LINUX.ORG.RU
ФорумAdmin

настройка ntlm в squid3


0

1

Здравствуйте! Я пытаюсь настроить squid3 и sams 1.0.5 на ubuntu 12.04 Вроде бы все это запустилось и даже пытается работать, но не работает NTLM авторизация. Проверял я это подключив ноутбук к серверу и пытаясь зайти в интернет под доменным пользователем. В итоге в access.log 407 ошибка

1355374055.623      0 192.168.0.129 TCP_DENIED/407 4120 GET http://ya.ru/ - NONE/- text/html
Ткните где ошибка. А то я уже голову сломал себе... sams.conf
# created by SAMS _sams_ 2012-12-13 15:31:31
http_port 192.168.110.5:3128
icp_port 0
hierarchy_stoplist cgi-bin ?
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid3/cache 512 16 256 
cache_access_log /usr/local/squid3/log/access.log
cache_log /usr/local/squid3/log/caches.log
cache_store_log /usr/local/squid3/log/store.log
cache_mgr adurbale@kinoforum.local
visible_hostname proxyserver
tcp_outgoing_address 192.168.110.5
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
redirect_program /usr/local/squid3/redirector.pl
redirect_children 10

coredump_dir /usr/local/squid3/cache
pid_filename /usr/local/squid3/log/squid.pid

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=AD-it+internet
auth_param ntlm children 50
auth_param ntlm keep_alive on
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours 

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl localnet src 192.168.0.0/24
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl ntlmauth proxy_auth REQUIRED

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow ntlmauth
http_access deny all

hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
smb.conf
[global]
workgroup = KINOFORUM
realm = KINOFORUM.LOCAL
server string = %h server
security = ADS
encrypt passwords = true
dns proxy = no 
socket options = TCP_NODELAY
domain master = no
local master = no
preferred master = no
os level = 0
domain logons = no

load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
   
idmap config * : range = 10000-20000
idmap config * : backend = tdb 
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
template shell = /bin/bash
winbind refresh tickets = yes

winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%D/%U
client use spnego = yes

wins support = no
log file                = /usr/local/squid3/samba/log.%m
max log size            = 50
nsswitch.conf
passwd:         compat winbind
group:          compat winbind
shadow:         compat
hosts:          files dns
networks:       files dns
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       files winbind
С линуксом я знаком очень мало, так что критика к конфигам приветствуется

Заглянул в caches.log и наткнулся там на ошибку

Winbindd lookupname failed to resolve AD-it+internet into a SID!
Это что значит? Я неправильно ввел имена групп в AD? А как группа должна называться? Я зоздал группу internet и для верности добавил еще группу IT. Я правильно сделал?

wbinfo -u
wbinfo -g
wbinfo -a user.name

zgen ★★★★★ ()

Это что значит?

Это значит, что модуль преобразования групп не может найти нужную информацию о группе «AD-it+internet».

zgen ★★★★★ ()

у вас мозговой слизень на голове!

zgen ★★★★★ ()
Ответ на: комментарий от zgen
 wbinfo -u
администратор
гость
krbtgt
element
user
user31
user21
user22
user32
user33
user51
user41
user11
knekhoroshev
ts1
ts2
roman
vlru
az
adurbale
adm
shakhrai_t
kochneva
solovieva_u
nesterova_t
cobian
podkopaeva_a
taraskin_a
schipilov_g
golubev_i
verigin_a
beloborodova_n
lityagina_o
office
khomik
vgrabchuk
sys
nachkasova
aivanova
ltimkina
ts
kf$
wbinfo -g
компьютеры домена
контроллеры домена
администраторы схемы
администраторы предприятия
издатели сертификатов
администраторы домена
пользователи домена
гости домена
владельцы-создатели групповой политики
серверы ras и ias
группа с разрешением репликации паролей rodc
группа с запрещением репликации паролей rodc
контроллеры домена - только чтение
контроллеры домена предприятия - только чтение
dnsadmins
dnsupdateproxy
ra_allowremoteaccess
ra_allowdashboardaccess
ra_allowshareaccess
ra_allowcomputeraccess
ra_allowaddinaccess
ra_allowhomepagelinks
ra_allownetworkalertaccess
wssusers
пользователи dhcp
администраторы dhcp
kafe
создатели отчетов wsus
администраторы wsus
it
компьютеры веб-доступа к службам терминалов
ts web access computers
accountants
internet
wbinfo -a adurbale
Enter adurbale's password: 
plaintext password authentication succeeded
Enter adurbale's password: 
challenge/response password authentication succeeded
andreyd ()

Заглянул в caches.log и наткнулся там на ошибку

Winbindd lookupname failed to resolve AD-it+internet into a SID!

Это что значит? Я неправильно ввел имена групп в AD? А как группа должна называться? Я зоздал группу internet и для верности добавил еще группу IT. Я правильно сделал?

посмотрите sid группы с помощью adsiedit, и замените имена групп в опции --require-membership-of=AD-it+internet

warmate ()

на ноутбуке винда 7рочка ? реестр ей подправь, чтоб она старый ntlm понимала

ovax ★★★ ()
Ответ на: комментарий от warmate

Привел строку к такому виду. Все равно не пускает

auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=KINOFORUM.LOCAL --require-membership-of=S-xxxxx-xxx-xxx

andreyd ()
Ответ на: комментарий от andreyd

winbind separator = +

это лишнее, лучше убрать совсем или заменить на \

fbiagent ★★★ ()

Делюсь своим рабочим конфигом.

squid:

auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --domain=example.com --require-membership-of=S-1-2-34-567891011-00000000-600000000-1112
auth_param ntlm children 10
auth_param ntlm keep_alive off
acl auth proxy_auth REQUIRED
http_access deny !auth
http_access allow auth
http_access deny all

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl CONNECT method CONNECT

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
http_port 192.168.2.8:3128

coredump_dir /var/spool/squid3

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern (Release|Packages(.gz)*)$      0       20%     2880
refresh_pattern .               0       20%     4320

samba:

workgroup = example
security = ads
realm = example.com
interfaces = eth1
socket address = 192.168.2.8
bind interfaces only = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind separator = +
winbind max clients = 800

warmate ()
Ответ на: комментарий от andreyd

Наконец-то я проснулся окончательно и начал соображать... В basic аутентификацию тоже добавь

--diagnostics --helper-protocol=squid-2.5-basic --domain=KINOFORUM.LOCAL --require-membership-of=S-xxxxx-xxx-xxx

fbiagent ★★★ ()
Ответ на: комментарий от fbiagent

Спасибо всем! Я в Владивостоке живу, и тут уже поздний вечер, так что ваши замечания применю только завтра. Всем добра)))

andreyd ()
Ответ на: комментарий от warmate

К сожалению ничего из вышеперечисленного не помогло. Ни использование конфига товарища warmate, ни правка реестра, ни подстановка sid группы (я уже и пользователя sid туда вставлял, все равно не работает). Мож можно как-нибудь залогиниться в режиме дебага? чтоб посмотреть на каком этапе не пускает. Хотя в принципе и так понятно на каком.... Мож ещё у кого какие идеи будут?

andreyd ()
Ответ на: комментарий от fbiagent

Блин, у меня тот же косяк. Че только не делал, все равно в access.log NONE. Надо будет попробовать на Ubuntu 10.04, год назад пробовал все без проблем завелось, но это на след недели, по результатам отпишу.

anonymous ()
Ответ на: комментарий от anonymous

Не надо Ubuntu 10.04, на 12.04 заработало. Исправил acl auth proxy_auth Domain\user на acl auth proxy_auth REQUIRED в squid.conf и заработало. Теперь установлю samc и буду репу чесать, ведь sams в squid.conf пишет acl Sams2Template1 proxy_auth DOMEN\user. У кого нибудь есть мысли?

anonymous ()
Ответ на: комментарий от andreyd

Я уже все перепробовал, ничего не помогало. В итоге я поставил squid 2.7 и вроде бы все почти «заработало» Теперь при запуске сквида

2012/12/17 16:21:29| Parsing Config File: Unknown authentication scheme 'ntlm'.
При этом при открытии ie на клиенте сквид спрашивает пароль. Я ввожу доменные имя пользователя и пароль и тогда он меня пускает в интернет, но, самс трафик не считает. По ошибке гугл сказал что скорее всего сквид собран без поддержки ntlm. Делаю так
./configure --prefix=/usr/local/etc/squid3 --enable-ssl --enable-external-acl-helpers =ldap_group --enable-basic-auth-helpers=SMB --enable-ntlm-auth-helpers=ntlm_auth --enable-ntlm-auth-helpers=winbind --enable-snmp --enable-delay-pools --enable-carp
В ответ получаю
ERROR: NTLM auth helper winbind does not exists
что я делаю не так?

andreyd ()
Ответ на: комментарий от andreyd

Верни 3-ий сквид, с ним все прекрасно работает, только что настроил. В smb.conf закоментируй сепаратор, в squid.conf в хелпере оставь только параметр --helper-protocol=squid-2.5-ntlmssp, если в cache.log будет писать could not obtain winbind domain name!, добавь к хелперу --domain=ИМЯ.ДОМЕНА. Пока так пробуй, дальше разберемся.

anonymous ()
Ответ на: комментарий от anonymous

Опять сквид3.

/etc/samba/smb.conf

[global]
workgroup = KINOFORUM
realm = KINOFORUM.LOCAL
server string = %h server
security = ADS
encrypt passwords = true
dns proxy = no 
socket options = TCP_NODELAY
domain master = no
local master = no
preferred master = no
os level = 0
domain logons = no
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
idmap config * : range = 10000-20000
idmap config * : backend = tdb   
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
template shell = /bin/bash
winbind refresh tickets = yes
#winbind separator = \
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%D/%U
client use spnego = yes
wins support = no
        log file                = /usr/local/squid3/samba/log.%m
        max log size            = 50
/etc/squid3/squid.conf
# created by SAMS _sams_ 2012-12-18 9:54:42
http_port 192.168.110.5:3128
icp_port 0
hierarchy_stoplist cgi-bin ?
cache_mem 128 MB
maximum_object_size 8092 KB
maximum_object_size_in_memory 512 KB
cache_dir ufs /usr/local/squid3/cache 512 16 256 
cache_access_log /usr/local/squid3/log/access.log
cache_log /usr/local/squid3/log/caches.log
cache_store_log /usr/local/squid3/log/store.log
cache_mgr adurbale@kinoforum.local
visible_hostname proxyserver
tcp_outgoing_address 192.168.110.5
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
redirect_program /usr/local/squid3/redirector.pl
redirect_children 10

coredump_dir /usr/local/squid3/cache
pid_filename /usr/local/squid3/log/squid.pid

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp 
auth_param ntlm children 10
auth_param ntlm keep_alive off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic 
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours 

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl localnet src 192.168.0.0/24
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl ntlmauth proxy_auth REQUIRED

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow ntlmauth
http_access deny all


hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid3
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
В access.log вот это
1355785559.551      0 192.168.0.128 TCP_DENIED/407 4442 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html

andreyd ()
Ответ на: комментарий от andreyd

Такс, теперь в squid.conf перед acl manager proto cache_object вставь acl test proxy_auth REQUIRED и перед http_access allow manager localhost вставь http_access allow test. Перегрузи squid и пробуй.

anonymous ()
Ответ на: комментарий от andreyd

В cache.log все спокойно

2012/12/18 17:47:20| Starting Squid Cache version 3.1.19 for i686-pc-linux-gnu...
2012/12/18 17:47:20| Process ID 10224
2012/12/18 17:47:20| With 1024 file descriptors available
2012/12/18 17:47:20| Initializing IP Cache...
2012/12/18 17:47:20| DNS Socket created at [::], FD 6
2012/12/18 17:47:20| DNS Socket created at 0.0.0.0, FD 7
2012/12/18 17:47:20| Adding nameserver 192.168.110.3 from /etc/resolv.conf
2012/12/18 17:47:20| Adding domain KINOFORUM.LOCAL from /etc/resolv.conf
2012/12/18 17:47:20| helperOpenServers: Starting 10/10 'redirector.pl' processes
2012/12/18 17:47:20| helperOpenServers: Starting 10/10 'ntlm_auth' processes
2012/12/18 17:47:20| Unlinkd pipe opened on FD 52
2012/12/18 17:47:20| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2012/12/18 17:47:20| Swap maxSize 524288 + 131072 KB, estimated 50412 objects
2012/12/18 17:47:20| Target number of buckets: 2520
2012/12/18 17:47:20| Using 8192 Store buckets
2012/12/18 17:47:20| Max Mem  size: 131072 KB
2012/12/18 17:47:20| Max Swap size: 524288 KB
2012/12/18 17:47:20| Version 1 of swap file with LFS support detected... 
2012/12/18 17:47:20| Rebuilding storage in /usr/local/squid3/cache (DIRTY)
2012/12/18 17:47:20| Using Least Load store dir selection
2012/12/18 17:47:20| Set Current Directory to /var/spool/squid3
2012/12/18 17:47:20| Loaded Icons.
2012/12/18 17:47:20| Accepting  HTTP connections at 192.168.110.5:3128, FD 56.
2012/12/18 17:47:20| HTCP Disabled.
2012/12/18 17:47:20| Squid plugin modules loaded: 0
2012/12/18 17:47:20| Adaptation support is off.
2012/12/18 17:47:20| Ready to serve requests.
2012/12/18 17:47:20| Done reading /usr/local/squid3/cache swaplog (279 entries)
2012/12/18 17:47:20| Finished rebuilding storage from disk.
2012/12/18 17:47:20|       279 Entries scanned
2012/12/18 17:47:20|         0 Invalid entries.
2012/12/18 17:47:20|         0 With invalid flags.
2012/12/18 17:47:20|       279 Objects loaded.
2012/12/18 17:47:20|         0 Objects expired.
2012/12/18 17:47:20|         0 Objects cancelled.
2012/12/18 17:47:20|         0 Duplicate URLs purged.
2012/12/18 17:47:20|         0 Swapfile clashes avoided.
2012/12/18 17:47:20|   Took 0.00 seconds (80080.37 objects/sec).
2012/12/18 17:47:20| Beginning Validation Procedure
2012/12/18 17:47:20|   Completed Validation Procedure
2012/12/18 17:47:20|   Validated 583 Entries
2012/12/18 17:47:20|   store_swap_size = 5172
2012/12/18 17:47:21| storeLateRelease: released 0 objects

andreyd ()
Ответ на: комментарий от anonymous

это при открытии ya.ru

1355813936.803      0 192.168.0.128 TCP_DENIED/407 3951 GET http://ya.ru/ - NONE/- text/html
1355813936.812      0 192.168.0.128 TCP_DENIED/407 4347 GET http://ya.ru/ - NONE/- text/html
1355813937.125      0 192.168.0.128 TCP_DENIED/407 4261 GET http://www.tns-counter.ru/V13a****yandex_ru/ru/CP1251/tmsec=yandex_ya/0 - NONE/- text/html
1355813937.129      0 192.168.0.128 TCP_DENIED/407 4657 GET http://www.tns-counter.ru/V13a****yandex_ru/ru/CP1251/tmsec=yandex_ya/0 - NONE/- text/html
1355813937.195    381 192.168.0.128 TCP_MISS/200 7186 GET http://ya.ru/ adurbale DIRECT/213.180.204.3 text/html
1355813937.289      0 192.168.0.128 TCP_DENIED/407 4201 GET http://kiks.yandex.ru/su/ - NONE/- text/html
1355813937.329      0 192.168.0.128 TCP_DENIED/407 4421 GET http://suggest.yandex.ru/suggest-ya.cgi? - NONE/- text/html
1355813937.332      0 192.168.0.128 TCP_DENIED/407 4597 GET http://kiks.yandex.ru/su/ - NONE/- text/html
1355813937.333      0 192.168.0.128 TCP_DENIED/407 4817 GET http://suggest.yandex.ru/suggest-ya.cgi? - NONE/- text/html
1355813937.337      0 192.168.0.128 TCP_DENIED/407 4243 GET http://www.yandex.ru/data/mail.js? - NONE/- text/html
1355813937.340      0 192.168.0.128 TCP_DENIED/407 4639 GET http://www.yandex.ru/data/mail.js? - NONE/- text/html
1355813937.371      0 192.168.0.128 TCP_DENIED/407 4421 GET http://suggest.yandex.ru/suggest-ya.cgi? - NONE/- text/html
1355813937.374      0 192.168.0.128 TCP_DENIED/407 4817 GET http://suggest.yandex.ru/suggest-ya.cgi? - NONE/- text/html
1355813937.380    248 192.168.0.128 TCP_MISS/200 560 GET http://www.tns-counter.ru/V13a****yandex_ru/ru/CP1251/tmsec=yandex_ya/0 adurbale DIRECT/217.73.200.220 image/gif
1355813937.575    239 192.168.0.128 TCP_MISS/200 358 GET http://suggest.yandex.ru/suggest-ya.cgi? adurbale DIRECT/77.88.21.63 text/javascript
1355813937.579    244 192.168.0.128 TCP_MISS/302 341 GET http://kiks.yandex.ru/su/ adurbale DIRECT/93.158.134.143 -
1355813937.614    238 192.168.0.128 TCP_MISS/200 358 GET http://suggest.yandex.ru/suggest-ya.cgi? adurbale DIRECT/77.88.21.63 text/javascript
1355813937.713    510 192.168.0.128 TCP_MISS/302 563 GET http://mc.yandex.ru/watch/723233 adurbale DIRECT/87.250.250.119 -
1355813937.751    409 192.168.0.128 TCP_MISS/200 603 GET http://www.yandex.ru/data/mail.js? adurbale DIRECT/213.180.204.3 text/javascript
1355813937.838    121 192.168.0.128 TCP_MISS/200 521 GET http://mc.yandex.ru/watch/723233/1 adurbale DIRECT/87.250.250.119 image/gif

andreyd ()
Ответ на: комментарий от andreyd

Теперь убери свои acl и http_access. В веб интерфейсе sams->Авторизация галку на Active Directory и конфигурировать. sams->Авторизация->Active Directory настрой соединение с сервером AD, группа пользователей Active Directory оставь пустой, протестируй подключение к AD, если все норм, импортируй пользователей. Далее sams->SQUID->Proxy server нажимай настройку, в настройка авторизации пользователя выбирай adld, галку Включить использование домена пользователя не ставь. Не забудь вставить ip сервера в полях файл перенаправления запроса и Путь к каталогу, где лежат файлы запрета запроса. Сохраняй, реконфигурируй, и пробуй. Мож че непонятно написал, но как мог)

anonymous ()
Ответ на: комментарий от anonymous

Если честно половину не понял)))Какие мои acl и http_access? Авторизацию я настраивал по NTLM ( Domain + User ) ответ от pdc получил, пользователей добавил. Вот это «sams->SQUID->Proxy server» я вообще не нашел

andreyd ()
Ответ на: комментарий от andreyd

Ага, понял. В самсе убери авторизацию по NTLM ( Domain + User ), удали всех пользователей из самса. И сделай как сказал, опустив про acl и http_access. Прокси сервер ты мог сам обозвать как хотел, поэтому sams->SQUID->имя_твоего_прокси.

anonymous ()
Ответ на: комментарий от andreyd

Тебе надо в самс настроить аутентификацию в LDAP_AD а не NTLM, а в сквиде использовать хелпер ntlm-auth от самбы. Так как со squid_ldap_auth ты добьешься только basic аутентификации. Както так.

anonymous ()
Ответ на: комментарий от anonymous

Но я же попадю под доменным пользователем в интернет, и сквид считает мой трафик. Я впринципе этого и добивался. Или я чего-то не понимаю?

andreyd ()
Ответ на: комментарий от andreyd

и ещё при ntlm авторизации sams видит домен, а при ldap_ad не видит (т.е. при нажатии «тестировать pdc» отображается пустая страница

andreyd ()
Ответ на: комментарий от andreyd

Сквид не считает твой трафик, а ведет лог. А вот самс читает этот лог, заносит в базу, анализирует, считает.

anonymous ()
Ответ на: комментарий от andreyd

У меня SAMS2, так что посмотреть/проверить не могу, но кажись когда я самс 1.0.5 ставил, то вроде тест проходил. Хотя хоть убей не помню, может поэтому и отказался от первого самса.

anonymous ()
Ответ на: комментарий от andreyd

Релиз кандидат 2 пока, но люди говорят что нормально работает, поэтому и не побоялся. В любом случае стабильной назвать пока нельзя, так что выбирать тебе.

anonymous ()
Ответ на: комментарий от anonymous

думаю тогда с моими знаниями лучше остаться на старой версии))

Ладно. Огромное спасибо за помощь, сам бы я еще долго разбирался. Завтра продолжу настраивать ldap, надеюсь вопросов не возникнет

andreyd ()
Ответ на: комментарий от andreyd

В догонку для 1.0.5 из оф. мануала: Цитата Конфигурация SAMS для работы с Active Directory Для того, чтобы система могла авторизоваться в AD необходимо в файле sams.conf настроить поддержку AD:

LDAPSERVER=activedirectoryserver - имя или ip адрес сервера AD LDAPBASEDN=domain.name - домен, поддерживаемый AD. LDAPUSER=username - пользователь, входящий в группу AD администраторов домена, от имени которого SAMS будет работать с AD LDAPUSERPASSWD=passwd - пароль LDAPUSERSGROUP=Users - группа, содержащая пользователей в AD (обчно это Users) Конец цитаты. LDAPUSERSGROUP= оставь пустым.

anonymous ()
Ответ на: комментарий от anonymous

sams.conf

[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=sams	
MYSQLPASSWORD=psw	
MYSQLVERSION=4.0	
SQUIDCACHEFILE=access.log	
SQUIDROOTDIR=/etc/squid3	
SQUIDLOGDIR=/usr/local/squid3/log	
SQUIDCACHEDIR=/var/spool/squid	
SAMSPATH=/usr	
SQUIDPATH=/usr/sbin
SQUIDGUARDLOGPATH=/var/log
SQUIDGUARDDBPATH=/etc/squid3
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout

LDAPSERVER=192.168.110.3	
LDAPBASEDN=KINOFORUM.LOCAL
LDAPUSER=adurbale
LDAPUSERPASSWD=psw
LDAPUSERSGROUP=
Все равно домен не видит Я так понимаю это можно проверить этим скриптом /usr/lib/squid3/squid_ldap_auth но я чет с синтаксисом пока не разберусь

andreyd ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.