Squid, Windows PDC, пользователи, интернет

Оглавление документа

Проблема

До

После

Что использовалось

Samba

Настраиваем kerberos

Настраиваем Samba

Squid

Проблема

Очень часто встает проблема предостовления интернет различным Windows сетям. Для это применяется простенькая схема С одной стороны W-сеть, с другой стороны интернет, а посередине ваш-linux маршрутизатор. Весь исходящий и входящий траффик контролируется на linux-gw машине. Это очень удобно. Речь в данной статье пойдет об контроле и кешировании входящего траффика Squid'ом.

До

Простой переброс всего входящего от интернет-сервера до w-машины в вашей сети, которая запрашивала данный ресурс.

После

Учет, контроль траффика squid'ом, возможность запрета доступа к различным файлам, интернет ресурсам и так, далее.

Что использовалось

squid-2.5.STABLE6-alt3
samba-common-3.0.5-alt2
samba-3.0.5-alt2
libkrb5-1.3.1-alt5

Samba

Нам она нужна, чтобы иметь возможность общаться с Win-PDC (Primery Domain Controler) — то место где лежат логины и пароли пользователей win-сети. Нужно заставить нашу машину стать частью win-сети.

Для этого, нам нужны некоторые тело движения.

1. Настроить kerberos для работы с PDC
2. Собственно samba
3. Некоторые телодвижения с запуском winbind.

---

Настраиваем kerberos

Для этого правим /etc/krb5.conf из libkrb5

[logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] ticket_lifetime = 24000 default_realm = ИМЯ.ДОМЕНА dns_lookup_realm = false dns_lookup_kdc = false [realms] ИМЯ.ДОМЕНА = { kdc = ip_адрес_PDC:88 admin_server = ip_адрес_PDC:749 default_domain = имя.домена } [domain_realm] .имя.домена = ИМЯ.ДОМЕНА имя.ДОМЕНА = ИМЯ.ДОМЕНА [kdc] profile = /var/lib/kerberos/krb5kdc/kdc.conf [pam] debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false

• ip_адрес_PDC — это ip-адрес машины на котором стоит PDC

• имя.домена — можно найти следующим способом

Правой кнопкой мыши на значки Мой Компьютер на машине Win-PDC -> Свойства -> Сетевая Идентификация напротив слова Домен будет стоять что, типа этого «my_domen.local» или еще чего-нибудь, зависит от фантазии сисадмина, устанавливавшего AD (Active Directory) на PDC. В приведенном выше конфиге надо слова «имя.домена» заменить на «my_domain.local».

Важно: Регистр букв и расположение точек важны в конфиге kerberos

---

Настраиваем Samba

Правим конфиг /etc/samba/smb.conf

[global] workgroup = ДОМЕН server string = linux-gw local master = no log file = /var/log/samba/log.%m max log size = 50 realm = имя.домена security = ads password server = server encrypt passwords = yes winbind separator = + winbind use default domain = yes winbind uid = 10000-20000 winbind gid = 10000-20000 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 dns proxy = no use sendfile = yes

• ДОМЕН — соответственно часть «my_domain.local» до точки и есть ДОМЕН
• linux-gw — то как вы будете назваться в сетевом окружении win-сети

Запускаем samba

service smb start service winbind start

Далее пробуем зарегестрировать нашу машину как машину домена

net ads join -S ip_адрес_PDC -U имя_пользотеля_входящего_в_группу_администраторы_домена_PDC

Нас мило просят ввести пароль пользотеля_входящего_в_группу_администраторы_домена_PDC и указанного после -U.
Вводим, получаем:

Joined 'LINUX-GW' to realm 'MY_DOMAIN.LOCAL'

Проверяем winbind

[root@linux-gw root]# wbinfo -p Ping to winbindd succeeded on fd 4 [root@linux-gw root]# wbinfo -u Куча имен людей входящих в наш домен ... [root@linux-gw root]# wbinfo -g

После этого можно приниматься за SQUID.

Если на этапе настройки samba у вас возникли проблемы. Что-то не работает, то 

1. Встать, отойти от компьютера, пройтись по улице минут 15
2. Подумать, покурить, поесть.
3. Внимательно проверить конфиги.
4. Еще раз подумать.
5. Подписаться на нашу рассылку, если вы этого еще не сделали и рассказать о своих проблемах.

В ALTLinux Master 2.2 существует несколько проблем, которые лечаться только обновлением glibc

---

Squid

Проверим работоспособность ntlm модуля, то что собственно и отвечает за проверку имени пользователя и пароля для PDC.

[root@linux-gw root]# /usr/bin/ntlm_auth --username=barabashka password: NT_STATUS_OK: Success (0x0)

• barabashka — это пользователь домена, который заведен на PDC

У меня работает :)

Правим конфиг squid /etc/squid/squid.conf
http_port ip_адрес_linux-gw:3128 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 100 MB cache_dir ufs /var/cache/squid 3000 16 256 quick_abort_pct 80 auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl AuthorizedUsers proxy_auth REQUIRED external_acl_type NT_global_group %LOGIN /usr/lib/squid/wbinfo_group.pl acl users external NT_global_group SimpleUsers acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Jabber_ports port 5222 5223 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost server http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports !Jabber_ports http_access allow localhost http_access allow users http_access deny all icp_access allow all coredump_dir /var/spool/squid

• SimpleUsers — это группа заведенная на PDC, в нее добавляете пользователей, которым нужен интернет

Запускаем

service squid start

Проверяем появилось ли имя пользователя в /var/log/squid/access.conf

1099665051.244 17719 192.168.1.1 TCP_MISS/200 21005 CONNECT bugzilla.altlinux.org:443 barabashka DIRECT/62.118.25 0.230 -

Ура, работает, идем отдыхать.

---

[ / Category SQUID ]