LINUX.ORG.RU
ФорумAdmin

centos samba+squid+sams


0

1

контроллер домена 2003 подняты: DNS, DHCP создан пользователь с правами присоединения машин к домену, создана группа пользователей inett есть шлюз на centos 6.4. eth0 inet addr:10.43.5.72 - интернет eth1 inet addr:192.168.0.9- лок.сеть ностроены: resolv.conf, hosts, nsswitch nslookup возвращает правильное значение. получен ключ krb5, шлюз введен в домен поставлена samba 3.6 [global] workgroup = S28 realm = S28.KIROV.RU security = ADS password server = 192.168.0.1 os level = 0 winbind separator = + winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes idmap config * : range = 100000-200000 idmap config * : backend = tdb

testparm Load smb config files from /etc/samba/smb.conf rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384) WARNING: The «idmap uid» option is deprecated WARNING: The «idmap gid» option is deprecated Loaded services file OK. WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter. (by default Samba will discover the correct DC to contact automatically). 'winbind separator = +' might cause problems with group membership. Server role: ROLE_DOMAIN_MEMBER wbinfo -u -g -D -a wbinfo --authenticate -положительно squid

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=«S28+inett» auth_param ntlm children 20 auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=«S28+inett» auth_param basic children 20 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off acl myusers proxy_auth REQUIRED http_access allow myusers

squid работает,но пускает в интернет всех и по ip адресу, а не только пользователей домена и по учетный записям... где грабли?


прокси и сеть
Ядро 2.6.32-el6-358.x86_64 - куда девалась опция CONFIG_NFS_ROOT из конфига?

Осильте Lorcode пожалуйста. Невозможно читать.

Skeletal ★★★
()

Ты покажи squid.conf, вруби детализацию логов. Ну, lorcode там ещё, все дела.

Yustas ★★★★
()

Разобрался с ntlm аутонтификацией, поставил sams, в web интерфейсе захожу в администрирование sams. ввожу домен по умолчанию, ставлю тычку в чекбокс (NTLM. Domain+User)использовать сеппоратор «+». нажимаю на «тестировать ответ PDC» выходит пустое окно.соответственно пользователи не добавляются. куда копать (пользователи в squidе проходят авторизацию нормально) если же выбрать вместо ntlm группы AD. то тестировать ответ PDC срабатывает на ура, но пользователи все равно не заносятся в sams

kresh1
() автор топика
13 февраля 2014 г.
Ответ на: комментарий от kresh1

Настроил я squid (ntlm) и sams. Могу ли использовать эту связка на шлюзе. 

в интернет eth0 10.43.5.71
в локалку  eth1 192.168.0.9

# Generated by iptables-save v1.4.7 on Thu Feb 13 13:00:39 2014
*nat
:PREROUTING ACCEPT [1:48]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
COMMIT
# Completed on Thu Feb 13 13:00:39 2014
# Generated by iptables-save v1.4.7 on Thu Feb 13 13:00:39 2014
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [7:1004]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 3128 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
с клиента пингуется интерфейсe(squida)eth0, и на этом все, 8.8.8.8 уже не пингуется 
net.ipv4.tcp_syncookies = 1

kresh1
() автор топика
27 мая 2014 г.
Ответ на: комментарий от kresh1

поставил squid+sams+mysql

все вроде работает но не читаются логи squida в samse 

samsdaemon -d
Connected database: squidctrl:localhost user=sams
Connected database: squidlog:localhost user=sams
Read SAMS properties...
    Cache... 0
    User autentification... NTLM
    Windows domain used
    Sleep time of samsdaemon...  1 second
    Redirector... SAMS
    SQUID log parser... diskret
    User traffic cleaner... NO
    Squidlog cache save... 12 month
    User name recode... NO
    Delay pools... ON
    Domain separators... '0@'
    Log level... '0'
    Create PDF file... YES
Ok
SQUID log parser time=1 min
countdown: 44
countdown: 43

kresh1
() автор топика
Ответ на: поставил squid+sams+mysql от kresh1 

sams -d
Connected database: squidctrl:localhost user=sams
Connected database: squidlog:localhost user=sams
Starting process: pid = 6081
Cache 0
Reading file: start=621596 length=621596
disable user script = /usr/local/share/sams/src/script/none
Administrator address:
ISP Mb size=1048576, kb size=1024
Found 1 SAMS users
 0:         *****    *****.ru 0.0.0.0.0.0./0.0.0.0.0.0. 1          0            0 5384616bc103f ntlm
Found 0 localhosts
2. SELECT count(*) FROM squidctrl.urlreplace
end=621596 newend=621596 clear=0 loadfile=0
No new values...
kresh1
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
прокси и сеть
Admin
Ядро 2.6.32-el6-358.x86_64 - куда девалась опция CONFIG_NFS_ROOT из конфига?