URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 5631
[ Назад ]

Исходное сообщение
"SQUID + LDAP"
Отправлено DzirtDoUrden , 01-Июл-08 17:52

Предисловие!
Настроил связку SAMBA + LDAP типа домен поднял! Все класно все работает.
Вот только задачу поставили привязать к этому SQUID. Пытался и так и сяк но не получилось.
Если кто поможет буду очень благодарен.
Вот конфиг slapd.conf
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/samba.schema
#include                /usr/local/etc/openldap/schema/dnszone.schema
#include                /usr/local/etc/openldap/schema/dhcp.schema
# Define global ACLs to disable default read access.
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral       ldap://root.openldap.org
pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args
# Load dynamic backend modules:
modulepath      /usr/local/libexec/openldap
moduleload      back_bdb
access to attr=description
        by self read
        by anonymous read
        by dn="cn=root,dc=server,dc=ua" write
        by * none
access to attrs=userPassword
        by self write
        by anonymous auth
        by * none
access to *
        by self write
        by anonymous read
        by * none
#######################################################################
# BDB database definitions
#######################################################################
database        bdb
suffix          "dc=server,dc=ua"
rootdn          "cn=root,dc=server,dc=ua"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw          {SSHA}TQy1Ho3BcgqWBwLmHj5bB50go1gQegoy
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory       /var/db/openldap-data
# Indices to maintain
index   objectClass     eq
index   cn              eq

конфиг nsswitch.conf
group: files ldap
hosts: files dns
networks: files
passwd: files ldap
shadow: files ldap
shells: files
а вот то что я добавлял в LDAP
dn: dc=server,dc=ua
objectClass: dcObject
objectClass: organization
objectClass: top
dc: server
o: server
dn: ou=users,dc=server,dc=ua
objectClass: top
objectClass: organizationalUnit
ou: users
dn: ou=groups,dc=server,dc=ua
objectClass: top
objectClass: organizationalUnit
ou: groups
dn: ou=computers,cd=server,dc=ua
objectClass: top
objectClass: organizationalUnit
ou: computers
Пользователей создаю скриптом ldapadduser.
если нужны еще что нить нужно скажите выложу.

Содержание

SQUID + LDAP,DzirtDoUrden, 18:07 , 01-Июл-08
- SQUID + LDAP,Сергей, 09:21 , 02-Июл-08
  - SQUID + LDAP,Сергей, 09:31 , 02-Июл-08
    - SQUID + LDAP,DzirtDoUrden, 11:59 , 02-Июл-08
      - SQUID + LDAP,Сергей, 14:25 , 02-Июл-08
        
        SQUID + LDAP,DzirtDoUrden, 14:29 , 02-Июл-08
        
        SQUID + LDAP,Сергей, 14:46 , 02-Июл-08
        
        SQUID + LDAP,DzirtDoUrden, 15:12 , 02-Июл-08
        
        SQUID + LDAP,DzirtDoUrden, 16:24 , 02-Июл-08
        
        SQUID + LDAP,DzirtDoUrden, 18:01 , 02-Июл-08

Сообщения в этом обсуждении

"SQUID + LDAP"
Отправлено DzirtDoUrden , 01-Июл-08 18:07

Ах да забыл сказать. проблема вот в чем!
ввожу такую вот строку:
/usr/local/libexec/squid/squid_ldap_auth -b dc=server,dc=ua
потом пишу:
Логин Пароль
Причем логин пароль принадледат администратору домена.
А в ответ получаю:
ERR Success
Я так понимаю что пока я не получу OK настраивать SQUID нет смысла.

"SQUID + LDAP"
Отправлено Сергей , 02-Июл-08 09:21

Я честно говоря, в этой связке все прикрутил к PDC через winbindd,
добавил в smb.conf
  winbind enum users =yes
  winbind enum groups =yes
  winbind cache time = 1200
запустил winbindd и в squid'е прописал авторизацию в домене через
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol...

"SQUID + LDAP"
Отправлено Сергей , 02-Июл-08 09:31

Совсем забыл, дал права группе squid на /var/db/samba/winbindd_privileges

"SQUID + LDAP"
Отправлено DzirtDoUrden , 02-Июл-08 11:59

помогите плиз такая ситуацыя!
как в сказке чем дальше тем страшнее.
все настройки предыдущие а меня в домен пускать не хочет. Машину немогу добавить.
При попытке добавить машину ввожу правельный логин парль админа а он мен в ответ:
Ненайдено имя пользователя.
Если ввести не существующий логин пароль то он говорит что ошибка логина или парля.
Подскажите где искать причину этой проблемы.

"SQUID + LDAP"
Отправлено Сергей , 02-Июл-08 14:25

>помогите плиз такая ситуацыя!
>
>как в сказке чем дальше тем страшнее.
>Подскажите где искать причину этой проблемы.
Простите, молодой человек, а ы вас сама-то SAMBA работает или нет? Если я правильно понял она то как раз и не пашет...

"SQUID + LDAP"
Отправлено DzirtDoUrden , 02-Июл-08 14:29

>>помогите плиз такая ситуацыя!
>>
>>как в сказке чем дальше тем страшнее.
>>Подскажите где искать причину этой проблемы.
>
> Простите, молодой человек, а ы вас сама-то SAMBA работает или
>нет? Если я правильно понял она то как раз и не
>пашет...
она то какраз и пашет!
Я уже вхожу в домен и работаю в нем, а вот в SQUID-е не могу пройти аутенификацию

"SQUID + LDAP"
Отправлено Сергей , 02-Июл-08 14:46

Если вы делаете как я, начните с запуска winbindd и используя самбовскую ntlm_auth проверить себя в домене, причем именно самбовскую,а не сквидовскую...

"SQUID + LDAP"
Отправлено DzirtDoUrden , 02-Июл-08 15:12

> Если вы делаете как я, начните с запуска winbindd и используя
>самбовскую ntlm_auth проверить себя в домене, причем именно самбовскую,а не сквидовскую...
>
а не подскажеш статейку по настройке ntlm_auth

"SQUID + LDAP"
Отправлено DzirtDoUrden , 02-Июл-08 16:24

я вот SQUID перенастроил на авторизацию через хелпер. а вот acl-ки не могу прописать.
Вот настройки
        auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
        auth_param ntlm children 10
        auth_param ntlm max_challenge_reuses 0
        auth_param ntlm max_challenge_lifetime 2 minutes
        auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
        auth_param basic children 10
        auth_param basic realm Squid proxy-caching web server
        auth_param basic credentialsttl 2 hours
если выполнить
/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
ввести логин пароль через пробел то возвращает ОК
Я не знаб какие простейшие acl-ки прописать что б меня в инет выпустило.
и еше один нубский вопрос. Где смотреть логи аутентификации в SQUID-е?

"SQUID + LDAP"
Отправлено DzirtDoUrden , 02-Июл-08 18:01

для хелпера прописал
acl server proxy_auth REQUIRED
http_access allow server
и вс заработало ))
Тему можно закрывать