[sisyphus] ntlm аутентификация

[sisyphus] ntlm аутентификация

[Sodom]

Здравствуйте, уважаемые!
Собрался перевести сквид с авторизации по именам компьютеров на
авторизацию по логинам.
Вопрос: как пускать не всех пользователей домена, а только тех, кто
входит в определенную группу (к примеру - squid_users).
Григорий Баталов так делал, прошу откликнуться.

И еще - сейчас канал поделен на 4 шейпера с разной пропускной
способностью. Как бы мне сохранить эти шейперы? В идеале, я так понял,
создать 4 разных группы squid_users и включать шейперы через них. Как?

-- 
С уважением,
 Sodom                          mailto:sodom@sodom.ru

Origin:  Сколько голов, столько умов. Но первых всегда больше.

Re: [sisyphus] ntlm аутентификация

[Grigory Batalov]

On Fri, 2 Apr 2004 12:38:00 +0400
Sodom <sodom@sodom.ru> wrote:

> Собрался перевести сквид с авторизации по именам компьютеров на
> авторизацию по логинам.
> Вопрос: как пускать не всех пользователей домена, а только тех, кто
> входит в определенную группу (к примеру - squid_users).
> Григорий Баталов так делал, прошу откликнуться.

  /etc/squid/squid.conf:

external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
acl int_user external NT_global_group int_user
acl worktime         time MTWHF 08:00-17:15

http_access allow password int_user worktime

  Т.е. пускаем участников группы int_user в рабочее время =).

> И еще - сейчас канал поделен на 4 шейпера с разной пропускной
> способностью. Как бы мне сохранить эти шейперы? В идеале, я так понял,
> создать 4 разных группы squid_users и включать шейперы через них. Как?

  Не знаю, шейперы не делал.

-- 
Григорий Баталов,
начальник бюро
системного администрирования
ОАО "Ковдорский ГОК"
+7-(81535)-76036

Re: [sisyphus] ntlm аутентификация

[Mike Lykov]

В сообщении от Пятница 02 Апрель 2004 14:55 Grigory Batalov написал:

> external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
>   Т.е. пускаем участников группы int_user в рабочее время =).

А у вас вообще хелперы, идущие в составе сквида, работают?
например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
А то я как-то попробовал - не работали. с тех пор перешел на самбовый 
ntlm_auth %)

-- 
Mike

Re: [sisyphus] ntlm аутентификация

[Grigory Batalov]

On Fri, 2 Apr 2004 15:20:46 +0500
Mike Lykov <combr@vesna.ru> wrote:

> > external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
> >   Т.е. пускаем участников группы int_user в рабочее время =).
> 
> А у вас вообще хелперы, идущие в составе сквида, работают?
> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> А то я как-то попробовал - не работали. с тех пор перешел на самбовый 
> ntlm_auth %)

  И правильно сделали =). Чтобы заработали хэлперы, я их
  пересобирал (и патч здесь выкладывал), но это устаревший
  метод.

-- 
Григорий Баталов,
начальник бюро
системного администрирования
ОАО "Ковдорский ГОК"
+7-(81535)-76036

Re: [sisyphus] ntlm аутентификация

[Mike Lykov]

В сообщении от Пятница 02 Апрель 2004 15:43 Grigory Batalov написал:

> > А у вас вообще хелперы, идущие в составе сквида, работают?
> > например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> > А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> > ntlm_auth %)
>   И правильно сделали =). Чтобы заработали хэлперы, я их
>   пересобирал (и патч здесь выкладывал), но это устаревший
>   метод.

Почему устаревший? в самбе есть возможность работы по доменным группам при 
подобной аутентификации?

т.е. сквидовские хелперы окончательно и бесповоротно устарели? ;)
(может, выкинуть их из пакета, чтобы не смушели, и написать какое реадме, что 
мол, забудьте, пользуйтесь тем-то)

-- 
Mike

Re: [sisyphus] ntlm аутентификация

[BoBep]

On Fri, 2 Apr 2004 15:20:46 +0500
Mike Lykov <combr@vesna.ru> wrote:

> А то я как-то попробовал - не работали. с тех пор перешел на самбовый 
> ntlm_auth %)
А вот с этого места можно поподробнее?
Я по совету Григория пересобирал squid с его патчем.
Хочется попробовать ваш метод.


-- 

WBR, Glyadelov Vladimir

Re: [sisyphus] ntlm аутентификация

[Mike Lykov]

В сообщении от Пятница 02 Апрель 2004 16:13 BoBep написал:

> А вот с этого места можно поподробнее?
> Я по совету Григория пересобирал squid с его патчем.
> Хочется попробовать ваш метод.

в качестве auth_program пропишите в сквиде

man ntlm_auth

NAME
       ntlm_auth - tool to allow external access to Winbind's NTLM authentica-
       tion function

EXAMPLE SETUP
       To  setup  ntlm_auth  for use by squid 2.5, with both basic and NTLMSSP
       authentication, the following should be placed in the squid.conf  file.

       auth_param ntlm program ntlm_auth --helper-protocol=squid-2.5-ntlmssp
       auth_param basic program ntlm_auth --helper-protocol=squid-2.5-basic
       auth_param basic children 5
       auth_param basic realm Squid proxy-caching web server
       auth_param basic credentialsttl 2 hours

-- 
Mike

Re: [sisyphus] ntlm аутентификация

[Alexander Bokovoy]

On Fri, Apr 02, 2004 at 03:47:55PM +0500, Mike Lykov wrote:
> В сообщении от Пятница 02 Апрель 2004 15:43 Grigory Batalov написал:
> 
> > > А у вас вообще хелперы, идущие в составе сквида, работают?
> > > например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> > > А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> > > ntlm_auth %)
> >   И правильно сделали =). Чтобы заработали хэлперы, я их
> >   пересобирал (и патч здесь выкладывал), но это устаревший
> >   метод.
> 
> Почему устаревший? в самбе есть возможность работы по доменным группам при 
> подобной аутентификации?
> 
> т.е. сквидовские хелперы окончательно и бесповоротно устарели? ;)
> (может, выкинуть их из пакета, чтобы не смушели, и написать какое реадме, что 
> мол, забудьте, пользуйтесь тем-то)
Устарели -- об этом заявляют и сами разработчики Сквида, ориентируясь
полностью на ntlm_auth.
-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/

Re: [sisyphus] ntlm аутентификация

[Mike Lykov]

В сообщении от Пятница 02 Апрель 2004 16:33 вы написали:

> Устарели -- об этом заявляют и сами разработчики Сквида, ориентируясь
> полностью на ntlm_auth.

Если уж не выкидывать их из пакета, то надо где-то написать, что работать они 
будут только с samba2 ... и рядом - "выкидывайте их и samba2, используйте 
то-то" ;)

а то многие мучаются вон с пересборкой всякой.. ;)

-- 
Mike

Re[2]: [sisyphus] ntlm аутентификация

[Sodom]

Здравствуйте, Mike.

Вы писали 2 апреля 2004 г., 14:20:46:

ML> В сообщении от Пятница 02 Апрель 2004 14:55 Grigory Batalov написал:

>> external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
>>   Т.е. пускаем участников группы int_user в рабочее время =).

ML> А у вас вообще хелперы, идущие в составе сквида, работают?
ML> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
ML> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
ML> ntlm_auth %)

Т.е. именно поэтому у меня:
 /usr/lib/squid/wb_auth
/wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
И такое впечатление, что скрипт даже не пытается достучаться до
винбинда?
P.S. ntlm_auth работает (с правами 777 на winbind_privileges),
но мне нужно пускать только отдельные группы, а связка:
external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
acl int_user external NT_global_group int_user
acl worktime         time MTWHF 08:00-17:15

http_access allow password int_user worktime
которую посоветовал Григорий Баталов не работает (((


-- 
С уважением,
 Sodom                          mailto:sodom@sodom.ru

Origin:  Сколько голов, столько умов. Но первых всегда больше.

Re: Re[2]: [sisyphus] ntlm аутентификация

[Mike Lykov]

В сообщении от Среда 07 Апрель 2004 20:36 Sodom написал:

> ML> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> ML> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> ML> ntlm_auth %)
> Т.е. именно поэтому у меня:
>  /usr/lib/squid/wb_auth
> /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
> И такое впечатление, что скрипт даже не пытается достучаться до
> винбинда?

У меня было, кажется, похоже (в прошлом году дело было), или говорило BH 
invalid protocol, или еще что - но не работало.

> P.S. ntlm_auth работает (с правами 777 на winbind_privileges),

у меня тоже та же проблема с правами. пару раз поднимал тут эту тему, но так 
ничего не решили ;)

> но мне нужно пускать только отдельные группы, а связка:

с группами мне повезло - не надо.
Но А.Боковой вроде говорил, что это возможно ;) напишите в samba@

-- 
Mike

Re[4]: [sisyphus] ntlm аутентификация

[Sodom]

Здравствуйте, Mike.

Вы писали 8 апреля 2004 г., 7:28:34:

ML> В сообщении от Среда 07 Апрель 2004 20:36 Sodom написал:

>> ML> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
>> ML> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
>> ML> ntlm_auth %)
>> Т.е. именно поэтому у меня:
>>  /usr/lib/squid/wb_auth
>> /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
>> И такое впечатление, что скрипт даже не пытается достучаться до
>> винбинда?

ML> У меня было, кажется, похоже (в прошлом году дело было), или говорило BH
ML> invalid protocol, или еще что - но не работало.

>> P.S. ntlm_auth работает (с правами 777 на winbind_privileges),

ML> у меня тоже та же проблема с правами. пару раз поднимал тут эту тему, но так
ML> ничего не решили ;)

>> но мне нужно пускать только отдельные группы, а связка:

ML> с группами мне повезло - не надо.
ML> Но А.Боковой вроде говорил, что это возможно ;) напишите в samba@

А вот такую фишку, кстати, никто не пробовал?

http://group-ldap-auth.sourceforge.net/

Может, это спасет отца русской демократии?

P.S. Извиняюсь за навязчивость - но уж очень хочется нормальной
авторизации по группам... :-\

-- 
С уважением,
 Sodom                          mailto:sodom@sodom.ru

Origin:  Сколько голов, столько умов. Но первых всегда больше.

Re: Re[2]: [sisyphus] ntlm аутентификация

[vserge]

Добрый день



Вы написали Mike Lykov <combr@vesna.ru> Thu, 8 Apr 2004 08:28:34 +0500:

> В сообщении от Среда 07 Апрель 2004 20:36 Sodom написал:
> 
> > ML> например, wb_auth, wb_ntlmauth, ntlm_auth работают? в какой версии?
> > ML> А то я как-то попробовал - не работали. с тех пор перешел на самбовый
> > ML> ntlm_auth %)
> > Т.е. именно поэтому у меня:
> >  /usr/lib/squid/wb_auth
> > /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
> > И такое впечатление, что скрипт даже не пытается достучаться до
> > винбинда?
> 
> У меня было, кажется, похоже (в прошлом году дело было), или говорило BH 
> invalid protocol, или еще что - но не работало.
Насколько я помню это означает что сервер самбы новый, а исходники в сквиде
старые и не поодерживают этот протокол.

для более корректного решения я копировал соотвествующие части из пакета samba

> 
> > P.S. ntlm_auth работает (с правами 777 на winbind_privileges),
> 
> у меня тоже та же проблема с правами. пару раз поднимал тут эту тему, но так
> 
> ничего не решили ;)
> 
> > но мне нужно пускать только отдельные группы, а связка:
> 
> с группами мне повезло - не надо.
> Но А.Боковой вроде говорил, что это возможно ;) напишите в samba@
> 


-- 
fwbuilder не нужно.
Нужно читать iptables tutorial чтоб понимать что делаешь.
		-- mrkooll in community@