negotiate kerb_auth + rejik

Обсуждение программы редиректора
Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: negotiate kerb_auth + rejik

Сообщение Slava »

Гайд нормальный, но обычно эта либа есть в дистрибутиве и правильнее поставить её пакетом.
Возможно она уже частично была установлена в Вашей системе и теперь две версии конфликтуют.
Попробуйте поставить из репозитория Вашей операциаонки.

nokogerra
Сообщения: 26
Зарегистрирован: Пн апр 15, 2013 11:27

Re: negotiate kerb_auth + rejik

Сообщение nokogerra »

если честно не знаю какой именно пакет нужен, libpcre3 похоже? вот что есть в репах:

Код: Выделить всё

root@SquidErgo:/usr/src/rejik/www# aptitude search pcre
v   apertium-pcre2                                                                          -
p   cl-ppcre                                                                                - Portable Regular Express Library for Common Lisp
p   gambas2-gb-pcre                                                                         - The Gambas regexp component
p   haskell-pcre-light-doc                                                                  - transitional dummy package
p   libghc6-pcre-light-dev                                                                  - Haskell library for Perl 5-compatible regular expressions
v   libghc6-pcre-light-dev-0.3.1.1-c0871                                                    -
p   libghc6-pcre-light-doc                                                                  - library documentation for pcre-light
p   libghc6-pcre-light-prof                                                                 - pcre-light library with profiling enabled
v   libghc6-pcre-light-prof-0.3.1.1-c0871                                                   -
p   liblua5.1-rex-pcre-dev                                                                  - PCRE development files for the Lua language version 5.1
p   liblua5.1-rex-pcre0                                                                     - Perl regular expressions library for the Lua language version 5.1
p   libpcre++-dev                                                                           - C++ wrapper class for pcre (development)
p   libpcre++0                                                                              - C++ wrapper class for pcre (runtime)
p   libpcre-ocaml                                                                           - OCaml bindings for PCRE (runtime)
p   libpcre-ocaml-dev                                                                       - OCaml bindings for PCRE (Perl Compatible Regular Expression)
v   libpcre-ocaml-dev-g7y84                                                                 -
v   libpcre-ocaml-g7y84                                                                     -
i   libpcre3                                                                                - Perl 5 Compatible Regular Expression Library - runtime files
p   libpcre3-dbg                                                                            - Perl 5 Compatible Regular Expression Library - debug symbols
p   libpcre3-dev                                                                            - Perl 5 Compatible Regular Expression Library - development files
p   libpcrecpp0                                                                             - Perl 5 Compatible Regular Expression Library - C++ runtime files
p   pcregrep                                                                                - grep utility that uses perl 5 compatible regexes.
p   pike7.6-pcre                                                                            - PCRE module for Pike
p   pike7.8-pcre                                                                            - PCRE module for Pike
p   postfix-pcre                                                                            - PCRE map support for Postfix
root@SquidErgo:/usr/src/rejik/www# cat /proc/version
Linux version 2.6.32-5-686 (Debian 2.6.32-48squeeze1) (dannf@debian.org) (gcc version 4.3.5 (Debian 4.3.5-4) ) #1 SMP Mon Feb 25 01:04:36 UTC 2013

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: negotiate kerb_auth + rejik

Сообщение Slava »

Попробуйте переставить libpcre3 и поставить libpcre3-dev.
Но сначала желательно удалить pcre, который Вы скомпилили вручную.
После этого скомпилите режик.

nokogerra
Сообщения: 26
Зарегистрирован: Пн апр 15, 2013 11:27

Re: negotiate kerb_auth + rejik

Сообщение nokogerra »

yeah, при pcre из репы все либы появились (удалять я не умею ибо нуб, ->откатился на снапшот), работает, спасибо.
Остались такие вопросы:
1. по поводу заголовков типа <PORNO> какие можно использовать? Например <AUDIO-VIDEO> не работает, а хотелось бы более осмысленно разнести все в redirector.conf.
2. можно ли использовать несколько файлов urls в одном каталоге и как они тогда должны называться?
3. обязателен ли файл pcre в каталоге бан_дир? бан-листов у меня много а pcre файлы есть только к 4м есть.
4. Самый важный вопрос: добавлять исключения в секции можно по ip и логинам как я понял. Если буду добавлять исключения по файлу с учетками - Вы писали что учетки вероятно буду выглядеть по другому нежели squidx@MFK-22.LOCAL, чтобы узнать как должны выглядеть нужно подключить логгер вместо редиректора, есть ман как им пользоваться?
5. Есть ли инструмент для просмотра посещений и просмотра зарезанных урлов и сквидом и режиком? например такой-то пользователь в такое-то время пытался зайти на siski.com?
6. Есть у Вас в FAQ такое:

Код: Выделить всё

Ушлые юзеры пытаются обойти редиректор, определяют ip адрес заблокированного сайта и вводят его в адресную строку браузера. Как им помещать?
Добавьте в redirector.conf строки:
<IP>
ban_dir /usr/local/rejik/banlists/ip
url http://127.0.0.1/ban/ip.html

В файл /usr/local/rejik/banlists/ip/pcre впишите строку:
(^|\:\/\/)\d+\.\d+\.\d+\.\d+

это заблокирует доступ ко всем адресам типа:
"("начало строки" или ":\\")цифра.цифра.цифра.цифра"
Если нужно будет дать доступ на какие-либо ip адреса, пропишите их в allow_urls
это хотелось бы реализовать, но перестало грузить страницы совсем, я правильно понял нужно создать 1 файл pcre в каталоге ip и записать туда 1 строку "(^|\:\/\/)\d+\.\d+\.\d+\.\d+"?

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: negotiate kerb_auth + rejik

Сообщение Slava »

1. Не думаю, что дело в названии, скорее проблема с правами. Попробуйте переименовывать, что бы убедится.
2. Нет. Но Вы можете делать несколько секций или написать небольшой скрипт, который будет суммировать в один файл.
3. Не обязательно.
4.1.Скачайте и откомпилите http://www.rejik.ru/download/logger.c
4.2 Или пропишите в сквид /usr/local/rejik3/logger в качестве редиректора
После этого, в /usr/local/rejik3/elog будет сыпаться все то, что получает режик от сквида.
5. Лог change_log

nokogerra
Сообщения: 26
Зарегистрирован: Пн апр 15, 2013 11:27

Re: negotiate kerb_auth + rejik

Сообщение nokogerra »

1. Да, Вы правы секции с новыми именами работают нормально.
2. Раз работают секции - разбросают по каталогам.
4. еще не пробовал - наткнулся тут на кучу проблем с браузерами (конкретно с ie, а хром так вообще ходит на локальные http через прокси даже при указании исключений - при назначении прокси через gpo) при negotiate авторизации - разгребу - попробую.
5. Да - то что нужно и ничего лишнего, спасибо.

nokogerra
Сообщения: 26
Зарегистрирован: Пн апр 15, 2013 11:27

Re: negotiate kerb_auth + rejik

Сообщение nokogerra »

я вернулся :D проблему с ie устранил, у меня не работает одновременно negotiate авторизация с external acl и basic из файла, пробовал развести по портам в 1м инстенсе сквида - не работает, посему хочу завести еще 1 инстанс сквида на другом порту, вопрос: будет ли работать режик с 1м инстансом на конфиге режика №1, со 2м инстансом на конфиге режика №2, учитывая что модуль один?

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: negotiate kerb_auth + rejik

Сообщение Slava »

Режик изначально рассчитан на запуск в несколько экземпляров(так его сквид запускает).
Думая, что проблем не будет.

nokogerra
Сообщения: 26
Зарегистрирован: Пн апр 15, 2013 11:27

Re: negotiate kerb_auth + rejik

Сообщение nokogerra »

Я снова вернулся :D Спасибо за помощь, работает режик на 2х инстансах сквида с 2мя разными конфигами. Пора в продакшн пускать, но перед этим все же решил разобраться с исключениями в режике по доменным учетным данным, Вы писали что нужно скачать logger.c
4.1.Скачайте и откомпилите http://www.rejik.ru/download/logger.c
4.2 Или пропишите в сквид /usr/local/rejik3/logger в качестве редиректора

скачал, но не совсем понимаю как его скомпилировать, make файла нет, соответственно в /usr/local/rejik/ логер демона нет, подскажете что делаю не так?
p.s. по поводу исключений в google chrome через gpo (adm) если интересно - просто шаманство оказалось, исключение по ip не работало, закрыл на прокси для теста локальный ресурс по ip, короткому имени и fqdn, в исключения добавил fqdn, короткое имя и ip - работает все, т.е. ходит на этот ресурс и по именам и по ip не через сквид. странно что не работало только по ip.

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: negotiate kerb_auth + rejik

Сообщение Slava »

nokogerra писал(а): скачал, но не совсем понимаю как его скомпилировать
gcc logger.c -o logger

может быть варнинг по exit, не обращайте внимание.

nokogerra
Сообщения: 26
Зарегистрирован: Пн апр 15, 2013 11:27

Re: negotiate kerb_auth + rejik

Сообщение nokogerra »

Спасибо, был варнинг, но работает.
отображает учетки как обычно, добавил исключение в режик типа allow_id f:/путь, где была учетка вида user@DOMAIN.LOCAL - работает.
Вопрос по логам - чем то смотрите специальным или нет? И есть ли возможность задать ротацию для change лога?

Slava
Site Admin
Сообщения: 2251
Зарегистрирован: Пт апр 02, 2004 12:34
Контактная информация:

Re: negotiate kerb_auth + rejik

Сообщение Slava »

Логи обычно обрабатываются самописными скриптами, под конкретную задачу.
Логи можно ротировать системными средствами, типа logrotate, только запишите ему в постскрипт squid -k reconfigure.
Или можно ротейтить логи режика вместе с логами сквида, там должен быть его перезапуск.

Ответить