Страница 2 из 3
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 03 ноя 2015 16:23
rick
Поменял всё. И снова та же ошибка=((
1446566613.889 6 172.25.15.170 TCP_DENIED/403 4307 CONNECT client.teamviewer.com:443 squidrdr HIER_NONE/- text/html
1446567189.420 1 172.25.15.170 TCP_DENIED/403 5285 GET
http://zaycev.net/favicon.ico squidrdr HIER_NONE/- text/html
1446567243.261 0 172.25.15.170 TCP_DENIED/403 4072 GET
http://ciscobinary.openh264.org/openh26 ... 6cfa65.zip squidrdr HIER_NONE/- text/html
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 03 ноя 2015 16:30
Алексей Максимов
Проверяйте отдельно результат работы хелпера ext_ldap_group_acl по примеру, как ранее было описано здесь:
http://forum.it-kb.ru/viewtopic.php?f=5 ... _type#p324
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 03 ноя 2015 17:14
rick
Код: Выделить всё
rick@Ubuntu-server:/etc/squid3$ sudo /usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "DC=KH,dc=kh,dc=product,dc=com,dc=ua" -D SquidKerb@kh.product.com.ua -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,DC=KH,DC=kh,DC=product,DC=com,DC=ua))" -h srv01-dc.kh.product.com.ua localberOf:1.2.8
squidrdr US-Internet-Standart
ERROR: Unable to connect to LDAP server:srv01-dc.kh.ukrprod.com.ua localberOf:1.2.8 port:389
ERR
Группы US-Internet-Standart, находится в подразделение Группы
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 03 ноя 2015 17:29
Алексей Максимов
Возникает ощущение, что вы даже не пытаетесь вникнуть в то, какие команды выполняете.
Что за ошмёток в конце команды в виде "localberOf:1.2.8" ?? Хелпер вам вполне понятно отвечает, что не может подключиться к серверу с именем "srv01-dc.kh.ukrprod.com.ua localberOf:1.2.8".
Скриншот слишком мал и на нём ничего не разобрать.
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 03 ноя 2015 17:42
rick
Извиняюсь за неудобства! Я на стадии изучения, не судите строго...
Вот вывод после команды:
ext_ldap_group_acl.cc(587): pid=17318 :Connected OK
ext_ldap_group_acl.cc(726): pid=17318 :group filter '(&(objectclass=person)(sAMAccountName=squidrdr)(memberOf:1.2.840.113556.1.4.1941:=cn=US-Internet-Standart,DC=KH,DC=kh,DC=product,DC=com,DC=ua))', searchbase 'DC=KH,dc=kh,dc=product,dc=com,dc=ua'
ext_ldap_group_acl: WARNING: LDAP search error 'No such object'
ERR
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 03 ноя 2015 17:49
Алексей Максимов
Покажите полностью команду, которую вы выполняете, покажите её вывод, а также приложите снова скриншот структуры AD в нормальном читаемом размере. Вставки обрамляйте тэгами
, чтобы ничего не искажалось.
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 03 ноя 2015 18:10
rick
Не смог загрузить, ошибку 403 веб сервер показывает. В архив все упаковал.
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 03 ноя 2015 18:30
Алексей Максимов
Как минимум, значение ключей -b и -f указано неправильно исходя из того, что я вижу на скриншоте.
Должно быть так
Код: Выделить всё
-b "dc=kh,dc=product,dc=com,dc=ua"
-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Группы,DC=kh,DC=product,DC=com,DC=ua))"
Однако с русскими именами пользователей, групп безопасности и организационных подразделений (OU) могут возникнуть проблемы.
Поэтому рекомендую создать отдельный OU с именем типа OU=SquidGroups,DC=kh,DC=product,DC=com,DC=ua и в него переложить группы безопасности используемые для Squid, тогда соответственно значение ключа -f будет таким:
Код: Выделить всё
-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=SquidGroups,DC=kh,DC=product,DC=com,DC=ua))"
Чтобы не допускать таких ошибок достаточно было почитать ветку комментариев к статье про squid.conf, где я объяснял значение используемых ключей для хелпера ext_ldap_group_acl в external_acl_type.
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 03 ноя 2015 19:24
rick
Спасибо вам за ваши старания. Очень помогли. С места сдвинулся, теперь пускает на сайты, абсолютно на все, даже, что в черном списке.
Re: Прокси не пускает никуда - TCP_DENIED/403
Добавлено: 04 ноя 2015 12:38
Алексей Максимов
1. Покажите текущую версию squid.conf а также содержимое всех внешних файлов определяющих ACL (файлы типа conf_param_*).
2. На какой конкретно запрещённый ресурс попадает пользователь, который как вы думаете не должен туда попадать (было бы неплохо видеть кусок лога access.log подтверждающий это) ?
3. Какой конкретно доменный пользователь пропускается на все сайты и в какие доменные группы доступа включён этот пользователь?