REJIK

Рускоязычный форум rejik.ru
http://rejik.ru/bb_rus/

negotiate kerb_auth + rejik

http://rejik.ru/bb_rus/viewtopic.php?f=1&t=1173

Страница 1 из 2

negotiate kerb_auth + rejik

Добавлено: Пн апр 15, 2013 12:53
nokogerra
Доброго времени суток.
Такой вопрос: видел конфиги режика с резкой по ip, логинам локальных учеток, а можно ли резать по доменным группам? Использую прозрачную авторизацию пользователей AD с squid_kerb_auth и external acl squid_ldap_group, если кто-то делал - буду благодарен за пример конфига сквид+режик.

Re: negotiate kerb_auth + rejik

Добавлено: Пн апр 15, 2013 13:19
Slava
Как выглядит информация о таком пользователе в логе сквида?
Там достаточно информации, что бы принять решение, блокировать или нет?

Re: negotiate kerb_auth + rejik

Добавлено: Пн апр 15, 2013 13:38
nokogerra
1365993483.283 72 10.0.2.232 TCP_MISS/200 1978 CONNECT www.google.ru:443 squidx@MFK-22.LOCAL DIRECT/188.43.64.249
вот например кусок из access.log, информации достаточно (будет работать если создать файл и записать туда пользователей в виде "squidx@MFK-22.LOCAL" и указывать его в качестве allow_id? кстати хотел спросить есть ли противоположное к allow_id, ведь бан-листы нужно запрещать а не разрешать), но есть желание делать по группам а не по учеткам, хотя режиком резать планирую небольшое количество избранных кто будет ходить везде кроме черных листов, подавляющее большинство будет ходить только в белые листы, так что в качестве исключения можно и по учеткам сделать. Например есть external acl :
acl internet_allow external ldap_verify inet_allow
которому хочу разрешить все кроме бан листов порно и банеров (например), далее в сквиде разрешаем http:
http_access allow internet_allow
а после этого в режике режем бан листы порно и банеры, так вот как будет выглядеть конфиг режика при "path_to_porn-list", "path_to_banner-list" и списке пользователей, входящих в эту группу которых мы вручную внесли в файл "path_to_user_file"?
P.S. если знаете как резать режиком по группам - очень интересно.

Re: negotiate kerb_auth + rejik

Добавлено: Пн апр 15, 2013 14:01
Slava
nokogerra писал(а):будет работать если создать файл и записать туда пользователей в виде "squidx@MFK-22.LOCAL" и указывать его в качестве allow_id?
да, но с небольшой оговоркой, сквид может отдавать режику не совсем такую запись. более вероятно squidx%40MFK-22.LOCAL
Узнать точно можно, подключив logger(смотрите в Download) вместо редиректора.
nokogerra писал(а): кстати хотел спросить есть ли противоположное к allow_id, ведь бан-листы нужно запрещать а не разрешать),
work_id
nokogerra писал(а): но есть желание делать по группам а не по учеткам, хотя режиком резать планирую небольшое количество избранных кто будет ходить везде кроме черных листов, подавляющее большинство будет ходить только в белые листы, так что в качестве исключения можно и по учеткам сделать. Например есть external acl :
acl internet_allow external ldap_verify inet_allow
которому хочу разрешить все кроме бан листов порно и банеров (например), далее в сквиде разрешаем http:
http_access allow internet_allow
а после этого в режике режем бан листы порно и банеры, так вот как будет выглядеть конфиг режика при "path_to_porn-list", "path_to_banner-list" и списке пользователей, входящих в эту группу которых мы вручную внесли в файл "path_to_user_file"?
P.S. если знаете как резать режиком по группам - очень интересно.
Что бы заблокировать порно и баннеры подойдет дефолтный конфиг.
Что бы не пускать в интернет смотрите пример в FAQ "Как разрешить Васе ходить только на mail.ru", вместо mail.ru будет внутренний сайт со страницей "инет не положен".

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 6:25
nokogerra
хм, если по дефолту закроет все указаные бан_диры - ок (чтобы разрешить Васе ходить только в белый лист - имхо проще сквидом решить, тем более что по группам фильтрация работает, думаю и буду делать так, а режиком отрезать черные листы всем, добавляя редких избранных типо директора, которым просто не откажешь, таких действительно можно и по ip добавть и по логину - их единицы), только другая проблема возникла, с режиком к конфиге сквида (redirect_program /usr/local/rejik3/redirector /usr/local/rejik3/redirector.conf) сквид не стартует (извините за стену текста, не обнаружил тега для скрытия текста, hide, more, spoiler - не работают).

update: не работало из-за указания хеда <AUDIO-VIDEO>, запустилось когда закоментил этот хед, но режик почему-то не отрезал порно, ни при указании в бин_дир каталога с листами, ни самого листа. И еще тогда вопрос: работают только заголовки, которые есть в дефолтном конфиге (например <PORNO>)?
вот режик конф:

Код: Выделить всё

error_log /var/log/squid3/redirector.err
change_log /var/log/squid3/redirector.log
make-cache /usr/local/rejik3/make-cache
#allow_urls /usr/local/rejik3/banlists/allow_urls

#<BANNER>
#ban_dir /usr/local/rejik3/banlists/banners
#url http://127.0.0.1/ban/1x1.gif
#log off

<PORNO>
ban_dir /usr/local/rejik3/lists/porno
url http://127.0.0.1/porno.html

#<MP3>
#ban_dir /usr/local/rejik3/banlists/mp3
#url http://127.0.0.1/ban/mp3.html

#<AUDIO-VIDEO>
#ban_dir /usr/local/rejik3/lists/audio-video.urls
#url http://127.0.0.1/porno.html
#<JS>
#ban_dir /usr/local/rejik3/banlists/js
#url http://127.0.0.1/ban/js.js
#log off
вот разрешения на каталог lists и файлы внутри него:

Код: Выделить всё

root@SquidErgo:/usr/src/rejik/www# ls -l /usr/local/rejik3/lists/porno
итого 7520
-rw-r--r-- 1 proxy proxy      25 Апр 16 09:42 porno.pcre
-rw-r--r-- 1 proxy proxy 7680638 Апр 16 09:42 porno.urls
root@SquidErgo:/usr/src/rejik/www# ls -l /usr/local/rejik3/lists
итого 12144
drwxr-xr-x 2 proxy proxy    4096 Апр 16 09:43 audio-video
-rw-r--r-- 1 proxy proxy     572 Мар 19 14:27 audio-video.pcre
-rw-r--r-- 1 proxy proxy   80767 Мар 19 14:27 audio-video.urls
-rw-r--r-- 1 proxy proxy   69970 Мар 19 14:27 avto-moto.urls
-rw-r--r-- 1 proxy proxy    2464 Мар 19 14:27 banner.pcre
-rw-r--r-- 1 proxy proxy  190103 Мар 19 14:27 banner.urls
-rw-r--r-- 1 proxy proxy  365801 Мар 19 14:27 chats.urls
-rw-r--r-- 1 proxy proxy  120069 Мар 19 14:27 dating.urls
-rw-r--r-- 1 proxy proxy   15974 Мар 19 14:27 extremism_rf.urls
-rw-r--r-- 1 proxy proxy      84 Мар 19 14:27 icq.pcre
-rw-r--r-- 1 proxy proxy    2091 Мар 19 14:27 icq.urls
-rw-r--r-- 1 proxy proxy   38913 Мар 19 14:27 jobsearch.urls
-rw-r--r-- 1 proxy proxy   76187 Мар 19 14:27 online-games.urls
-rw-r--r-- 1 proxy proxy 2007768 Мар 19 14:27 phishing.urls
-rw-r--r-- 1 proxy proxy   67717 Мар 19 14:27 photogallery.urls
drwxr-xr-x 2 proxy proxy    4096 Апр 16 09:42 porno
-rw-r--r-- 1 proxy proxy      25 Мар 19 14:27 porno.pcre
-rw-r--r-- 1 proxy proxy 7680638 Апр 15 15:17 porno.urls
-rw-r--r-- 1 proxy proxy    3997 Мар 19 14:27 socnet.urls
-rw-r--r-- 1 proxy proxy  465119 Мар 19 14:27 spyware.urls
-rw-r--r-- 1 proxy proxy   23871 Мар 19 14:27 torrents.urls
-rw-r--r-- 1 proxy proxy      29 Мар 19 14:27 virus-detect.pcre
-rw-r--r-- 1 proxy proxy   73936 Мар 19 14:27 virus-detect.urls
-rw-r--r-- 1 proxy proxy   53703 Мар 19 14:27 warez.urls
-rw-r--r-- 1 proxy proxy   66160 Мар 19 14:27 web-mail.urls
-rw-r--r-- 1 proxy proxy  895771 Мар 19 14:27 web-proxy.urls
вот разрешения на логи, но они все равно пустые:

Код: Выделить всё

root@SquidErgo:/usr/src/rejik/www# ls -l /var/log/squid3/
итого 700
-rw-r----- 1 proxy proxy   5784 Апр 16 09:02 access.log
-rw-r----- 1 proxy proxy 551440 Апр 16 06:21 access.log.1
-rw-r----- 1 proxy proxy     20 Апр 14 06:25 access.log.2.gz
-rw-r----- 1 proxy proxy  89258 Апр 16 09:15 cache.log
-rw-r----- 1 proxy proxy  47029 Апр 15 15:17 cache.log.1
-rw-r----- 1 proxy proxy    236 Апр 14 06:25 cache.log.2.gz
-rw-r--r-- 1 proxy proxy      0 Апр 16 09:09 redirector.err
-rw-r--r-- 1 proxy proxy      0 Апр 15 14:04 redirector.log

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 7:38
Slava
В конфиге должны указываться директории.
В директории должны быть файлы "urls" и/или "pcre" (посмотрите как в banlists-2.x.x.tgz из Download).
В дополнение попробуйте http://rejik.ru/index_ru_3_0.html пункт 14.

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 7:46
nokogerra
/usr/local/rejik3/lists/porno/porno.urls
в каталоге porno лежит porno.urls, в конфиге уазан именно каталог (в этом же каталоге лежит еще porno.pcre, правда не знаю зачем :D).
по поводу запустить check-redirector:
root@SquidErgo:/usr/src/rejik/www# /usr/local/rejik3/tools/check-redirector
/usr/local/rejik3/redirector: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory

Код: Выделить всё

root@SquidErgo:/usr/src/rejik/www# ls -l /usr/lib/ | grep "libpcre"
lrwxrwxrwx  1 root root      22 Мар 28 13:18 libpcreposix.so.3 -> libpcreposix.so.3.12.1
-rw-r--r--  1 root root    5816 Авг  6  2010 libpcreposix.so.3.12.1
ставил pcre как здесь написано http://rx-support.net/index.php/article/pcre, видимо что-то не так сделал? p.s. я нуб.

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 7:56
Slava
nokogerra писал(а):/usr/local/rejik3/lists/porno/porno.urls
в каталоге porno лежит porno.urls, в конфиге уазан именно каталог (в этом же каталоге лежит еще porno.pcre, правда не знаю зачем :D).
а должны лежать urls и pcre.
переименуйте файлы или создайте симлинки.

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 8:04
nokogerra
root@SquidErgo:/usr/src/rejik/www# ls -l /usr/local/rejik3/lists/porno
итого 7520
-rw-r--r-- 1 proxy proxy 25 Апр 16 09:42 pcre
-rw-r--r-- 1 proxy proxy 7680638 Апр 16 09:42 urls
root@SquidErgo:/usr/src/rejik/www#
файлы переименованы, но не понял симлинки с указанием на что и вообще зачем?

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 8:08
Slava
Режик ожидает файлы urls и/или pcre.
У Вас файлы были под другими именами.
Решение: нжно либо переименовать файлы в ожидаемые имена или создать симлинки, типа pcre -> porno.pcre

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 8:11
nokogerra
Ну так я же переименовал, но эффекта не возымело. Парой постов выше линканул греп c /usr/lib/ и там что-то немного libpcre, так должно быть, может из-за этого не работать?

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 8:18
Slava
http://rejik.ru/index_ru_3_0.html пункт 14.

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 8:20
nokogerra
nokogerra писал(а):/usr/local/rejik3/lists/porno/porno.urls
по поводу запустить check-redirector:
root@SquidErgo:/usr/src/rejik/www# /usr/local/rejik3/tools/check-redirector
/usr/local/rejik3/redirector: error while loading shared libraries: libpcre.so.1: cannot open shared object file: No such file or directory

Код: Выделить всё

root@SquidErgo:/usr/src/rejik/www# ls -l /usr/lib/ | grep "libpcre"
lrwxrwxrwx  1 root root      22 Мар 28 13:18 libpcreposix.so.3 -> libpcreposix.so.3.12.1
-rw-r--r--  1 root root    5816 Авг  6  2010 libpcreposix.so.3.12.1
ставил pcre как здесь написано http://rx-support.net/index.php/article/pcre, видимо что-то не так сделал? p.s. я нуб.

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 8:25
Slava
Да, проблема с поиском библиотеки pcre.
Вы режик сами компилили или бинарники где-то скачали?

Re: negotiate kerb_auth + rejik

Добавлено: Вт апр 16, 2013 8:30
nokogerra
вгет с вашего сайта, разархивировал и make && make install.
Может попробовать переставить pcre? там вроде куча либов должна быть а не 1. Если попробовать переставить - по какому лучше гайду, видимо тот что я указал не комильфо.
Часовой пояс: UTC+04:00
Страница 1 из 2

Создано на основе phpBB® Forum Software © phpBB Limited

Русская поддержка phpBB