Squid, Windows PDC, пользователи, интернет

Оглавление документа

Проблема

До

После

Что использовалось

Samba

Настраиваем kerberos

Настраиваем Samba

Squid

Грабля 1

Грабля 2

Заметочка

Проблема

Очень часто встает проблема предостовления интернет различным Windows сетям. Для это применяется простенькая схема С одной стороны W-сеть, с другой стороны интернет, а посередине ваш-linux маршрутизатор. Весь исходящий и входящий траффик контролируется на linux-gw машине. Это очень удобно. Речь в данной статье пойдет об контроле и кешировании входящего траффика Squid'ом.

До

Простой переброс всего входящего от интернет-сервера до w-машины в вашей сети, которая запрашивала данный ресурс.

После

Учет, контроль траффика squid'ом, возможность запрета доступа к различным файлам, интернет ресурсам и так, далее.

Что использовалось

squid-2.5.STABLE6-alt3
samba-common-3.0.5-alt2
samba-3.0.5-alt2
libkrb5-1.3.1-alt5

Samba

Нам она нужна, чтобы иметь возможность общаться с Win-PDC (Primery Domain Controler) — то место где лежат логины и пароли пользователей win-сети. Нужно заставить нашу машину стать частью win-сети.

Для этого, нам нужны некоторые тело движения.

1. Настроить kerberos для работы с PDC
2. Собственно samba
3. Некоторые телодвижения с запуском winbind.

---

Настраиваем kerberos

Для этого правим /etc/krb5.conf из libkrb5

[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = ИМЯ.ДОМЕНА dns_lookup_realm = false dns_lookup_kdc = false [realms] ИМЯ.ДОМЕНА = { kdc = ip_адрес_PDC:88 admin_server = ip_адрес_PDC:749 default_domain = имя.домена } [domain_realm] .имя.домена = ИМЯ.ДОМЕНА имя.ДОМЕНА = ИМЯ.ДОМЕНА [kdc] profile = /var/lib/kerberos/krb5kdc/kdc.conf [pam] debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false

• ip_адрес_PDC — это ip-адрес машины на котором стоит PDC

• имя.домена — можно найти следующим способом

Правой кнопкой мыши на значки Мой Компьютер на машине Win-PDC -> Свойства -> Сетевая Идентификация напротив слова Домен будет стоять что, типа этого «my_domen.local» или еще чего-нибудь, зависит от фантазии сисадмина, устанавливавшего AD (Active Directory) на PDC. В приведенном выше конфиге надо слова «имя.домена» заменить на «my_domain.local».

Важно: Регистр букв и расположение точек важны в конфиге kerberos

---

Настраиваем Samba

Правим конфиг /etc/samba/smb.conf

[global] workgroup = ДОМЕН server string = linux-gw local master = no log file = /var/log/samba/log.%m max log size = 50 realm = имя.домена security = ads password server = server encrypt passwords = yes winbind separator = + winbind use default domain = yes winbind uid = 10000-20000 winbind gid = 10000-20000 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 dns proxy = no use sendfile = yes

• ДОМЕН — соответственно часть «my_domain.local» до точки и есть ДОМЕН
• linux-gw — то как вы будете назваться в сетевом окружении win-сети

Запускаем samba

service smb start service winbind start

Далее пробуем зарегестрировать нашу машину как машину домена

net ads join -S ip_адрес_PDC -U имя_пользотеля_входящего_в_группу_администраторы_домена_PDC

Нас мило просят ввести пароль пользотеля_входящего_в_группу_администраторы_домена_PDC и указанного после -U.
Вводим, получаем:

Joined 'LINUX-GW' to realm 'MY_DOMAIN.LOCAL'

Проверяем winbind

[root@linux-gw root]# wbinfo -p Ping to winbindd succeeded on fd 4 [root@linux-gw root]# wbinfo -u Куча имен людей входящих в наш домен ... [root@linux-gw root]# wbinfo -g

После этого можно приниматься за SQUID.

Если на этапе настройки samba у вас возникли проблемы. Что-то не работает, то 

1. Встать, отойти от компьютера, пройтись по улице минут 15
2. Подумать, покурить, поесть.
3. Внимательно проверить конфиги.
4. Еще раз подумать.
5. Подписаться на нашу рассылку, если вы этого еще не сделали и рассказать о своих проблемах.

В ALTLinux Master 2.2 существует несколько проблем, которые лечаться только обновлением glibc
Смотрим на
http://lists.altlinux.ru/pipermail/samba/2004-February/000671.html

---

Squid

Проверим работоспособность ntlm модуля, то что собственно и отвечает за проверку имени пользователя и пароля для PDC.

[root@linux-gw root]# /usr/bin/ntlm_auth --username=barabashka password: NT_STATUS_OK: Success (0x0)

• barabashka — это пользователь домена, который заведен на PDC

У меня работает :)

Правим конфиг squid /etc/squid/squid.conf
http_port ip_адрес_linux-gw:3128 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 100 MB cache_dir ufs /var/cache/squid 3000 16 256 quick_abort_pct 80 auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 25 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl acl users external NT_global_group SimpleUsers acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Jabber_ports port 5222 5223 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost server http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports !Jabber_ports http_access allow localhost http_access allow users http_access deny all icp_access allow all coredump_dir /var/spool/squid

• SimpleUsers — это группа заведенная на PDC, в нее добавляете пользователей, которым нужен интернет

Запускаем

service squid start

Проверяем появилось ли имя пользователя в /var/log/squid/access.conf

1099665051.244 17719 192.168.1.1 TCP_MISS/200 21005 CONNECT bugzilla.altlinux.org:443 barabashka DIRECT/62.118.25 0.230 -

Ура, работает, идем отдыхать.

---

Грабля 1

Вся эта схема не будет работать, если squid не сможет писать в 
/var/lib/samba/winbindd_privileged/pipe

В последней версии squid (squid-2.5.STABLE7-alt3.M24) это решается следующим образом:
"... Внести сквида в группу winbind... " — Alexey I. Froloff
Смотри http://lists.altlinux.ru/pipermail/community/2005-January/143414.html

Для более старых версий squid это решается правкой /etc/init.d/winbind,
функция start должна выглядить следующим образом:

start() { # my_change chmod 750 /var/lib/samba/winbindd_privileged # end my_change echo -n "Starting Winbind services: " start-stop-daemon --start --quiet --exec /usr/sbin/winbindd -- -B RETVAL=$? if [ $RETVAL -eq 0 ] ; then touch "$LOCKFILE" success "Winbind startup" # my_change sleep 10 chmod 777 /var/lib/samba/winbindd_privileged # end my_change else RETVAL=1 failure "Winbind startup" fi echo return $RETVAL }

---

Грабля 2

Прозрачное проксирование.

Если включен прозрачный прокси, то есть у клиента прокси никак не указывается,
а в squid.conf написано:


httpd_accel_host virtual httpd_accel_port 80 httpd_accel_with_proxy on httpd_accel_uses_host_header on Добавить правило iptables iptables -t nat -A PREROUTING -p tcp -s ваша_сеть/24 --dport 80 -j REDIRECT --to-ports 3128

то при «debug_options ALL,1 33,2" в cache.log валятся записи:
aclAuthenticated: authentication not applicable on accelerated requests.

Автор грабли Илья Евсеев -=ilya_evseev at mail dot ru=-

Заметочка

• Если надо разрешить доступ, только к определенному сайту:

acl users src ваша_сеть/255.255.255.0 acl site dstdomain .lug.ru http_access allow users site http_access deny site

• Если надо завесть кучку пользователей в файл и проверять их от туда

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd htpasswd -c /etc/squid/passwd имя_пользователя

---

[ / Category SQUID ]