l4mer http://l4mer.livejournal.com/ l4mer - LiveJournal.com Wed, 12 Apr 2006 08:16:50 GMT LiveJournal / LiveJournal.com l4mer personal http://p-userpic.livejournal.com/42281908/9637906 l4mer http://l4mer.livejournal.com/ 100 100 http://l4mer.livejournal.com/417.html Wed, 12 Apr 2006 08:16:50 GMT Настройка Squid+SMB auth в Slackware http://l4mer.livejournal.com/417.html <a name="cutid1"></a><br /><br />Пакеты для загрузки:<br />Sqiud: <a href="ftp://ftp.directnet.ru/pub/squid/squid-2/STABLE/squid-2.5.STABLE13.tar.gz">ftp://ftp.directnet.ru/pub/squid/squid-2/STABLE/squid-2.5.STABLE13.tar.gz</a><br /><br />Проверяем что установлена самба:<br /><code><br />$ ls /var/adm/packages/samba*<br /></code><br />Скачиваем, распаковываем, компилируем squid:<br /><code><br />$ tar xvfz squid-2.5.STABLE13.tar.gz<br />$ cd squid-2.5.STABLE13<br />$ ./configure --enable-auth='ntlm basic' --enable-basic-auth-helpers=winbind \<br /> --enable-ntlm-auth-helpers=winbind --enable-external-acl-helpers='wbinfo_group \<br /> winbind_group' --prefix=/opt/squid<br />$ make<br />$ su<br /># make install<br /></code><br />Редактируем конфиг /opt/squid/etc/squid.conf. Стандартные настройки не опысываю,<br />остановлюсь только на аутентификации:<br /><code><br />auth_param ntlm program /usr/bin/ntlm_auth \<br /> --helper-protocol=squid-2.5-ntlmssp \<br /> --require-membership-of="MYDOMAIN+FullInternetAccess"<br />auth_param ntlm children 5<br />auth_param ntlm max_challenge_reuses 0<br />auth_param ntlm max_challenge_lifetime 2 minutes<br />auth_param basic program /usr/bin/ntlm_auth \<br /> --helper-protocol=squid-2.5-basic \<br /> --require-membership-of="MYDOMAIN+FullInternetAccess"<br />auth_param basic children 5<br />auth_param basic realm Squid proxy-caching server SERVERNAME<br />auth_param basic credentialsttl 2 hours<br />auth_param basic casesensitive off<br /></code><br />Символами '\' обозначены переносы строк. Вместо MYDOMAIN пишем название собственного<br />домена. FullInternetAccess - Название группы в домене, члены которой должны иметь<br />доступ к интернет через прокси.<br /><br />Правим конфиг самбы:<br /><code><br />workgroup = MYDOMAIN<br />security = domain<br />hosts allow = 10.1. 127.<br />password server = WINSERVER<br />socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192<br />local master = no<br />domain master = no<br />auth methods = guest sam winbind ntdomain trustdomain<br />winbind gid = 5000-10000<br />winbind uid = 10000-20000<br />winbind separator = +<br /></code><br />при такой настройке самба запрашивает аутентификацию учетных данных, передаваемых<br />сквидом, у контроллера домена, который непосредственно проверяет валидность логина и<br />пароля. Здесь WINSERVER - имя контроллера домена.<br /><br />Подключаемся к домену:<br /><code><br />$ net rpc join -S WINSERVER -U Administrator%пароль<br /></code><br />Правим /etc/nsswitch.conf:<br /><code><br />passwd: files winbind<br />shadow: files winbind<br /></code><br />Если все нормально, команды <br />$ wbinfo -u<br />и<br />$ wbinfo -g<br />должны показывать списки пользователей и групп домена соответственно.<br /><br />С браузерами обстановка следующая: IE отдает учетные данные самостоятельно, то есть те данные, под которыми юзер вошел в домен будут использоваться для аутентификации прокси. Для opera необходимо в поле "логин" писать домен+логин, для firefox - домен\логин. http://l4mer.livejournal.com/417.html awake public