Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

Strony:  1 2

 

#26  2014-05-09 08:04:46

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

a zauważyłeś, że zrobiłeś literówkę "gropus" a "groups" ;)
sprawdziłeś

Kod:

iptables-save

że nie masz przekierowania

zmień u siebie w smb.conf:
usuń

Kod:

winbind uid = 1000-20000
winbind gid = 1000-20000

dodaj:

Kod:

idmap config * : backend         = tdb
idmap config * : range           = 10001-20000
idmap config ECE : default     = yes
idmap config ECE : backend     = rid
idmap config ECE : range       = 20001-40000
idmap config ECE : schema_mode = rfc2307

sprawdź

Kod:

testparm

przeładuj sambe i winbind

pokaż mi jeszcze z ciekawości

Kod:

echo "login Internet" | /usr/lib/squid/wbinfo_group.pl -d --
net rpc testjoin
net ads testjoin

Ostatnio edytowany przez meciarz (2014-05-09 08:31:11)

Offline

 

#27  2014-05-09 10:02:47

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Jej.. literówka... już poprawiona.
Wykonałem zmiany z smb.conf wg tego ca napisałeś.

Poniżej sprawdzenia o których pisałaś.

Kod:

root@ecv027:/home/proxyece# iptables-save
# Generated by iptables-save v1.4.14 on Fri May  9 09:43:47 2014
*nat
:PREROUTING ACCEPT [348:51169]
:INPUT ACCEPT [238:36668]
:OUTPUT ACCEPT [108:19236]
:POSTROUTING ACCEPT [108:19236]
COMMIT
# Completed on Fri May  9 09:43:47 2014
# Generated by iptables-save v1.4.14 on Fri May  9 09:43:47 2014
*filter
:INPUT ACCEPT [928:137800]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [274:45293]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Fri May  9 09:43:47 2014

Kod:

root@ecv027:/home/proxyece# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with
the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
    workgroup = ECE
    realm = ECE.LOCAL
    interfaces = 192.168.1.92/24
    bind interfaces only = Yes
    security = ADS
    map to guest = Bad User
    password server = 192.168.0.9
    map untrusted to domain = Yes
    printcap name = cups
    logon path = \\%L\profiles\.msprofile
    logon drive = P:
    logon home = \\%L\%U\.9xprofile
    local master = No
    wins server = 192.168.0.9
    remote announce = 192.168.1.92
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    idmap config ECE : schema_mode = rfc2307
    idmap config ECE : range = 20001-40000
    idmap config ECE : backend = rid
    idmap config ECE : default = yes
    idmap config * : range = 10001-20000
    idmap config * : backend = tdb
    cups options = raw

Kod:

root@ecv027:/home/proxyece# echo "login Internet" |
/usr/lib/squid/wbinfo_group.pl -d --
Debugging mode ON.
Got login Internet from squid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name Internet
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid  to gid
User:  -login-
Group: -Internet-
SID:   --
GID:   --
Sending ERR to squid
ERR
root@ecv027:/home/proxyece# net rpc testjoin
Join to 'ECE' is OK
root@ecv027:/home/proxyece# net ads testjoin
Join is OK
root@ecv027:/home/proxyece#

Offline

 

#28  2014-05-09 10:51:18

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

hmm, trochę mało wyraźnie napisałem

Kod:

echo "login Internet" | /usr/lib/squid/wbinfo_group.pl -d --

zamiast Internet wpisz grupę z domeny dla której ma być internet, czyli u ciebie InernetUsers, a zamiast login wpisz login użytkownika z domeny
Skrypt sprawdza przynależność użytkownika do grupy, jeśli się w niej znajduje to będzie OK, w przeciwnym przypadku ERR

Zmiany idmap gid/uid mogą wymagać ponownego mapowania sid do gid/uid, spróbuj usunąć pliki /var/run/samba/*.tdb oraz przeładować po tym sambę

Offline

 

#29  2014-05-09 11:10:25

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Tu wydaje się być ok.

Kod:

root@ecv027:/home/proxyece# echo "proxytest1 InternetUsers"
| /usr/lib/squid/wbinfo_group.pl -d --
Debugging mode ON.
Got proxytest1 InternetUsers from squid
User:  -proxytest1-
Group: -InternetUsers-
SID:   -S-1-5-21-1934186044-4195826105-4176119453-13695-
GID:   -33696-
Sending OK to squid
OK

Usunąłem wszystkie pliki z rozszerzeniem *.tdb zostało:

Kod:

root@ecv027:/var/run/samba# ls
nmbd.pid  smbd.pid  smb_krb5  unexpected  winbindd.pid    winbindd_privileged

i restart... i dalej to samo;(

Ostatnio edytowany przez zbyszekgit (2014-05-09 11:11:16)

Offline

 

#30  2014-05-10 13:18:18

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

coś bardzo topornie nam to idzie...albo coś nie do końca robisz jak powinieneś na serwerze, albo problemem nie jest proxy a windows
sprawdź w logach squida czy odbywa się negocjacja między stacją a serwerem, może wymagać zwiększenie poziomu logowania (np: debug_options ALL,2)

Może potrzebujesz na win włączyć negocjacje, choć wydaje mi się, że to bardziej powinno być dla kerberosa), ale może spróbować:
dla IE

Kod:

włączyć zintegrowane uwierzytelnianie systemu Windows, ustawiając wartość EnableNegotiate typu DWORD na 1 w następującym kluczu rejestru:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

dla FF
http://grolmsnet.de/kerbtut/firefox.html

Gdzieś masz babola, choć nie widząc pełnego obrazu sytuacji co się dzieje w danej chwili, nie wiem w którym miejscu...

Ktoś chyba kieeeedyś wspominał mi, że miał problem z autoryzacją i musiał zmienić grupę dla pików tdb samby, możesz spróbować:

Kod:

chgrp -R proxy /var/run/samba/

A sprawdzałeś może (po odpowiednich poprawkach) konfig squida który ci wkleiłem kilka postów wcześniej?

Ostatnio edytowany przez meciarz (2014-05-10 13:20:10)

Offline

 

#31  2014-05-12 09:08:35

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

1) W rejestrze nie miałem tej wartości EnableNegotiate. ALe nawet jak j utworzyłem to bez zmian. Czy to może mieć jakiś wpływ? (chodzi mi o brak tego klucza)
2) Wykonałem zmianę uprawnień: chgrp -R proxy /var/run/samba/
3) Zmieniłem poziom logowania i pojawiło się sporo wpisów tej treści:
Widzę, że coś z Kaperskym. Odinstalowałem go na stacji klienckiej z której odpalam przeglądarkę ale to nie pomogło.
Jest możliwość, że to właśnie wina Kasperkiego??

Kod:

2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.dif is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.dif is
ALLOWED, because it matched 'n$
2014/05/12 08:49:31| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:31| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiRjZQvUKsCIwA$
2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is
ALLOWED, because it matched 'n$
2014/05/12 08:49:31| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/12 08:49:31| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is
ALLOWED, because it matched 'n$
2014/05/12 08:49:31| Parser: retval 1: from 0->62: method 0->2; url
4->51; version 53->61 (1/0)
2014/05/12 08:49:31| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiuPU32JM66yoA$
2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is
DENIED, because it matched 'ntlm_use$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is
ALLOWED, because it matched 'ntlm_$
2014/05/12 08:49:31| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/12 08:49:31| Parser: retval 1: from 0->62: method 0->2; url
4->51; version 53->61 (1/0)
2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is
DENIED, because it matched 'ntlm_use$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is
ALLOWED, because it matched 'ntlm_$
2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:33| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomi4SCZxaXwPGQA$
2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is
ALLOWED, because it matched 'n$
2014/05/12 08:49:33| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is
ALLOWED, because it matched 'n$
2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:33| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiXyY6XYpoo0IA$
2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is
ALLOWED, because it matched 'n$
2014/05/12 08:49:33| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is
ALLOWED, because it matched 'n$
2014/05/12 08:49:33| Parser: retval 1: from 0->62: method 0->2; url
4->51; version 53->61 (1/0)
2014/05/12 08:49:33| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomit28h++hcf9gA$

4) Twoejgo kodu jeszcze nie próboewałem bo liczyłem, że uda się rozwizać ten problem w mojej konfiguracji.

Offline

 

#32  2014-05-13 11:31:30

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Dodam jeszcze log z dzisiaj - moment dokładnie kiedy testowałem z pozycji użytkownika - wpisując login i hasło do przeglądarki

Kod:

2014/05/13 07:31:00| Parser: retval 1: from 0->61: method 0->2;
url 4->50; version 52->60 (1/1)
2014/05/13 07:31:00| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:00| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$
2014/05/13 07:31:00| Parser: retval 1: from 0->61: method 0->2; url
4->50; version 52->60 (1/1)
2014/05/13 07:31:00| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiBlRFBTj6IPUA$
2014/05/13 07:31:00| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:00| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$
2014/05/13 07:31:00| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/13 07:31:00| Parser: retval 1: from 0->61: method 0->2; url
4->50; version 52->60 (1/1)
2014/05/13 07:31:00| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:00| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$
2014/05/13 07:31:10| Parser: retval 1: from 0->61: method 0->2; url
4->50; version 52->60 (1/1)
2014/05/13 07:31:10| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiDtJsvgkYYEwA$
2014/05/13 07:31:10| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:10| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$
2014/05/13 07:31:10| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/13 07:31:10| Parser: retval 1: from 0->61: method 0->2; url
4->50; version 52->60 (1/1)
2014/05/13 07:31:10| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:10| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$

Offline

 

#33  2014-05-14 12:08:03

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Widzę, że kolega meciarz już sie do mnie zniechęcił...;);)
Szkoda bardzo bo tak naprawdę widzę, że tylko tu mogłem znaleźć pomoc.
Próbowałem z Twoim configiem squida ale miałem dużo problemów między wersjami - chyba składnie w squidzie 3 niektórych poleceń jest inna niż w mojej wersji 2.7

Czy ewentualnie jesteś w stanie poświęcić mi jeszcze troszkę czasu żeby wyprostować ten temat?

Offline

 

#34  2014-05-14 14:23:58

  meciarz - Użytkownik

meciarz
Użytkownik
Zarejestrowany: 2010-06-08

Re: Squid+Dansguardian - pomoc z iptables

zniechęcił, to trochę za dużo powiedziane ;)
mam obecnie po prostu natłok pracy i brakuje mi czasu na główkowanie nad twoją autoryzacją... sprawa trochę dziwna, jeśli wykonałeś wszystko co pisałem rzetelnie, to winno działać jak należy.
A czy masz możliwość dania mi dostęp po ssh do tego serwera, abym mógł w spokoju przejrzeć konfigurację i logi systemu?
Możesz zawsze zmienić wersję squida na 3.1, to nie będziesz miał większych problemów z adaptacją konfiga, którego załączyłem :)

powiedz jeszcze jak wygląda czas na DC, proxy i kliencie, jest wszędzie taki sam (nie ma dużych różnic między nimi)?

Ostatnio edytowany przez meciarz (2014-05-14 14:28:55)

Offline

 

#35  2014-05-20 09:22:42

  zbyszekgit - Użytkownik

zbyszekgit
Użytkownik
Zarejestrowany: 2014-04-29

Re: Squid+Dansguardian - pomoc z iptables

Na chwilę obecną musiałem troszkę temat squida i AD zarzucić.
Będę za niedługo do niego wracał dlatego na pewno jeszcze się w temacie odezwę;)

Przy okazji mam jeszcze takie pytanie - jaki wpis i gdzie odpowiada za to, żeby Sarg raportował w logach nie IP komputera tylko jego nazwę?

Ostatnio edytowany przez zbyszekgit (2014-05-20 09:23:01)

Offline

 

 

Strony:  1 2

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)