Прокси не пускает никуда - TCP_DENIED/403
Re: Прокси не пускает никуда - TCP_DENIED/403
Поменял всё. И снова та же ошибка=((
1446566613.889 6 172.25.15.170 TCP_DENIED/403 4307 CONNECT client.teamviewer.com:443 squidrdr HIER_NONE/- text/html
1446567189.420 1 172.25.15.170 TCP_DENIED/403 5285 GET http://zaycev.net/favicon.ico squidrdr HIER_NONE/- text/html
1446567243.261 0 172.25.15.170 TCP_DENIED/403 4072 GET http://ciscobinary.openh264.org/openh26 ... 6cfa65.zip squidrdr HIER_NONE/- text/html
1446566613.889 6 172.25.15.170 TCP_DENIED/403 4307 CONNECT client.teamviewer.com:443 squidrdr HIER_NONE/- text/html
1446567189.420 1 172.25.15.170 TCP_DENIED/403 5285 GET http://zaycev.net/favicon.ico squidrdr HIER_NONE/- text/html
1446567243.261 0 172.25.15.170 TCP_DENIED/403 4072 GET http://ciscobinary.openh264.org/openh26 ... 6cfa65.zip squidrdr HIER_NONE/- text/html
- Вложения
-
- squid.conf.zip
- (1.63 КБ) 75 скачиваний
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Прокси не пускает никуда - TCP_DENIED/403
Проверяйте отдельно результат работы хелпера ext_ldap_group_acl по примеру, как ранее было описано здесь:
http://forum.it-kb.ru/viewtopic.php?f=5 ... _type#p324
http://forum.it-kb.ru/viewtopic.php?f=5 ... _type#p324
Re: Прокси не пускает никуда - TCP_DENIED/403
Код: Выделить всё
rick@Ubuntu-server:/etc/squid3$ sudo /usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "DC=KH,dc=kh,dc=product,dc=com,dc=ua" -D SquidKerb@kh.product.com.ua -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,DC=KH,DC=kh,DC=product,DC=com,DC=ua))" -h srv01-dc.kh.product.com.ua localberOf:1.2.8
squidrdr US-Internet-Standart
ERROR: Unable to connect to LDAP server:srv01-dc.kh.ukrprod.com.ua localberOf:1.2.8 port:389
ERR
Группы US-Internet-Standart, находится в подразделение Группы
- Вложения
-
- Безымянный.jpg (29.27 КБ) 5078 просмотров
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Прокси не пускает никуда - TCP_DENIED/403
Возникает ощущение, что вы даже не пытаетесь вникнуть в то, какие команды выполняете.
Что за ошмёток в конце команды в виде "localberOf:1.2.8" ?? Хелпер вам вполне понятно отвечает, что не может подключиться к серверу с именем "srv01-dc.kh.ukrprod.com.ua localberOf:1.2.8".
Скриншот слишком мал и на нём ничего не разобрать.
Что за ошмёток в конце команды в виде "localberOf:1.2.8" ?? Хелпер вам вполне понятно отвечает, что не может подключиться к серверу с именем "srv01-dc.kh.ukrprod.com.ua localberOf:1.2.8".
Скриншот слишком мал и на нём ничего не разобрать.
Re: Прокси не пускает никуда - TCP_DENIED/403
Извиняюсь за неудобства! Я на стадии изучения, не судите строго...
Вот вывод после команды:
ext_ldap_group_acl.cc(587): pid=17318 :Connected OK
ext_ldap_group_acl.cc(726): pid=17318 :group filter '(&(objectclass=person)(sAMAccountName=squidrdr)(memberOf:1.2.840.113556.1.4.1941:=cn=US-Internet-Standart,DC=KH,DC=kh,DC=product,DC=com,DC=ua))', searchbase 'DC=KH,dc=kh,dc=product,dc=com,dc=ua'
ext_ldap_group_acl: WARNING: LDAP search error 'No such object'
ERR
Вот вывод после команды:
ext_ldap_group_acl.cc(587): pid=17318 :Connected OK
ext_ldap_group_acl.cc(726): pid=17318 :group filter '(&(objectclass=person)(sAMAccountName=squidrdr)(memberOf:1.2.840.113556.1.4.1941:=cn=US-Internet-Standart,DC=KH,DC=kh,DC=product,DC=com,DC=ua))', searchbase 'DC=KH,dc=kh,dc=product,dc=com,dc=ua'
ext_ldap_group_acl: WARNING: LDAP search error 'No such object'
ERR
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Прокси не пускает никуда - TCP_DENIED/403
Покажите полностью команду, которую вы выполняете, покажите её вывод, а также приложите снова скриншот структуры AD в нормальном читаемом размере. Вставки обрамляйте тэгами , чтобы ничего не искажалось.
Код: Выделить всё
Re: Прокси не пускает никуда - TCP_DENIED/403
Не смог загрузить, ошибку 403 веб сервер показывает. В архив все упаковал.
- Вложения
-
- ldap.zip
- (70.88 КБ) 82 скачивания
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Прокси не пускает никуда - TCP_DENIED/403
Как минимум, значение ключей -b и -f указано неправильно исходя из того, что я вижу на скриншоте.
Должно быть так
Однако с русскими именами пользователей, групп безопасности и организационных подразделений (OU) могут возникнуть проблемы.
Поэтому рекомендую создать отдельный OU с именем типа OU=SquidGroups,DC=kh,DC=product,DC=com,DC=ua и в него переложить группы безопасности используемые для Squid, тогда соответственно значение ключа -f будет таким:
Чтобы не допускать таких ошибок достаточно было почитать ветку комментариев к статье про squid.conf, где я объяснял значение используемых ключей для хелпера ext_ldap_group_acl в external_acl_type.
Должно быть так
Код: Выделить всё
-b "dc=kh,dc=product,dc=com,dc=ua"
-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=Группы,DC=kh,DC=product,DC=com,DC=ua))"
Поэтому рекомендую создать отдельный OU с именем типа OU=SquidGroups,DC=kh,DC=product,DC=com,DC=ua и в него переложить группы безопасности используемые для Squid, тогда соответственно значение ключа -f будет таким:
Код: Выделить всё
-f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=SquidGroups,DC=kh,DC=product,DC=com,DC=ua))"
Re: Прокси не пускает никуда - TCP_DENIED/403
Спасибо вам за ваши старания. Очень помогли. С места сдвинулся, теперь пускает на сайты, абсолютно на все, даже, что в черном списке.
- Вложения
-
- no-err.zip
- (782 байт) 84 скачивания
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Прокси не пускает никуда - TCP_DENIED/403
1. Покажите текущую версию squid.conf а также содержимое всех внешних файлов определяющих ACL (файлы типа conf_param_*).
2. На какой конкретно запрещённый ресурс попадает пользователь, который как вы думаете не должен туда попадать (было бы неплохо видеть кусок лога access.log подтверждающий это) ?
3. Какой конкретно доменный пользователь пропускается на все сайты и в какие доменные группы доступа включён этот пользователь?
2. На какой конкретно запрещённый ресурс попадает пользователь, который как вы думаете не должен туда попадать (было бы неплохо видеть кусок лога access.log подтверждающий это) ?
3. Какой конкретно доменный пользователь пропускается на все сайты и в какие доменные группы доступа включён этот пользователь?