Установка Прокси сервера SQUID+SAMS with ADLDAP

+--------------------------------------------------------------------+ | Options for squid 2.7.9 | | +----------------------------------------------------------------+ | | | [ ] SQUID_KERB_AUTH Install Kerberos authentication helpers| | | [X] SQUID_LDAP_AUTH Install LDAP authentication helpers | | | | [X] SQUID_NIS_AUTH Install NIS/YP authentication helpers| | | | [ ] SQUID_SASL_AUTH Install SASL authentication helpers | | | | [X] SQUID_DELAY_POOLS Enable delay pools | | | | [ ] SQUID_SNMP Enable SNMP support | | | | [X] SQUID_CARP Enable CARP support | | | | [ ] SQUID_SSL Enable SSL support for reverse proxies | | | [ ] SQUID_PINGER Install the icmp helper | | | | [X] SQUID_DNS_HELPER Use the old 'dnsserver' helper | | | | [ ] SQUID_HTCP Enable HTCP support | | | | [ ] SQUID_VIA_DB Enable forward/via database | | | | [ ] SQUID_CACHE_DIGESTS Enable cache digests | | | | [X] SQUID_WCCP Enable Web Cache Coordination Prot. v1 | | | [ ] SQUID_WCCPV2 Enable Web Cache Coordination Prot. v2 | | | [ ] SQUID_STRICT_HTTP Be strictly HTTP compliant | | | | [X] SQUID_IDENT Enable ident (RFC 931) lookups | | | | [ ] SQUID_REFERER_LOG Enable Referer-header logging | | | | [ ] SQUID_USERAGENT_LOG Enable User-Agent-header logging | | | | [ ] SQUID_ARP_ACL Enable ACLs based on ethernet address| | | | [ ] SQUID_PF Enable transparent proxying with PF | | | | [ ] SQUID_IPFILTER Enable transp. proxying with IPFilter| | | | [ ] SQUID_FOLLOW_XFF Follow X-Forwarded-For headers | | | | [ ] SQUID_AUFS Enable the aufs storage scheme | | | | [ ] SQUID_COSS Enable the COSS storage scheme | | | | [X] SQUID_KQUEUE Use kqueue(2) instead of poll(2) | | | | [X] SQUID_LARGEFILE Support log and cache files >2GB | | | | [ ] SQUID_STACKTRACES Create backtraces on fatal errors | | +-+------v(+)------------------------------------------------------+-+ | [ OK ] Cancel | +--------------------------------------------------------------------+

# TAG: http_access # Allowing or Denying access based on defined access lists # # Access to the HTTP port: # http_access allow|deny [!]aclname ... # # NOTE on default values: # # If there are no "access" lines present, the default is to deny # the request. # # If none of the "access" lines cause a match, the default is the # opposite of the last line in the list. If the last line was # deny, the default is allow. Conversely, if the last line # is allow, the default will be deny. For these reasons, it is a # good idea to have an "deny all" or "allow all" entry at the end # of your access lists to avoid potential confusion. # #Default: http_access deny all ... пропущено... #Recommended minimum configuration per scheme: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth \ -b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \ -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \ -h 192.168.55.1 -p 389 auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours

//> /usr/local/libexec/squid/squid_ldap_auth \ -b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \ -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName \ -h 192.168.55.1 -p 389 # Далее вводим логин и пароль пользователя из AD (через пробел) user password OK (Значит все отлично) ERR Success (Значит аутентификация не прошла)

+--------------------------------------------------------------------+ | Options for php52 5.2.14 | | +----------------------------------------------------------------+ | | | [X] CLI Build CLI version | | | | [X] CGI Build CGI version | | | | [X] APACHE Build Apache module | | | | [ ] DEBUG Enable debug | | | | [X] SUHOSIN Enable Suhosin protection system (not for jails) | | | [ ] MULTIBYTE Enable zend multibyte support | | | | [ ] IPV6 Enable ipv6 support | | | | [ ] MAILHEAD Enable mail header patch | | | | [ ] REDIRECT Enable force-cgi-redirect support (CGI only) | | | | [ ] DISCARD Enable discard-path support (CGI only) | | | | [X] FASTCGI Enable fastcgi support (CGI only) | | | | [X] PATHINFO Enable path-info-check support (CGI only) | | +-+------v(+)------------------------------------------------------+-+ | [ OK ] Cancel | +--------------------------------------------------------------------+

+--------------------------------------------------------------------+ | Options for sams 1.0.5_3,1 | | +----------------------------------------------------------------+ | | | [X] NTLM NTLM autorization/ActiveDirectory support | | | | [X] INSTALLGD Graphic reports | | | | | | | | | | +-+------v(+)------------------------------------------------------+-+ | [ OK ] Cancel | +--------------------------------------------------------------------+

[client] SQUID_DB=squidlog SAMS_DB=squidctrl MYSQLHOSTNAME=localhost MYSQLUSER=sams MYSQLPASSWORD=qwerty MYSQLVERSION=5.1 SQUIDCACHEFILE=access.log SQUIDROOTDIR=/usr/local/etc/squid SQUIDLOGDIR=/usr/local/squid/logs SQUIDCACHEDIR=/usr/local/squid/cache SAMSPATH=/usr/local SQUIDPATH=/usr/local/sbin #SQUIDGUARDLOGPATH=/var/log #SQUIDGUARDDBPATH=/var/db/squidGuard RECODECOMMAND=/usr/local/bin/iconv -f KOI8-R -t 866 %finp > %fout LDAPSERVER=192.168.55.1 LDAPBASEDN=DOMAIN.LOCAL LDAPUSER=Administrator LDAPUSERPASSWD=Пароль LDAPUSERSGROUP=dep REJIKPATH=/usr/local/rejik SHUTDOWNCOMMAND=/sbin/shutdown -h now CACHENUM=0

+--------------------------------------------------------------------+ | Options for rejik 3.2.6 | | +----------------------------------------------------------------+ | | | [X] BAN With banlists | | | | [ ] DBL With DBL scripts | | | | [ ] WWW With error pages | | +-+------v(+)------------------------------------------------------+-+ | [ OK ] Cancel | +--------------------------------------------------------------------+

error_log /usr/local/rejik/redirector.err change_log /usr/local/rejik/redirector.log make-cache /usr/local/rejik/make-cache #allow_urls /usr/local/rejik/banlists/allow_urls <BANNER> ban_dir /usr/local/rejik/banlists/banners url http://127.0.0.1/messages/1x1.gif #log off <PORNO> ban_dir /usr/local/rejik/banlists/porno url http://127.0.0.1/messages/porno.html <MP3> ban_dir /usr/local/rejik/banlists/mp3 url http://127.0.0.1/messages/mp3.html <JS> ban_dir /usr/local/rejik/banlists/js url http://127.0.0.1/messages/js.js #log off

# TAG: url_rewrite_program # Specify the location of the executable for the URL rewriter. # Since they can perform almost any function there isn't one included. # # For each requested URL rewriter will receive on line with the format # # URL <SP> client_ip "/" fqdn <SP> user <SP> method <SP> urlgroup # [<SP> kvpairs] <NL> # # In the future, the rewriter interface will be extended with # key=value pairs ("kvpairs" shown above). Rewriter programs # should be prepared to receive and possibly ignore additional # whitespace-separated tokens on each input line. # # And the rewriter may return a rewritten URL. The other components of # the request line does not need to be returned (ignored if they are). # # The rewriter can also indicate that a client-side redirect should # be performed to the new URL. This is done by prefixing the returned # URL with "301:" (moved permanently) or 302: (moved temporarily). # # It can also return a "urlgroup" that can subsequently be matched # in cache_peer_access and similar ACL driven rules. An urlgroup is # returned by prefixing the returned URL with "!urlgroup!". # # By default, a URL rewriter is not used. # #Default: # none url_rewrite_program /usr/local/rejik/redirector /usr/local/rejik/redirector.conf


		
		


 

 

Вот тут можете его рассмотреть (демо версия) http://sams.perm.ru/demo/index.html

по умолчанию Пользователь admin пароль admin

Кофигурация 1С

Теперь собственно обработка результатов. Как известно руководители любят смотреть кто и как часто использует интернет в Личных целях. Для этого нам нужно где то регистрировать какие сайты посещались (по типу личный или не личный) и сколько было оттуда получено информации. Так как в России программистов 1С больше чем пользователей :) используем в качестве платформы ее родную.



Для начала создадим простейшую конфигурацию, в которой будет справочник сайты, справочник сотрудники, справочник отделы и документ Детализация Интернет. Нам не требуется ни одна компонента 1С (Торговля, Бухгалтерия, Расчет), так что подойдет любая версия.

Конфигурация 1Cv7.zip

файл скачан размер размещён примечание

1919

14.3kb

2008-07-28

Конфигурация для учета посещения интернет


Конфигурация несколько устарела, делалась под логи usergate так что обработка по загрузке из базы SAMS

Dataload1.zip

файл скачан размер размещён примечание

1750

3.5kb

2008-07-28

Обработка по загрузке данных из SAMS


Для работы требуется 2 компонента v7mysql.dll и 1cpp.dll  (без второй можно обойтись, она используется только для преобразования даты в строку SQL типа 20080101, что можно сделать и в самой 1С)



Приложенные файлы конечно делались под специфические задачи, и скорее всего сразу не заработают, по всем вопросам конфигурации и обработки, лучше всего обращайтесь к ее автору (yudinvs icq: 880916)









Файлы конечно распространяются свободно, 1С конечно нет.

Oloremo, 2008-11-26 в 12:20:12

Спасибо за статью, но я всё же никак не могу понять, как уживаются такие вещи как: apache 1.3 (unsupported?) MySQL 5.1 (BETA) PHP5 - со всеми экстеншенами(тут не нужно и 1\3 из них). Ну это же всё совершенно не нужно.

fr33man, 2008-11-26 в 13:02:29

graceful — это не загрузка модулей, а рестарт апача. graceful Gracefully restarts the Apache httpd daemon. If the daemon is not running, it is started. This differs from a normal restart in that currently open connections are not aborted. A side effect is that old log files will not be closed immediately. This means that if used in a log rotation script, a substantial delay may be necessary to ensure that the old log files are closed before processing them. This command automatically checks the configuration files as in configtest before initiating the restart to make sure Apache doesn't die. This is equivalent to apachectl -k graceful.

opt1k, 2008-11-26 в 14:23:14

не пойму, ldap аутентификация происходит напрямую из АД? если да то зачем тогда самба?

Somebody, 2008-11-26 в 14:36:54

2 Oloremo Как и Heimdal, как и куча ненужных операций, как и конфиг /etc/sams.conf

linked, 2008-11-26 в 20:38:47

А чем не устраивает /usr/ports/www/sams/?

arksu, 2008-11-26 в 21:55:13

перемудрено. никакой оптимизации. SAMS - не понравился изначально.

m0ps, 2008-11-26 в 22:27:58

linked, в портах старая версия была раньше, только 12 дней назад обновили. видимо Canсer это пропустил. а вообще, не понял принципиальной разницы между этой и предыдущей (http://www.lissyara.su/?id=1808) статьей. и там и здесь - авторизация из домена.

filier, 2008-11-26 в 23:30:00

Eto i Prejneaia 4to reklama SAMS

forever.eterno, 2008-11-27 в 5:24:50

Когда мне нада было настроить проксю именно эта статья мне и помогла, за что больше спасибо Cancer'y :) Ну видимо да, есть недачеты, но других таких статей почти нет. За одно это можно сказать спасибо и отдельное спасибо что Cancer'y за то что оказался отзывчивым и помагал по icq'e настраивать :)

Cancer, 2008-11-27 в 8:43:09

linked так как там версия старенькая sams 1.0.3,1

Cancer, 2008-11-27 в 8:45:02

linked 2 разные авторизации NTLM и LDAP

Baru, 2008-11-27 в 10:46:48

1.1.0 - текущая разрабатываемая версия. Включает последние исправления а также новые возможности. Но при этом не всегда является работоспособной. Рекомендуется для использования только разработчикам. 1.0.3 - последняя стабильная версия это с http://sams.nixdev.net/wiki/versions

joyStick, 2008-12-01 в 17:21:58

Спасибо Cancer всё работает как чясики!

test, 2008-12-07 в 10:49:29

test

Гуест, 2008-12-07 в 23:23:49

Почему у меня коряво в Опере открывается САМС?

Быдлогей, 2008-12-09 в 15:29:25

> Почему у меня коряво в Опере открывается САМС? Потому что ты лох.

gonzo111, 2008-12-10 в 11:33:31

Обновление самса до 1.0.4 1)сбекапить /etc/sams.conf 2)Сконфигурируйте и скомпилируйте SAMS ./configure gmake 2)Остановите samsdaemon Если вы импользуете редиректор sams, остановите SQUID. Обновите версию SAMS. gmake update 3)с бекапа взять/etc/sams.conf 4)лучше сперва запустить самс в режиме отладки /usr/local/bin/samsdaemon -d и убедится что все в норме, он будет считать и через определенные периоды обновлять базу мускула,парсить логи countdown: 2 countdown: 1 countdown: 0 countdown: -1 starting log parser/ parser time=1 60 start time: 2008-12-10 10:33:5 starting sams /usr/local/bin/sams countdown: 59 5)залогинится в вэб интерфейс mysql->Upgrade SAMS database, Проверка таблиц базы данных SAMS на ошибки 6)squid-> реконфигурировать и проверить что напишет в режиме дебага самс 7) запустить в нормальном режиме ./samsd start 8) по желанию прикрутить monit чтоб сам его подымал если вдруг упадет в корку

gonzo111, 2008-12-10 в 11:56:14

9) и снова и снова заменяем free на top в /usr/local/www/data/sams/bin/freemem /usr/local/www/data/sams/bin/freeswap

Noobie, 2009-11-06 в 12:47:38

Делаю без AD squid 2.7 sams 1.04 mysql 5.1.40 Все стартует норм, база создалась в веб-интерфейс зашел, но там кроме: User Authenticate, SAMS, Users > Administrators, Users > Users ничего нету. Когда заходишь в какую либо группу то там пусто. Кто нить сталкивался?

kik13, 2010-01-07 в 17:20:38

По поводу этого: #Recommended minimum configuration per scheme: auth_param basic program /usr/local/libexec/squid/squid_ldap_auth \ -b "ou=dep,dc=domain,dc=local" -D ldap@domain.local -w password_ldap \ -f "(&(objectClass=person)(sAMAccountName=%s))" -u sAMAccountName -h 192.168.55.1 -p 389 Замечено что аутентификация в AD прокатывает только для организационных подразделений и login names на English, если хотя бы одно из них введенно в AD на русском, то команда squid_ldap_auth будет возращать всегда Err Success Проверено на SBS 2008 Premium, W2K8 Standard, W2K3 Standard.

kik13, 2010-01-07 в 21:44:50

Еще один косяк был замечен при редактировании файла /usr/local/etc/squid/squid.conf Дело в том, что если удалить так называемые TAG метки в squid.conf (например: # TAG: http_access # TAG: acl итд ) , то в результате при реконфигурировании SQUID из web админки SAMS не заносятся изменения. Поэтому будьте внимательны и осторожны. Это касается в основном людей которые не редактируют squid.conf, а пишут с нуля стирая все коменты default-ного конфига.

`Оставьте свой комментарий:`
`Ваше имя: *`
`e-mail:`
`жирный` `наклонный` `подчёркнутый` `ссылка` `цвет`	Товарищщи! Это поля для ввода комментариев к статье, а не для вопросов. Сюда пишите найденные баги, или какие-то фичи :) Для вопросов есть форум!
`Нынешний год: *`

`Установка Прокси сервера SQUID+SAMS Rejik3 c авторизацией по ADLDAP`

`Ставим Веб сервер Apache 1.3`

`Ставим прокси сервер SQUID`

`Cтавим СУБД Mysql 5.1`

`Ставим PHP 5`

`Ставим PHP5-Extensions`

`Установка SAMS-1.0.5`

`Немного о конфиге SAMS :`

`Ставим Режик`

`Кофигурация 1С`