Сообщения nokogerra

gre с одинаковыми адресами на разных интерфейсах INVALID ctstate?

Форум — Admin

Доброго времени суток. 3 машины, (194.135.107.161, 194.135.107.162, 194.135.107.163), между ними построены gre-туннели от каждой к каждой, т.е. по 2 gre интерфейса на каждой. На примере 194.135.107.163:

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
allow-hotplug eth0
iface eth0 inet static
        address 194.135.107.163
        netmask 255.255.255.0
        network 194.135.107.0
        broadcast 194.135.107.255
        gateway 194.135.107.238
        # dns-* options are implemented by the resolvconf package, if installed
        dns-nameservers 194.135.107.1

auto gre1
iface gre1 inet static
        address 10.0.2.3
        netmask 255.255.255.248
        pre-up ip tunnel add gre1 mode gre local 194.135.107.163 remote 194.135.107.161
        post-down ip tunnel del gre1
        up route add -host 10.0.2.1 dev gre1
        up route del -net 10.0.2.0/29 dev gre1

auto gre2
iface gre2 inet static
        address 10.0.2.3
        netmask 255.255.255.248
        pre-up ip tunnel add gre2 mode gre local 194.135.107.163 remote 194.135.107.162
        post-down ip tunnel del gre2
        up route add -host 10.0.2.2 dev gre2
        up route del -net 10.0.2.0/29 dev gre2

Как видно, адрес одинаковый (10.0.2.3), чтобы это работало, удаляю «connect» маршруты и добавляю индивидуальные. На остальных машинах также. Работает нормально. НО при создании правил netfilter получаю проблему: если правило

iptables -A INPUT -m conntrack --ctstate INVALID -j DROP

поставить до правила

iptables -A INPUT -i eth0 -p gre -j ACCEPT

то трафик дропается, хотя дальше стоит правило:

iptables -A INPUT -i gre1 -j ACCEPT

Если правило с определением состояния INVALID вставить после правила с разрешением gre, то работает нормально. При построении туннеля 1 к 1 такой проблемы нет. Если это поможет - то вот tcpdump с машины 194.135.107.163 при попытке пинговать 10.0.2.1 при том, что правило с определением состояния на первом месте: http://pastebin.com/nfg1P4jH

gre, netfilter

nokogerra
(17.03.15 09:02:09 MSK)

1 комментарий

Bind9 notify port

Форум — Admin

Доброго времени суток. Пытаюсь подобрать оптимальную конфигурацию iptables для bind. Заметил, что notify отправляются на разные порты из определенного диапазона. В also-notify можно указать порт, на который отправляется notify, но в моем случае не сработало. 194.135.107.238 - мастер, 194.135.107.234, 194.135.107.231 - слэйвы.

часть named.conf.options на мастере:

zone "test.lala" {
        type master;
        file "test.lala";
        allow-transfer {194.135.107.234; 194.135.107.231;};
        notify YES;
        also-notify port 40001 { 194.135.107.234; 194.135.107.231; };
};

Порт пытался указывать и таким образом:

also-notify { 194.135.107.234 port 40001; 194.135.107.231 port 40001; };

Но в syslog на мастере все также указаны рандомные порты:

..................
Mar 11 10:28:27 bind9master named[14488]: using default UDP/IPv4 port range: [1024, 65535]
Mar 11 10:28:27 bind9master named[14488]: using default UDP/IPv6 port range: [1024, 65535]
.......................
Mar 11 10:28:27 bind9master named[14488]: zone test.lala/IN: loaded serial 2015031102
Mar 11 10:28:27 bind9master named[14488]: zone test.lala/IN: sending notifies (serial 2015031102)
Mar 11 10:28:27 bind9master named[14488]: client 194.135.107.231#33137: transfer of 'test.lala/IN': AXFR-style IXFR started
Mar 11 10:28:27 bind9master named[14488]: client 194.135.107.231#33137: transfer of 'test.lala/IN': AXFR-style IXFR ended
Mar 11 10:28:27 bind9master named[14488]: client 194.135.107.234#57501: transfer of 'test.lala/IN': AXFR-style IXFR started
Mar 11 10:28:27 bind9master named[14488]: client 194.135.107.234#57501: transfer of 'test.lala/IN': AXFR-style IXFR ended

При этом на слэйвах указано, что notify они получили на 22203 и 60885 соответственно. Если я правильно понял, то отправлены notify были с портов 33137 и 57501, а получены на 22203 и 60885. Нигде не фигурирует 40001, явно указанный в named.conf.local.

P.S. на слэйвах есть такая строка:

transfer of 'test.lala/IN' from 194.135.107.238#53: Transfer completed: 1 messages, 17 records, 431 bytes, 0.001 secs (431000 bytes/sec)

Если оставить как есть, то придется держать открытыми порты в диапазоне 1024-65535.

bind9

nokogerra
(11.03.15 08:02:45 MSK)

10 комментариев

bind9 view clause

Форум — Admin

Доброго времени суток.
Продолжаются мои мучения на стезе изучения bind.

Раза 3 прочитал http://www.zytrax.com/books/dns/ch7/view.html, но так и не осознал полностью принцип работы и синтаксис использования. Задам несколько вопросов, ответы на которые, надеюсь, помогут мне лучше понять принцип работы view:

1. Как я понял, условия для view могут задаваться 3-мя операторами: match-clients, match-destinations и match-recursion-only (которые и использоваться могут только совместно с view), верно?
Смущает строка: «A view clause matches when either or both of its match-clients and match-destinations statements match and when the match-recursive-only condition is met». Т.е. view работает если выполнилось одно из условий match-clients или match-destinations И если выполнено условие match-recursive-only (если match-clients и/или match-destinations не заданы явно, то они принимают значение any, т.е. любой адрес). Таким образом view сработает если: ((match-clients_IP-list) ИЛИ (match-destinations_IP-list)) И (match-recursive-only). Зачем тогда указано «when either or both»? Если и match-clients, и match-destinations явно заданы, разве не должно между ними стоять логическое И, а не ИЛИ?
2. match-clients - определяет список откуда пришел запрос?
3. match-destinations - определяет IP-адреса DNS-сервера на которые пришел запрос?
4. По поводу match-recursive-only (http://www.zytrax.com/books/dns/ch7/view.html#match-recursive-only) вообще не понял, что делает оператор. Что означают его yes и no? Можно, конечно, предположить что, например, задано match-recursive-only no;, т.е. гипотетически view сработает если запрос был не рекурсивным (итеративным), но разве это не прерогатива DNS-сервера решать как ответить на запрос - как на рекурсивный или как на итеративный, клиент же не говорит: «привет, вот у меня к тебе итеративный запрос»? Если так, то какой вообще смысл в операторе match-recursive-only?
5. Нужно ли задавать зоны отдельно за пределами view (т.е. обычными пунктами «zone») или нет? Судя по этой строке «If none of the matching conditions in view clauses matches (and there are no zone clauses outside of view clauses) then BIND will return a server error.» это МОЖНО делать, но не обязательно, если я уверен, что любой запрос удовлетворит условию хотя бы из одного какого-то view, так?
6. View со split horizon. В примере используются разные файлы для одной зоны (что вроде бы логично, для разделения ответов, в зависимости от того, откуда пришел запрос), но я совершенно не понял, как такое может быть, там в каждом файле своя SOA и т.д. что ли? Как выглядят разные файлы в таком случае и как это вообще может работать о_О. Я в курсе что можно с помощью $INCLUDE включать один файл зоны в другой, но в дочернем файле же нет специальных записей вроде SOA?

bind9

nokogerra
(02.03.15 12:17:43 MSK)

2 комментария

bind9 rndc-confgen указать алгоритм аутентификации?

Форум — Admin

Доброго времени суток.
В справке по rndc-confgen указано, что с помощью опции -A можно указать алгоритм из нескольких доступных, чтобы использовался не дефолтный алгоритм hmac-md5, но при попытке использования с опцией A получаю:

rndc-confgen: invalid argument -A

тут же выводится краткая справка, и там нет опции -A. Гугление тыкает носом в те же пасты со справкой rndc-confgen, где эта опция присутствует. Без опции -A работает нормально (т.е. выдает текстовый вывод с предварительной конфигурацией rndc.conf, named.conf и секретами)

3.2.0-4-686-pae #1 SMP Debian 3.2.65-1+deb7u1 i686 GNU/Linux

BIND 9.8.4-rpz2+rl005.12-P1

Подскажите пожалуйста в чем может быть причина?

bind9

nokogerra
(25.02.15 09:20:19 MSK)

5 комментариев

rndc remote control vol2 :(

Форум — Admin

Доброго времени суток. Думал что разобрался с удаленным управлением rndc, но оказалось - не совсем. Изучил
ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/man.rndc.html
ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/man.rndc.conf.html
ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/man.rndc-confgen.html
http://www.zytrax.com/books/dns/ch7/controls.html

Тестирую удаленное управление rndc на трех машинах, итак стенд: master (194.135.107.238), slave1 (194.135.107.234), slave2 (194.135.107.231), планируется возможность управления с мастера обоими слэйами и им самим, при запуске rndc на слэйвах - управление named только на локальном хосте. На каждой машине уже есть дефолтный rndc.key файл с именем ключа rndc-key (генерируются автоматически при установке из репозитория). Запустил rndc-conf на каждом слэйве, получил выводы со строками в base-64 для аутентификации rndc (secret). Вот куски named.conf слэйвов: slave1:

#acl для удаленного управления
acl "rndc-remote-controllers" {
194.135.107.238;
};
key rndc-slave1 {
        algorithm hmac-md5;
        secret "qOIGQ4jTuvTDLp0n5JNhGw==";
};
controls {
        #если ключ не указан, то будет использоваться default-key, но у меня нет на слэйвах rndc.conf, так что в любом случае будет использоваться /etc/bind/rndc.key
        inet 127.0.0.1 port 953 allow {localhost;};
        # для удаленного управления указываю нужный key_id
        inet 194.135.107.234 port 953 allow {"rndc-remote-controllers";} keys {"rndc-slave1";};
};

slave2

acl "rndc-remote-controllers" {
194.135.107.238;
};

key rndc-slave2 {
        algorithm hmac-md5;
        secret "aboGZF0oyZB9EO3uG9dSDw==";
};

controls {
        inet 127.0.0.1 port 953 allow {localhost;};
        #предположим я хочу 7766 порт
        inet 194.135.107.231 port 7766 allow {"rndc-remote-controllers";} keys {"rndc-slave2";};
};

На слэйвах rndc.conf не создавал.

Создал rndc.conf на мастере (тот, который будет иметь возможность управления слэйвами). master rndc.conf:

options {
        default-server localhost;
        default-port 953;
        default-source-address 194.135.107.238;
};

server slave1 {
        addresses {194.135.107.234 port 953;};
        key rndc-slave1;
};

server slave2 {
        addresses { 194.135.107.231 port 7766; };
        key rndc-slave2;
};

key rndc-slave1 {
        algorithm hmac-md5;
        secret "qOIGQ4jTuvTDLp0n5JNhGw==";
};

key rndc-slave2 {
        algorithm hmac-md5;
        secret "aboGZF0oyZB9EO3uG9dSDw==";
};

да, я не указал default-key, честно говоря я хочу использовать уже существующий /etc/bind/rndc.key при подключении к default-server (т.е. к localhost), но не знаю как его включить в rndc.conf, не добавляя отдельный statement в виде key rndc-key {...}; в rndc.conf, наверное с помощью $INCLUDE, но если как использовать $INCLUDE для файлов зон я представляю, то в данном случае не могу представить синтаксис. named.conf на master`е не исправлялся! Т.е. controls я туда не добавлял.

И что я получил в итоге:
1. на слэйвах rndc работает нормально, т.е. используется дефолтный ключ rndc.key.
2. на мастере rndc к локальному хосту не работает, очевидно потому, что я не указал default-key, НО даже если я пишу так: rndc -k /etc/bind/rndc.key, он игнорирует это, говоря что используется rndc.conf и читает ключи оттуда.
3. при попытке удаленного управления с мастера (194.135.107.238) slave`ом 1 получаю вот что:

root@bind9master:~# rndc -s 194.135.107.234 status
WARNING: key file (/etc/bind/rndc.key) exists, but using default configuration file (/etc/bind/rndc.conf)
rndc: get default key: not found

ну не может он найти дефолтный ключ, а зачем? ведь для 194.135.107.234 явно указан нужный ключ, и он ДОЛЖЕН использоваться, судя по статьям по rndc. Помогает только явное указание key_id:

rndc -s 194.135.107.234 -y rndc-slave1 status

4. при попытке управления slave2 (194.135.107.231) еще интереснее - нужно помимо key_id (-y) указывать еще и порт, порт (который вообще-то указан в statement server):

server slave2 {
        addresses { 194.135.107.231 port 7766; };
        key rndc-slave2;

но этот порт почему-то не читается и при попытке отправить команду rndc без указания порта пишет .... 194.135.107.231#953: connection refused. Что за бред, почему нужный порт не читается из нужного sever?

В общем, если резюмировать: как добавить в dafeult-key уже существующий файл ключа и почему не читаются параметры вроде key и port из statement server и все приходится указывать руками?
Большое спасибо тем, кто осилит эту простыню текста.

bind9

nokogerra
(24.02.15 07:50:54 MSK)

3 комментария

rndc remote control

Форум — Admin

Доброго времени суток.
Интересует удаленное управление named с помощью rndc.
Изучил ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/man.rndc.html
ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/man.rndc.conf.html
ftp://ftp.isc.org/isc/bind9/cur/9.10/doc/arm/man.rndc-confgen.html
В общем принцип понятен, но есть несколько неясностей:
1. -b source-address - означает лишь адрес интерфейса с которого будет отослана команда?
2. Что все-таки такое key_id, указания key file не достаточно?
3. При использовании rndc-confgen с ключами для недефолтной настройки (т.е. без опции -a) в качестве -k (keyname) указано что нужно ввести валидное доменное имя, а имя ключа по умолчанию rndc-key. Я так понимаю это необходимо, только если потом не буду добавлять пункты addresses?
4. rndc-confgen -r (randomfile)

Specifies a source of random data for generating the authorization. If the operating system does not provide a /dev/random or equivalent device, the default source of randomness is keyboard input. randomdev specifies the name of a character device or file containing random data to be used instead of the default. The special value keyboard indicates that keyboard input should be used.

честно говоря вообще не понял что такое и с чем есть.
5. Ну и если перейти к самой практике, каким образом лучше действовать? Во многих примерах люди используют rndc-confgen без каких либо примеров, а потом руками вносят исправления. Но как тогда генерировать эти самые ключи? Вот здесь https://subhrajitnandy.wordpress.com/configuring-rndc/ вообще используется dnssec-keygen.
Спасибо заранее.

bind9

nokogerra
(17.02.15 12:25:19 MSK)

8 комментариев

BIND9 srv-запись.

Форум — Admin

Доброго времени суток.
Прочитал http://www.zytrax.com/books/dns/ch8/srv.html, однако, и до этого на примере srv-записей в DNS интергированном с AD принцип был понятен (например srv-записи для kms (которые я создавал вручную), ldap, kerberos и т.д.), точнее он был понятен для ситуации, когда клиент с служба находятся в одном домене, в одной зоне, но следующее мне не понятно:
Есть зона test.lala.Вот часть файла зоны:

$ORIGIN test.lala.
........
_http._tcp      IN      SRV 0 0 80      zarg
_ftp._tcp       IN      SRV 0 0 21      zarg
zarg    IN      A       192.168.1.1

назначаю этот dns-сервер тестовой машине (в рабочей группе). попытки ftp://zarg.test.lala b http://zarg.test.lala успешны, однако, попытки http://test.lala и ftp://test.lala не успешны.

Что я понял не так? Разве при обращении к определенному имени службы, взятому из IANA по определенному протоколу на определенный порт (т.е. http, протокол tcp, порт 80) меня не должно редиректнуть на zarg.test.lala?

bind9

nokogerra
(16.02.15 12:59:10 MSK)

4 комментария

bind9 форсировать обновление зоны на slave?

Форум — Admin

Доброго времени суток.
С bind столкнулся впервые пару дней назад, тестирую связку master + 2 slave в локальном окружении. Возникла проблема с обновлением зон не только на слэйве, но и на мастере. Пример: добавляю запись CNAME на мастере и при попытке «nslookup новая_CNAME ip_мастера» не находит ничего, но достаточно перезапустить демона bind, и я получаю ответ и с мастера, и со слэйва, т.е. он зону получил. Уменьшение refresh в SOA на мастере ничего не дало. Более того, я поставил refresh 120 секунд на мастере, перезапустил bind, на слэйве зона обновилась и там также указано refresh 120 секунд, но после добавления записей в файл зоны на мастере, они не появляются на слэйве через 120 секунд, и как я сказал выше, при обращении к самому мастеу, эти записи не отдаются, хотя в файле зоны именно на мастере они есть.
Кто-то может прокомментировать это? Не думаю что перезагрузка bind это нормальное решение.

bind9, debian

nokogerra
(03.02.15 10:43:39 MSK)

18 комментариев

bind9 на debian 7.2., нубовопросы.

Форум — Admin

Доброго времени суток. Я практически не имел дел с linux/unix за исключением esxi, и не имел дел с dns дальше того, что отдает провайдер, поэтому вопросы могут быть глупыми и их много.
Прочитал статьи по bind на блоге одного товарища, которые очень замечательно и глубоко описывает сабжи своих статей (по его же статьям делал squid с интеграцией в ad ds по krb), также прочитал раздел по dns и named в Linux Network Administrators Guide, но вот такие вопросы остались:
1. Чем все таки отличаются домен и зона, следующий пример из справочника не дает четкого понимания: Таким образом, пространство имен раздроблено на зоны ( zones), каждая из которых управляется своим доменом. Обратите внимание на различие между зоной (zone) и доменом (domain): домен groucho.edu затрагивает все машины в университете Groucho Marx, в то время как зона groucho.edu включает только хосты, которые работают в непосредственно компьютерном центре, например в отделе математики. Хост в отделе физики принадлежат другой зоне, а именно physics.groucho.edu.
Т.е. имеется в виду что в домене может быть несколько зон, и при этом зона physics.groucho.edu не является суб-доменом?
2. Разница между типами запросов: итеративный в качестве ответа возвращает ip-адрес или адрес NS, авторитетного за нужную зону. рекурсивный в качестве ответа может вернуть также ip-адрес, NS авторитетного за нужную зону, а также, DNS, к которому был произведен запрос, может обратиться к другим DNS-серверам. Так вот к каким, в той же зоне или вообще к любым? Или имеется в виду обычный рекурсивный запрос «по нисходящей» - сначала к корневому, потом к TLD, и т.д.? Если так, то, например итеративный запрос к корневому серверу в таком случае может считаться частью рекурсивного запроса?
3. Зачем нужны зоны «127.in-addr.arpa», «0.in-addr.arpa», «255.in-addr.arpa» и «localhost»? В качестве объяснения вот что было сказано: «Назначение этих зон состоит в том, чтобы избежать трансляции случайных запросов имен соответствующих IP-адресов на серверы, обслуживающие корневую зону.» Как я понимаю это актуально только в том случае, если dns будет принимать рекурсивные запросы, в случае только итеративных иметь описание этих зон не обязательно, верно? Также я не представляю себе примера таких «трансляций случайных запросов», может кто привести пример?
4. Не до конца осознал разницу между типами зон (type).
-master - авторитетный за зону, первичный - понятно.
-slave (я так понял, иногда называется secondary) - также считается авторитетным за зону, но саму зону «подтягивает» напрямую с мастера, и после истечения TTL зоны и невозможности обновить ее (подтянуть с мастера), зона считается скисшей.
-hint. «указывает вспомогательную зону (данный тип содержит информацию о корневых серверах, к которым сервер будет обращаться в случае невозможности найти ответ в кэше)». Как я понял, это необходимо указывать только если предусматриваются рекурсивные запросы, верно?
-forward. «указывает зону переадресации, которая переадресовывает запросы, пришедшие в эту зону». Вообще масло масляное, не понял зачем это нужно, тем более если указан hint, т.е. корневые сервера для рекурсивных запросов известны?

Также не ясно, если известны корневые сервера, зачем указывать forwarders (forwarders { 8.8.8.8; }wink.gif? Лишь на тот случай, если запрос остался у них в кэше и это сократит путь запроса?
5. Есть в статье такая строка :«При этом, если необходимо разрешить кэширование (то есть рекурсивные запросы) для локальной сети, то необходимо раскомментировать параметры forwarders и allow-recursion и закомментировать recursion no;.», почему кэширование = рекурсивные запросы?

Спасибо тем, кто прочитает эту стену текста и ответит.

bind9, debian

nokogerra
(02.02.15 07:46:22 MSK)

4 комментария

lightsquid index.cgi

Форум — Admin

Доброго времени суток.
debian7, squid3, lightsquid.
все файлы lightsquid располагаются в /var/www/lightsquid, *.cgi, *.pl получили разрешение на исполнение, chek-setup.pl отрабатывает нормально, lightparser.pl тоже, с debug=1 показывает какое кол-во строк отпарсил, файла httpd.conf после установки apache2 не существовало, создал, содержимое:

Alias /lightsquid /var/www/lightsquid
[br]<Directory "/var/www/lightsquid">
   [br]Options ExecCGI
   [br]AddHandler cgi-script .cgi .pl
   [br]AllowOverride All
[br]</Directory>

т.е. разрешение на исполнение cgi есть, cgi-script определены. [vr]на каталог /var/www/lightsquid владельцем установлен www-data рекурсивно, единственно после создания статистики в /var/www/lightsquid/report владельцем репорта является root.

Проблема: при переходе по http://имя_машины/lightsquid или http://имя_машины/lightsquid/index.cgi отображается содержимое файла index.cgi, а не веб лицо лайтсквида.

nokogerra
(12.12.13 08:18:55 MSK)

5 комментариев

squid3+krb auth+AD

Форум — Admin

Доброго времени суток. Есть Debian 6 + squid 3.1 +rejik, авторизация в AD (win 2008 R2) работает через krb5 + keytab на основе spn (без самбы и винбинда). Работает нормально, но не на всех браузерах (тестировал на mozilla firefox frontmotion, g chrome и IE), + наткнулся еще на несколько специфических проблем, посему вопросов будет несколько.
1. Не работает прозрачная авторизация в IE (пробовал 8,9,10, назначал прокси политикой и вручную - эффект один, причем меня терзает сомнение что вначале работала, но я проводил много тестов, откатывался к снапшотам и делал заново, поэтому не помню точно). Если назначить прокси вручную, то прозрачная авторизация перестает работать и в google chrome (если хрому назначить политикой через adm шаблоны - все ок), для firefox история тоже отчасти странная - при назначении через gpo (также adm) все нормально, при назначении руками работает пока не переместить пользователя в другую AD группу с другими правами в acl сквида, после этого перестает работать, хотя однако это не беда -назначать вручную не собираюсь (через gpo), но вот IE волнует - кто сталкивался - отпишите пожалуйста. вот что в cache.log по поводу авторизации:

2013/04/18 09:03:40| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'

2. Решил добавить базовую авторизацию из файла в случае если не отработает negotiate, не работает, в cache -тоже самое что в вопросе 1 (и это логично что не отработал negotiate ведь и тестируем базик, логинился не доменным пользователем, но при чем тут ntlm token не понятно). лог сквида:

#negotiate krb аутентификация
auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -s HTTP/SquidErgo.mfk-22.local@MFK-22.LOCAL
auth_param negotiate children 15
auth_param negotiate keep_alive on
#basic из файла аутентификация
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/local_squid_users
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#external acl для крб
external_acl_type ldap_verify %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=mfk-22,dc=local" -f "(&(objectclass=user)(sAMAccountName=%v)(memberOf=cn=%a,ou=squidtest_u,ou=MFC,dc=mfk-22,dc=local))" -D forldap@mfk-22.local -K -W /etc/squid3/aduser dc.mfk-22.local
..............................................................
acl allusers proxy_auth REQUIRED
acl internet_allow external ldap_verify inet_allow
acl internet_deny external ldap_verify inet_deny
acl mfc22 dstdomain www.mfc22.ru
#acl для basic аутентификации
acl basic_users proxy_auth "/etc/squid3/local_squid_users_list"
acl CONNECT method CONNECT
http_access allow internet_allow
http_access allow internet_deny !mfc22
http_access allow basic_users
...........................................

local_squid_users создан с помощью htpasswd из apache-utils, а в local_squid_users_list просто список тех же пользователей что и в local_squid_users но без паролей. /etc/squid3/local_squid_users

root@SquidErgo:/usr/src/rejik# cat /etc/squid3/local_squid_users
squiduser1:41RpB4kcoXwTc
squiduser2:nqZAfyd3McLxA
squiduser3:qrK8lckm1MZ5c

/etc/squid3/local_squid_users_list

root@SquidErgo:/usr/src/rejik# cat /etc/squid3/local_squid_users_list
squiduser1
squiduser2
squiduser3

ncsa_auth работает:

root@SquidErgo:/etc/squid3# /usr/lib/squid3/ncsa_auth /etc/squid3/local_squid_users
squiduser1 rubyruby
OK
squiduser3
ERR
squiduser3 123
OK

может кто подсказать почему не работает базик?
3. Проблема с добавлением исключений при назначении прокси для google chrome через gpo. Использовал шаблоны, взятые отсюда http://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip, задал исключения в виде просто ip адресов (чтобы локальные http ресурсы не проксировались), но в режике у меня есть секция резать станицы если в браузере был введен ip адрес (например если юзер отnslookup`ил адрес siski.com, а адреса в бан листе нет), и при посещении локального ресурса режик меня завернул, я был удивлен, ведь на этот ресурс я не должен был идти через прокси - так и выяснил что исключения не работает. Видел такое описание gpo для хрома http://www.chromium.org/developers/design-documents/network-settings#TOC-Comm..., там есть раздел --proxy-bypass-list где можно конфигурть исключения командами, но не догнал где эти команды писать то у кого есть опыт с gpo chrome - как решали? Заранее спасибо.

squid

nokogerra
(18.04.13 07:21:28 MSK)

5 комментариев

rejik модуль нужен?

Форум — Admin

Доброго времени суток. Такой вопрос: а зачем собственно нужен модуль режика? я к чему: он редиректит на страничку url http://127.0.0.1/rejik/porno.html(например), если пользователь пробует попасть на урл из бан листа «porno», и это ж вобщем все что он делает (сквид скажет что запрещена страница - тоже вполне ясно). При этом своего веб сервера у него нет, то есть еще и придется например апач поставить, в чем смысл если можно использовать режиковские бан-листы в самом сквиде в acl, и конфиг весь в 1м месте - удобно. Может он грепает быстрее или какие у него плюсы?

squid

nokogerra
(15.04.13 07:05:26 MSK)

15 комментариев

squid 3 basic auth

Форум — Admin

Доброго времени суток, недавно поднимал тему по squid3 + negotiate auth в AD через kerberos+keytab, это дело заработало прекрасно, но решил я дополнить negotiate basic аутентификацией из файла для недоменных пользователей, и наткнулся непонятно на какую проблему о_О, логин пароль запрашиваются, но не узнаются, жмяк ок - и никакого эффекта, окно авторизации висит дальше. Итак: debian6, squid3, htpasswd (apache2-utils)

htpasswd -c /etc/squid3/local_squid_users squiduser1
htpasswd /etc/squid3/local_squid_users squiduser2
....

проверил:

root@SquidErgo:/etc/squid3# /usr/lib/squid3/ncsa_auth /etc/squid3/local_squid_users
squiduser1 rubyruby
OK
squiduser3
ERR
squiduser3 123
OK

конфиг сквида:

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/local_squid_users
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
.............
acl basic_users proxy_auth "/etc/squid3/local_squid_users"
.....
http_access allow basic_users

сделал не acl basic_users proxy_auth REQUIRED ибо в этом же свкиде использую negotiate и доменные группы.
в access.log все просто:

1365562472.249      0 10.0.2.232 TCP_DENIED/407 4355 GET http://mfc22.ru/ - NONE/- text/html
1365562472.272      0 10.0.2.232 TCP_DENIED/407 4458 GET http://mfc22.ru/ - NONE/- text/html
1365562480.079      0 10.0.2.232 TCP_DENIED/407 4458 GET http://mfc22.ru/ - NONE/- text/html
1365562557.803      0 10.0.2.232 TCP_DENIED/407 4458 GET http://mfc22.ru/ - NONE/- text/html

в cache.log (пробую под локальным пользователем, ибо под доменным разу проходит прозрачная negotiate авторизация)

2013/04/10 09:54:32| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
2013/04/10 09:57:24| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'

кто что подскажет?

squid

nokogerra
(10.04.13 07:29:38 MSK)

1 комментарий

squid 3 + AD

Форум — Admin

Доброго времени суток, я нуб.(теги cut почемуто не работают -> стена текста, подскажете как сделать спойлер - исправлю тему). Требуется squid с прозрачной авторизацией (браузеры хромиумы и файрфокс поддерживают, шаблоны для назначения прокси для этих бразуеров работают нормально) в AD (win 2008r2) и собственно раздавать интернет по группам. Пробовал Debian6+squid3+smb+winbind, но ntlm_auth --username=user --domain=domain --diagnostics=password не отрабатывал, несмотря на то что wbinfo --authenticate работает прекрасно (как вобщем и остальной функционал wbinfo). Решил уйти от ntlm и удариться в krb по этому блогу http://www.k-max.name/linux/avtorizaciya-autentifikaciya-squid/.

Что вышло: создал кейтаб используя учетную запись машины (предварительно создав ее), kinit с использованием кейтаба отрабатывает нормально, klist билет показывает, далее провожу тест на пользователе squidx, создаю /etc/squid3/userallow (это будет сорцем для acl), помещаю туда запись squidx@MFK-22.LOCAL (пробовал также и @MFK-22.local, и @mfk-22.local) и в ответ получаю что доступ закрыт, и похоже он не проходит авторизацию, а попадает под категорию http_access deny all, вот что пишет в /var/log/squid3/access.log (при чем для проверки использовал только http://www.mfc22.ru, filmix.net, все остальное - от стартовой страницы chrome, и везде пишет пользователя squidx@MFK-22.LOCAL, не смотря на то что в userallow он был указан в разных регистрах)

root@SquidErgo:/etc/squid3# cat /var/log/squid3/access.log
1364800416.384 0 10.0.2.232 TCP_DENIED/403 4018 GET http://www.mfc22.ru/ squidx@MFK-22.LOCAL NONE/- text/html
1364800416.423 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800424.994 0 10.0.2.232 TCP_DENIED/403 4012 GET http://filmix.net/ squidx@MFK-22.LOCAL NONE/- text/html
1364800425.042 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800514.140 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800514.141 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800514.169 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT clients4.google.com:443 - NONE/- text/html
1364800514.175 0 10.0.2.232 TCP_DENIED/407 3817 CONNECT translate.googleapis.com:443 - NONE/- text/html
1364800514.204 5 10.0.2.232 TCP_DENIED/403 6186 CONNECT clients4.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800514.212 3 10.0.2.232 TCP_DENIED/403 6189 CONNECT translate.googleapis.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800514.300 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800514.315 3 10.0.2.232 TCP_DENIED/403 6172 CONNECT accounts.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800516.798 0 10.0.2.232 TCP_DENIED/407 4439 GET http://www.google.com/complete/search? - NONE/- text/html
1364800516.815 4 10.0.2.232 TCP_DENIED/403 6648 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800518.684 0 10.0.2.232 TCP_DENIED/403 4107 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800518.794 0 10.0.2.232 TCP_DENIED/407 4287 GET http://www.mfc22.ru/ - NONE/- text/html
1364800518.810 4 10.0.2.232 TCP_DENIED/403 6520 GET http://www.mfc22.ru/ squidx@MFK-22.LOCAL NONE/- text/html
1364800518.846 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800519.040 0 10.0.2.232 TCP_DENIED/407 3777 CONNECT www.google.com:443 - NONE/- text/html
1364800519.054 4 10.0.2.232 TCP_DENIED/403 6161 CONNECT www.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800519.923 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800521.064 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://tddmdlczjg/ - NONE/- text/html
1364800521.067 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://jpsfwwxvlg/ - NONE/- text/html
1364800521.087 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://owuvfjxwqj/ - NONE/- text/html
1364800521.092 7 10.0.2.232 TCP_DENIED/403 650 HEAD http://tddmdlczjg/ squidx@MFK-22.LOCAL NONE/- text/html
1364800521.093 5 10.0.2.232 TCP_DENIED/403 650 HEAD http://jpsfwwxvlg/ squidx@MFK-22.LOCAL NONE/- text/html
1364800521.098 2 10.0.2.232 TCP_DENIED/403 650 HEAD http://owuvfjxwqj/ squidx@MFK-22.LOCAL NONE/- text/html
1364800522.310 0 10.0.2.232 TCP_DENIED/403 4107 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800522.421 0 10.0.2.232 TCP_DENIED/407 4279 GET http://filmix.net/ - NONE/- text/html
1364800522.437 4 10.0.2.232 TCP_DENIED/403 6514 GET http://filmix.net/ squidx@MFK-22.LOCAL NONE/- text/html
1364800522.472 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800522.533 0 10.0.2.232 TCP_DENIED/403 4108 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800523.171 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800524.052 0 10.0.2.232 TCP_DENIED/407 3781 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1364800524.073 4 10.0.2.232 TCP_DENIED/403 6158 CONNECT ssl.gstatic.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800646.082 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800646.110 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT clients4.google.com:443 - NONE/- text/html
1364800646.121 0 10.0.2.232 TCP_DENIED/407 3817 CONNECT translate.googleapis.com:443 - NONE/- text/html
1364800646.131 5 10.0.2.232 TCP_DENIED/403 6164 CONNECT clients4.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800646.143 4 10.0.2.232 TCP_DENIED/403 6175 CONNECT translate.googleapis.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800646.318 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800646.446 0 10.0.2.232 TCP_DENIED/407 3797 CONNECT accounts.google.com:443 - NONE/- text/html
1364800646.462 4 10.0.2.232 TCP_DENIED/403 6168 CONNECT accounts.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800648.922 0 10.0.2.232 TCP_DENIED/407 4439 GET http://www.google.com/complete/search? - NONE/- text/html
1364800648.940 4 10.0.2.232 TCP_DENIED/403 6648 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800650.261 0 10.0.2.232 TCP_DENIED/403 4107 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800650.363 0 10.0.2.232 TCP_DENIED/407 4287 GET http://www.mfc22.ru/ - NONE/- text/html
1364800650.380 4 10.0.2.232 TCP_DENIED/403 6506 GET http://www.mfc22.ru/ squidx@MFK-22.LOCAL NONE/- text/html
1364800650.416 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800650.430 0 10.0.2.232 TCP_DENIED/403 4108 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800650.961 0 10.0.2.232 TCP_DENIED/403 3941 GET http://www.mfc22.ru/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800650.994 0 10.0.2.232 TCP_DENIED/407 3777 CONNECT www.google.com:443 - NONE/- text/html
1364800651.009 4 10.0.2.232 TCP_DENIED/403 6153 CONNECT www.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800653.020 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://fhyqfcstlx/ - NONE/- text/html
1364800653.024 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://rmbnnarvfv/ - NONE/- text/html
1364800653.029 0 10.0.2.232 TCP_DENIED/407 424 HEAD http://xwnlpsqnpa/ - NONE/- text/html
1364800653.037 2 10.0.2.232 TCP_DENIED/403 650 HEAD http://fhyqfcstlx/ squidx@MFK-22.LOCAL NONE/- text/html
1364800653.041 4 10.0.2.232 TCP_DENIED/403 650 HEAD http://rmbnnarvfv/ squidx@MFK-22.LOCAL NONE/- text/html
1364800653.043 3 10.0.2.232 TCP_DENIED/403 650 HEAD http://xwnlpsqnpa/ squidx@MFK-22.LOCAL NONE/- text/html
1364800653.869 0 10.0.2.232 TCP_DENIED/403 4107 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800653.976 0 10.0.2.232 TCP_DENIED/407 4279 GET http://filmix.net/ - NONE/- text/html
1364800653.990 2 10.0.2.232 TCP_DENIED/403 6502 GET http://filmix.net/ squidx@MFK-22.LOCAL NONE/- text/html
1364800654.022 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800654.099 0 10.0.2.232 TCP_DENIED/403 4108 GET http://www.google.com/complete/search? squidx@MFK-22.LOCAL NONE/- text/html
1364800654.720 0 10.0.2.232 TCP_DENIED/403 3935 GET http://filmix.net/favicon.ico squidx@MFK-22.LOCAL NONE/- text/html
1364800656.020 0 10.0.2.232 TCP_DENIED/407 3781 CONNECT ssl.gstatic.com:443 - NONE/- text/html
1364800656.037 2 10.0.2.232 TCP_DENIED/403 6164 CONNECT ssl.gstatic.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800753.019 0 10.0.2.232 TCP_DENIED/407 3813 CONNECT safebrowsing.google.com:443 - NONE/- text/html
1364800753.039 6 10.0.2.232 TCP_DENIED/403 6178 CONNECT safebrowsing.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800753.054 0 10.0.2.232 TCP_DENIED/407 3833 CONNECT alt1-safebrowsing.google.com:443 - NONE/- text/html
1364800753.069 3 10.0.2.232 TCP_DENIED/403 6191 CONNECT alt1-safebrowsing.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800813.098 0 10.0.2.232 TCP_DENIED/407 3813 CONNECT safebrowsing.google.com:443 - NONE/- text/html
1364800813.115 4 10.0.2.232 TCP_DENIED/403 6180 CONNECT safebrowsing.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364800813.130 0 10.0.2.232 TCP_DENIED/407 3833 CONNECT alt1-safebrowsing.google.com:443 - NONE/- text/html
1364800813.141 4 10.0.2.232 TCP_DENIED/403 6193 CONNECT alt1-safebrowsing.google.com:443 squidx@MFK-22.LOCAL NONE/- text/html
1364801006.312 0 10.0.2.232 TCP_DENIED/407 4204 GET http://clients2.google.com/service/update2/crx? - NONE/- text/html
1364801006.335 5 10.0.2.232 TCP_DENIED/403 6561 GET http://clients2.google.com/service/update2/crx? squidx@MFK-22.LOCAL NONE/- text/html

конфиг сквида (просто для теста аутентификации)

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -s HTTP/SquidErgo.mfk-22.local@MFK-22.LOCAL
auth_param negotiate children 5
auth_param negotiate keep_alive on
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours
#external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
#auth_param basic casesensitive off
visible_hostname SquidErgo
http_port 10.0.2.70:3128
acl internet_allow proxy_auth \"/etc/squid3/userallow\"
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
#acl internet_allow proxy_auth \"/etc/squid3/userallow\"
#acl internet_deny proxy_auth \"/etc/squid3/userdisallow\"
#acl internet_allow proxy_auth REQUIRED
acl CONNECT method CONNECT
http_access allow internet_allow
#http_access deny internet_deny
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_port 3128
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\\?) 0 0% 0
refresh_pattern . 0 20% 4320

#РќР°СЃС‚СЂРѕР№РєРё РєСЌС€Р°
maximum_object_size 10240 KB
minimum_object_size 4 KB
cache_dir ufs /var/spool/squid3 5000 16 256

iptables-save (по поводу открыт ли tcp 88 исходящий, читал что для нормальной работы krb5 это нужно)

root@SquidErgo:/etc/squid3# iptables-save
# Generated by iptables-save v1.4.8 on Mon Apr 1 15:26:49 2013
*filter
:INPUT ACCEPT [188:18134]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [29:2876]
COMMIT
# Completed on Mon Apr 1 15:26:49 2013

а если добавить в squid_kerb_auth -d то будет вот такую козябру в cache.log сыпать

2013/04/01 15:35:47| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:47| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:47| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:47| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:48| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqH5XaxSjSuOJIpOjDbnoWis3iik$
2013/04/01 15:35:48| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARq8iW/Qpik10deqII1KCsSGacQ2w$
2013/04/01 15:35:50| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:50| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:50| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqn3s+CbnISCHdYDA3r78dA/NRqH$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqo02+IddFqHPtMAjrffqoi+op5x$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:52| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqcsvlz6Em9ew2yGXB9OUr1Afjgl$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARquURinME+InrI/TZa/EqE/bTzPF$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqgOV7tNvw21wC+vg30CpLyXsd9l$
2013/04/01 15:35:54| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARq7gd/PXNmSqRxhUvG7Aakf9dXLz$
2013/04/01 15:35:57| squid_kerb_auth: DEBUG: Got 'YR YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwICHgYK
KwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:57| squid_kerb_auth: DEBUG: Decode 'YIIGQAYGKwYBBQUCoIIGNDCCBjCgMDAuBgkqhkiC9xIBAgIGCSqGSIb3EgECAgYKKwYBBAGCNwIC
HgYKKwYBBAGCNwICCqKCBfoEggX2YIIF8gYJKoZIhvcSA$
2013/04/01 15:35:57| squid_kerb_auth: DEBUG: AF oYGyMIGvoAMKAQChCwYJKoZIgvcSAQICooGaBIGXYIGUBgkqhkiG9xIBAgICAG+BhDCBgaADAgEFoQMC
AQ+idTBzoAMCAReibARqQ142oDvsL67xRJ/uYszIggWkeX$

Посоветуйте что-нибудь

ad, kerberos, squid

nokogerra
(02.04.13 10:37:00 MSK)

6 комментариев

zabbix 2.0.3.

Форум — Admin

Доброе время суток. Debian 6.0.2.1, zabbix 2.0.3 ставил по этой статье http://www.linuxjournal.su/?p=1271, еще сюда подглядывал http://habrahabr.ru/post/149500/. Итого имею статус «Zabbix сервер запущен: Нет». В основном советуют проверить zabbix_server.conf и связь с базой, а также выключить SELinux, но первая проблема в том, что zabbix`а нет в pstree. Cкрипты запуска скопировал, $ /etc/init.d/zabbix-server start отрабатывает молча и тишина.

в zabbix_server.conf: DBName=zabbix DBUser=zabbix DBPassword=*****

root@zabbix:/tmp# mysql -D zabbix -u zabbix -p Enter password: Reading table information for completion of table and column names You can turn off this feature to get a quicker startup with -A

Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 670 Server version: 5.1.63-0+squeeze1 (Debian)

Буду благодарен за любые идеи. P.S. я наб, если можно - изъясняйтесь попроще.

nokogerra
(10.10.12 10:15:37 MSK)

20 комментариев

← назад

RSS подписка на новые темы