* [sisyphus] ntlm аутентификация
@ 2004-04-02 8:38 Sodom
2004-04-02 9:55 ` Grigory Batalov
0 siblings, 1 reply; 13+ messages in thread
From: Sodom @ 2004-04-02 8:38 UTC (permalink / raw)
To: sisyphus
Здравствуйте, уважаемые!
Собрался перевести сквид с авторизации по именам компьютеров на
авторизацию по логинам.
Вопрос: как пускать не всех пользователей домена, а только тех, кто
входит в определенную группу (к примеру - squid_users).
Григорий Баталов так делал, прошу откликнуться.
И еще - сейчас канал поделен на 4 шейпера с разной пропускной
способностью. Как бы мне сохранить эти шейперы? В идеале, я так понял,
создать 4 разных группы squid_users и включать шейперы через них. Как?
--
С уважением,
Sodom mailto:sodom@sodom.ru
Origin: Сколько голов, столько умов. Но первых всегда больше.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] ntlm аутентификация
2004-04-02 8:38 [sisyphus] ntlm аутентификация Sodom
@ 2004-04-02 9:55 ` Grigory Batalov
2004-04-02 10:20 ` Mike Lykov
0 siblings, 1 reply; 13+ messages in thread
From: Grigory Batalov @ 2004-04-02 9:55 UTC (permalink / raw)
To: Sodom
On Fri, 2 Apr 2004 12:38:00 +0400
Sodom <sodom@sodom.ru> wrote:
> Собрался перевести сквид с авторизации по именам компьютеров на
> авторизацию по логинам.
> Вопрос: как пускать не всех пользователей домена, а только тех, кто
> входит в определенную группу (к примеру - squid_users).
> Григорий Баталов так делал, прошу откликнуться.
/etc/squid/squid.conf:
external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
acl int_user external NT_global_group int_user
acl worktime time MTWHF 08:00-17:15
http_access allow password int_user worktime
Т.е. пускаем участников группы int_user в рабочее время =).
> И еще - сейчас канал поделен на 4 шейпера с разной пропускной
> способностью. Как бы мне сохранить эти шейперы? В идеале, я так понял,
> создать 4 разных группы squid_users и включать шейперы через них. Как?
Не знаю, шейперы не делал.
--
Григорий Баталов,
начальник бюро
системного администрирования
ОАО "Ковдорский ГОК"
+7-(81535)-76036
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] ntlm аутентификация
2004-04-02 9:55 ` Grigory Batalov
@ 2004-04-02 10:20 ` Mike Lykov
2004-04-02 10:43 ` Grigory Batalov
` (2 more replies)
0 siblings, 3 replies; 13+ messages in thread
From: Mike Lykov @ 2004-04-02 10:20 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
В сообщении от Пятница 02 Апрель 2004 14:55 Grigory Batalov написал:
> external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
> Т.е. пускаем участников группы int_user в рабочее время =).
А у вас вообще хелперы, идущие в составе сквида, работают?
например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
А то я как-то попробовал - не работали. с тех пор перешел на самбовый
ntlm_auth %)
--
Mike
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] ntlm аутентификация
2004-04-02 10:20 ` Mike Lykov
@ 2004-04-02 10:43 ` Grigory Batalov
2004-04-02 10:47 ` Mike Lykov
2004-04-02 11:13 ` BoBep
2004-04-07 15:36 ` Re[2]: " Sodom
2 siblings, 1 reply; 13+ messages in thread
From: Grigory Batalov @ 2004-04-02 10:43 UTC (permalink / raw)
To: sisyphus
On Fri, 2 Apr 2004 15:20:46 +0500
Mike Lykov <combr@vesna.ru> wrote:
> > external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
> > Т.е. пускаем участников группы int_user в рабочее время =).
>
> А у вас вообще хелперы, идущие в составе сквида, работают?
> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> ntlm_auth %)
И правильно сделали =). Чтобы заработали хэлперы, я их
пересобирал (и патч здесь выкладывал), но это устаревший
метод.
--
Григорий Баталов,
начальник бюро
системного администрирования
ОАО "Ковдорский ГОК"
+7-(81535)-76036
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] ntlm аутентификация
2004-04-02 10:43 ` Grigory Batalov
@ 2004-04-02 10:47 ` Mike Lykov
2004-04-02 11:33 ` Alexander Bokovoy
0 siblings, 1 reply; 13+ messages in thread
From: Mike Lykov @ 2004-04-02 10:47 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
В сообщении от Пятница 02 Апрель 2004 15:43 Grigory Batalov написал:
> > А у вас вообще хелперы, идущие в составе сквида, работают?
> > например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> > А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> > ntlm_auth %)
> И правильно сделали =). Чтобы заработали хэлперы, я их
> пересобирал (и патч здесь выкладывал), но это устаревший
> метод.
Почему устаревший? в самбе есть возможность работы по доменным группам при
подобной аутентификации?
т.е. сквидовские хелперы окончательно и бесповоротно устарели? ;)
(может, выкинуть их из пакета, чтобы не смушели, и написать какое реадме, что
мол, забудьте, пользуйтесь тем-то)
--
Mike
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] ntlm аутентификация
2004-04-02 10:47 ` Mike Lykov
@ 2004-04-02 11:33 ` Alexander Bokovoy
2004-04-02 11:39 ` Mike Lykov
0 siblings, 1 reply; 13+ messages in thread
From: Alexander Bokovoy @ 2004-04-02 11:33 UTC (permalink / raw)
To: combr, ALT Linux Sisyphus discussion list
On Fri, Apr 02, 2004 at 03:47:55PM +0500, Mike Lykov wrote:
> В сообщении от Пятница 02 Апрель 2004 15:43 Grigory Batalov написал:
>
> > > А у вас вообще хелперы, идущие в составе сквида, работают?
> > > например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> > > А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> > > ntlm_auth %)
> > И правильно сделали =). Чтобы заработали хэлперы, я их
> > пересобирал (и патч здесь выкладывал), но это устаревший
> > метод.
>
> Почему устаревший? в самбе есть возможность работы по доменным группам при
> подобной аутентификации?
>
> т.е. сквидовские хелперы окончательно и бесповоротно устарели? ;)
> (может, выкинуть их из пакета, чтобы не смушели, и написать какое реадме, что
> мол, забудьте, пользуйтесь тем-то)
Устарели -- об этом заявляют и сами разработчики Сквида, ориентируясь
полностью на ntlm_auth.
--
/ Alexander Bokovoy
Samba Team http://www.samba.org/
ALT Linux Team http://www.altlinux.org/
Midgard Project Ry http://www.midgard-project.org/
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] ntlm аутентификация
2004-04-02 11:33 ` Alexander Bokovoy
@ 2004-04-02 11:39 ` Mike Lykov
0 siblings, 0 replies; 13+ messages in thread
From: Mike Lykov @ 2004-04-02 11:39 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
В сообщении от Пятница 02 Апрель 2004 16:33 вы написали:
> Устарели -- об этом заявляют и сами разработчики Сквида, ориентируясь
> полностью на ntlm_auth.
Если уж не выкидывать их из пакета, то надо где-то написать, что работать они
будут только с samba2 ... и рядом - "выкидывайте их и samba2, используйте
то-то" ;)
а то многие мучаются вон с пересборкой всякой.. ;)
--
Mike
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] ntlm аутентификация
2004-04-02 10:20 ` Mike Lykov
2004-04-02 10:43 ` Grigory Batalov
@ 2004-04-02 11:13 ` BoBep
2004-04-02 11:28 ` Mike Lykov
2004-04-07 15:36 ` Re[2]: " Sodom
2 siblings, 1 reply; 13+ messages in thread
From: BoBep @ 2004-04-02 11:13 UTC (permalink / raw)
To: combr, ALT Linux Sisyphus discussion list
On Fri, 2 Apr 2004 15:20:46 +0500
Mike Lykov <combr@vesna.ru> wrote:
> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> ntlm_auth %)
А вот с этого места можно поподробнее?
Я по совету Григория пересобирал squid с его патчем.
Хочется попробовать ваш метод.
--
WBR, Glyadelov Vladimir
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: [sisyphus] ntlm аутентификация
2004-04-02 11:13 ` BoBep
@ 2004-04-02 11:28 ` Mike Lykov
0 siblings, 0 replies; 13+ messages in thread
From: Mike Lykov @ 2004-04-02 11:28 UTC (permalink / raw)
To: ALT Linux Sisyphus discussion list
В сообщении от Пятница 02 Апрель 2004 16:13 BoBep написал:
> А вот с этого места можно поподробнее?
> Я по совету Григория пересобирал squid с его патчем.
> Хочется попробовать ваш метод.
в качестве auth_program пропишите в сквиде
man ntlm_auth
NAME
ntlm_auth - tool to allow external access to Winbind's NTLM authentica-
tion function
EXAMPLE SETUP
To setup ntlm_auth for use by squid 2.5, with both basic and NTLMSSP
authentication, the following should be placed in the squid.conf file.
auth_param ntlm program ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
--
Mike
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re[2]: [sisyphus] ntlm аутентификация
2004-04-02 10:20 ` Mike Lykov
2004-04-02 10:43 ` Grigory Batalov
2004-04-02 11:13 ` BoBep
@ 2004-04-07 15:36 ` Sodom
2004-04-08 3:28 ` Mike Lykov
2 siblings, 1 reply; 13+ messages in thread
From: Sodom @ 2004-04-07 15:36 UTC (permalink / raw)
To: sisyphus
Здравствуйте, Mike.
Вы писали 2 апреля 2004 г., 14:20:46:
ML> В сообщении от Пятница 02 Апрель 2004 14:55 Grigory Batalov написал:
>> external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
>> Т.е. пускаем участников группы int_user в рабочее время =).
ML> А у вас вообще хелперы, идущие в составе сквида, работают?
ML> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
ML> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
ML> ntlm_auth %)
Т.е. именно поэтому у меня:
/usr/lib/squid/wb_auth
/wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
И такое впечатление, что скрипт даже не пытается достучаться до
винбинда?
P.S. ntlm_auth работает (с правами 777 на winbind_privileges),
но мне нужно пускать только отдельные группы, а связка:
external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
acl int_user external NT_global_group int_user
acl worktime time MTWHF 08:00-17:15
http_access allow password int_user worktime
которую посоветовал Григорий Баталов не работает (((
--
С уважением,
Sodom mailto:sodom@sodom.ru
Origin: Сколько голов, столько умов. Но первых всегда больше.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: Re[2]: [sisyphus] ntlm аутентификация
2004-04-07 15:36 ` Re[2]: " Sodom
@ 2004-04-08 3:28 ` Mike Lykov
2004-04-08 9:11 ` Re[4]: " Sodom
2004-04-09 7:11 ` Re[2]: " vserge
0 siblings, 2 replies; 13+ messages in thread
From: Mike Lykov @ 2004-04-08 3:28 UTC (permalink / raw)
To: Sodom, ALT Linux Sisyphus discussion list
В сообщении от Среда 07 Апрель 2004 20:36 Sodom написал:
> ML> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> ML> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> ML> ntlm_auth %)
> Т.е. именно поэтому у меня:
> /usr/lib/squid/wb_auth
> /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
> И такое впечатление, что скрипт даже не пытается достучаться до
> винбинда?
У меня было, кажется, похоже (в прошлом году дело было), или говорило BH
invalid protocol, или еще что - но не работало.
> P.S. ntlm_auth работает (с правами 777 на winbind_privileges),
у меня тоже та же проблема с правами. пару раз поднимал тут эту тему, но так
ничего не решили ;)
> но мне нужно пускать только отдельные группы, а связка:
с группами мне повезло - не надо.
Но А.Боковой вроде говорил, что это возможно ;) напишите в samba@
--
Mike
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re[4]: [sisyphus] ntlm аутентификация
2004-04-08 3:28 ` Mike Lykov
@ 2004-04-08 9:11 ` Sodom
2004-04-09 7:11 ` Re[2]: " vserge
1 sibling, 0 replies; 13+ messages in thread
From: Sodom @ 2004-04-08 9:11 UTC (permalink / raw)
To: sisyphus
Здравствуйте, Mike.
Вы писали 8 апреля 2004 г., 7:28:34:
ML> В сообщении от Среда 07 Апрель 2004 20:36 Sodom написал:
>> ML> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
>> ML> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
>> ML> ntlm_auth %)
>> Т.е. именно поэтому у меня:
>> /usr/lib/squid/wb_auth
>> /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
>> И такое впечатление, что скрипт даже не пытается достучаться до
>> винбинда?
ML> У меня было, кажется, похоже (в прошлом году дело было), или говорило BH
ML> invalid protocol, или еще что - но не работало.
>> P.S. ntlm_auth работает (с правами 777 на winbind_privileges),
ML> у меня тоже та же проблема с правами. пару раз поднимал тут эту тему, но так
ML> ничего не решили ;)
>> но мне нужно пускать только отдельные группы, а связка:
ML> с группами мне повезло - не надо.
ML> Но А.Боковой вроде говорил, что это возможно ;) напишите в samba@
А вот такую фишку, кстати, никто не пробовал?
http://group-ldap-auth.sourceforge.net/
Может, это спасет отца русской демократии?
P.S. Извиняюсь за навязчивость - но уж очень хочется нормальной
авторизации по группам... :-\
--
С уважением,
Sodom mailto:sodom@sodom.ru
Origin: Сколько голов, столько умов. Но первых всегда больше.
^ permalink raw reply [flat|nested] 13+ messages in thread
* Re: Re[2]: [sisyphus] ntlm аутентификация
2004-04-08 3:28 ` Mike Lykov
2004-04-08 9:11 ` Re[4]: " Sodom
@ 2004-04-09 7:11 ` vserge
1 sibling, 0 replies; 13+ messages in thread
From: vserge @ 2004-04-09 7:11 UTC (permalink / raw)
To: combr, ALT Linux Sisyphus discussion list
Добрый день
Вы написали Mike Lykov <combr@vesna.ru> Thu, 8 Apr 2004 08:28:34 +0500:
> В сообщении от Среда 07 Апрель 2004 20:36 Sodom написал:
>
> > ML> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> > ML> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> > ML> ntlm_auth %)
> > Т.е. именно поэтому у меня:
> > /usr/lib/squid/wb_auth
> > /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
> > И такое впечатление, что скрипт даже не пытается достучаться до
> > винбинда?
>
> У меня было, кажется, похоже (в прошлом году дело было), или говорило BH
> invalid protocol, или еще что - но не работало.
Насколько я помню это означает что сервер самбы новый, а исходники в сквиде
старые и не поодерживают этот протокол.
для более корректного решения я копировал соотвествующие части из пакета samba
>
> > P.S. ntlm_auth работает (с правами 777 на winbind_privileges),
>
> у меня тоже та же проблема с правами. пару раз поднимал тут эту тему, но так
>
> ничего не решили ;)
>
> > но мне нужно пускать только отдельные группы, а связка:
>
> с группами мне повезло - не надо.
> Но А.Боковой вроде говорил, что это возможно ;) напишите в samba@
>
--
fwbuilder не нужно.
Нужно читать iptables tutorial чтоб понимать что делаешь.
-- mrkooll in community@
^ permalink raw reply [flat|nested] 13+ messages in thread
end of thread, other threads:[~2004-04-09 7:11 UTC | newest]
Thread overview: 13+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-04-02 8:38 [sisyphus] ntlm аутентификация Sodom
2004-04-02 9:55 ` Grigory Batalov
2004-04-02 10:20 ` Mike Lykov
2004-04-02 10:43 ` Grigory Batalov
2004-04-02 10:47 ` Mike Lykov
2004-04-02 11:33 ` Alexander Bokovoy
2004-04-02 11:39 ` Mike Lykov
2004-04-02 11:13 ` BoBep
2004-04-02 11:28 ` Mike Lykov
2004-04-07 15:36 ` Re[2]: " Sodom
2004-04-08 3:28 ` Mike Lykov
2004-04-08 9:11 ` Re[4]: " Sodom
2004-04-09 7:11 ` Re[2]: " vserge
ALT Linux Sisyphus discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \
sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru
public-inbox-index sisyphus
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sisyphus
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git