Access option
    # for manager
http_access allow localnet manager
# http_access deny manager

    # for guests
http_access allow priority localnet
http_access allow priority guests
http_access allow priority ops17

    # for users
# http_access allow auth
# http_access deny blocked all
http_access allow whitelist restricted
http_access deny restricted all
http_access deny blacklist standart
http_access allow standart all
http_access allow full all
http_access allow localhost
http_access deny all
# http_access allow full
# http_access deny standart

# Option which affect the neighbor selection algorithm
    hierarchy_stoplist cgi-bin ?
    forward_max_tries 25

# Administrative option
    cache_mgr Alexander_Ivanov@RussianPost.ru
    httpd_suppress_version_string on
    visible_hostname R19PROXY

# Error page option
    error_directory /usr/share/squid3/errors/ru
    error_default_language ru

# DNS option
    dns_v4_first on


# Other
    forwarded_for delete
    cachemgr_passwd 0Es5snnq4 all

причем первые 10 минут после включения компа инет работает на ура, а потом все дольше и дольше страницы открываются, а потом и вовсе перестают открываться.
такое ощущение что место под кэш заканчивается и он не может страницы прокэшировать и отдать пользователю.
помогите разобраться

Оффлайн shyatan007

  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
у тебя хелпер запускается одним экземпляром. То есть пользователь обращается к прокси, тот в свою очередь запускает хелпер. Если в этот  момент еще один пользователь обращается к прокси, он ждет пока освободится хелпер и т.д.

Укажи ему такие параметры children-max=20 children-startup=5
Да и TTL укажи побольше, например 3600 (час). А то у тебе хелперы к AD обращаются раз в 5 минут.

Поищи на opennet превод конфига squid. Там более подробно расписано что к чему

Оффлайн NINJA2121

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
поправил параметры startup и idle ничего не помогло.
решил методом научного тыка исправлять другие параметры и помогло.
keep_alive OFF

теперь все работает на ура. хотя вот ttl можно и увеличить.
скажите вообще чем чревато увеличение ttl? хочу поставить раз в сутки, не думаю что у нас будет чаще меняться членство в группах. и как потом, в случае чего, сказать сквиду принудительно проверить это самое членство?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28476
    • Просмотр профиля
Принудительно - только презагрузить. Ставьте TTL 5-15 минут. Для работы этого достаточно.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн NINJA2121

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
все работает вроде нормально, но вот только после ребута прокси первый раз у пользователя долго открывается первая страница (я так думаю что он долго авторизует пользователя). можно это как-то исправить?

еще вопрос: можно как-то "на лету" менять whitelist\blacklist? чтобы не ребутать сквида (опять же из-за долгого открытия первой страницы)?

Оффлайн djrust

  • Активист
  • *
  • Сообщений: 861
    • Просмотр профиля
все работает вроде нормально, но вот только после ребута прокси первый раз у пользователя долго открывается первая страница (я так думаю что он долго авторизует пользователя). можно это как-то исправить?

еще вопрос: можно как-то "на лету" менять whitelist\blacklist? чтобы не ребутать сквида (опять же из-за долгого открытия первой страницы)?

sudo service squid3 reload ?

Оффлайн NINJA2121

  • Автор темы
  • Новичок
  • *
  • Сообщений: 9
    • Просмотр профиля
да, делаю именно reload.
еще подскажите как сделать чтобы сквид не запрашивал пароль на доступ к запрещенному ресурсу, а сразу говорил что доступ запрещен?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28476
    • Просмотр профиля
все работает вроде нормально, но вот только после ребута прокси первый раз у пользователя долго открывается первая страница (я так думаю что он долго авторизует пользователя). можно это как-то исправить?
Набрёл на совет использовать принудительно IPv4

external_acl_type NT_group ipv4 %LOGIN /usr/lib64/squid/ext_wbinfo_group_acl
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.074 секунд. Запросов: 25.