Volgograd

Волгоград Linux User Group

Организована 23 ноября 2002 года

Проект заморожен Птн Июл 6 02:11:14 MSD 2012


Вход:  Пароль:  

ГраблеВодство/articles/SquidNtlm


Squid, Windows PDC, пользователи, интернет

Оглавление документа

Проблема

Очень часто встает проблема предостовления интернет различным Windows сетям. Для это применяется простенькая схема С одной стороны W-сеть, с другой стороны интернет, а посередине ваш-linux маршрутизатор. Весь исходящий и входящий траффик контролируется на linux-gw машине. Это очень удобно. Речь в данной статье пойдет об контроле и кешировании входящего траффика Squid'ом.

До

Простой переброс всего входящего от интернет-сервера до w-машины в вашей сети, которая запрашивала данный ресурс.

После

Учет, контроль траффика squid'ом, возможность запрета доступа к различным файлам, интернет ресурсам и так, далее.

Что использовалось

squid-2.5.STABLE6-alt3
samba-common-3.0.5-alt2
samba-3.0.5-alt2
libkrb5-1.3.1-alt5

Samba

Нам она нужна, чтобы иметь возможность общаться с Win-PDC (Primery Domain Controler) — то место где лежат логины и пароли пользователей win-сети. Нужно заставить нашу машину стать частью win-сети.

Для этого, нам нужны некоторые тело движения.

  1. Настроить kerberos для работы с PDC
  2. Собственно samba
  3. Некоторые телодвижения с запуском winbind.


Настраиваем kerberos


Для этого правим /etc/krb5.conf из libkrb5



  • ip_адрес_PDC — это ip-адрес машины на котором стоит PDC

  • имя.домена — можно найти следующим способом
Правой кнопкой мыши на значки Мой Компьютер на машине Win-PDC -> Свойства -> Сетевая Идентификация напротив слова Домен будет стоять что, типа этого «my_domen.local» или еще чего-нибудь, зависит от фантазии сисадмина, устанавливавшего AD (Active Directory) на PDC. В приведенном выше конфиге надо слова «имя.домена» заменить на «my_domain.local».

Важно: Регистр букв и расположение точек важны в конфиге kerberos

Настраиваем Samba


Правим конфиг /etc/samba/smb.conf



  • ДОМЕН — соответственно часть «my_domain.local» до точки и есть ДОМЕН
  • linux-gw — то как вы будете назваться в сетевом окружении win-сети

Запускаем samba



Далее пробуем зарегестрировать нашу машину как машину домена



Нас мило просят ввести пароль пользотеля_входящего_в_группу_администраторы_домена_PDC и указанного после -U.
Вводим, получаем:



Проверяем winbind



После этого можно приниматься за SQUID.

Если на этапе настройки samba у вас возникли проблемы. Что-то не работает, то 
  1. Встать, отойти от компьютера, пройтись по улице минут 15
  2. Подумать, покурить, поесть.
  3. Внимательно проверить конфиги.
  4. Еще раз подумать.
  5. Подписаться на нашу рассылку, если вы этого еще не сделали и рассказать о своих проблемах.

В ALTLinux Master 2.2 существует несколько проблем, которые лечаться только обновлением glibc
Смотрим на
http://lists.altlinux.ru/pipermail/samba/2004-February/000671.html


Squid


Проверим работоспособность ntlm модуля, то что собственно и отвечает за проверку имени пользователя и пароля для PDC.



  • barabashka — это пользователь домена, который заведен на PDC

У меня работает :)

Правим конфиг squid /etc/squid/squid.conf


  • SimpleUsers — это группа заведенная на PDC, в нее добавляете пользователей, которым нужен интернет

Запускаем



Проверяем появилось ли имя пользователя в /var/log/squid/access.conf



Ура, работает, идем отдыхать.


Грабля 1

Вся эта схема не будет работать, если squid не сможет писать в 
/var/lib/samba/winbindd_privileged/pipe

В последней версии squid (squid-2.5.STABLE7-alt3.M24) это решается следующим образом:
"... Внести сквида в группу winbind... " — Alexey I. Froloff
Смотри http://lists.altlinux.ru/pipermail/community/2005-January/143414.html

Для более старых версий squid это решается правкой /etc/init.d/winbind,
функция start должна выглядить следующим образом:




Грабля 2

Прозрачное проксирование.

Если включен прозрачный прокси, то есть у клиента прокси никак не указывается,
а в squid.conf написано:




то при «debug_options ALL,1 33,2" в cache.log валятся записи:
aclAuthenticated: authentication not applicable on accelerated requests.

Автор грабли Илья Евсеев -=ilya_evseev at mail dot ru=-

Заметочка

  • Если надо разрешить доступ, только к определенному сайту:

  • Если надо завесть кучку пользователей в файл и проверять их от туда



[ / Category SQUID ]