[решено] Squid, кэширует доступ пользователей?

Ответить
Аватара пользователя
ya_valyaus
Новичок
Сообщения: 5
Зарегистрирован: 17 фев 2015 10:19
Контактная информация:

[решено] Squid, кэширует доступ пользователей?

Сообщение ya_valyaus » 18 фев 2015 08:35

Добрый день, Алексей,
Огромная благодарность за статью по настройке squid3 с вреде hyper-v.

Обнаружилась проблема, решение найти не могу:
1) любой пользователь изначально добавленный в группу Internet-Standard не получает доступ к интернет, после переноса пользователя в группу с Internet-Full, доступ так же не появляется.
2) Пользователь изначально добавленный в Internet-Full и позже перенесённый в Internet-Standard работает так как надо.
root@BU1-PROXY:/home/adm# tail /var/log/squid3/access.log | grep testst
1424248168.433 0 192.168.120.209 TCP_DENIED/403 4151 GET http://api.bing.com/qsml.aspx? testst HIER_NONE/- text/html
1424248168.550 0 192.168.120.209 TCP_DENIED/403 4152 GET http://api.bing.com/qsml.aspx? testst HIER_NONE/- text/html
1424248168.662 0 192.168.120.209 TCP_DENIED/403 4153 GET http://api.bing.com/qsml.aspx? testst HIER_NONE/- text/html
1424248168.807 0 192.168.120.209 TCP_DENIED/403 3831 GET http://google.com/ testst HIER_NONE/- text/html
1424248168.823 0 192.168.120.209 TCP_DENIED/403 3972 GET http://www.squid-cache.org/Artwork/SN.png testst HIER_NONE/- text/html
1424248169.915 9 192.168.120.209 TCP_DENIED/403 6401 GET http://google.com/ testst HIER_NONE/- text/html
1424248169.936 0 192.168.120.209 TCP_DENIED/403 3972 GET http://www.squid-cache.org/Artwork/SN.png testst HIER_NONE/- text/html
1424248170.385 0 192.168.120.209 TCP_DENIED/403 3857 GET http://google.com/ testst HIER_NONE/- text/html
1424248170.401 0 192.168.120.209 TCP_DENIED/403 3972 GET http://www.squid-cache.org/Artwork/SN.png testst HIER_NONE/- text/html
2015/02/18 09:51:31| Starting new ntlmauthenticator helpers...
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server'
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server'
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server'
2015/02/18 10:12:01| Shutdown: NTLM authentication.
2015/02/18 10:12:01| Shutdown: Negotiate authentication.
2015/02/18 10:12:01| Shutdown: Digest authentication.
2015/02/18 10:12:01| Shutdown: Negotiate authentication.
2015/02/18 10:12:01| Shutdown: NTLM authentication.
2015/02/18 10:12:01| Shutdown: Basic authentication.
2015/02/18 10:12:04| WARNING: negotiateauthenticator #8 exited
2015/02/18 10:12:05| WARNING: ntlmauthenticator #1 exited
2015/02/18 10:12:05| WARNING: basicauthenticator #1 exited
2015/02/18 10:12:05| WARNING: negotiateauthenticator #10 exited
FATAL: The negotiateauthenticator helpers are crashing too rapidly, need help!

Squid Cache (Version 3.3.8): Terminated abnormally.
CPU Usage: 76.406 seconds = 34.305 user + 42.101 sys
Maximum Resident Size: 523424 KB
Page faults with physical i/o: 43
Memory usage for squid via mallinfo():
total space in arena: 114704 KB
Ordinary blocks: 112270 KB 48 blks
Small blocks: 0 KB 1 blks
Holding blocks: 37152 KB 9 blks
Free Small blocks: 0 KB
Free Ordinary blocks: 2433 KB
Total in use: 149422 KB 130%
Total free: 2433 KB 2%
2015/02/18 10:12:27| Starting Squid Cache version 3.3.8 for x86_64-pc-linux-gnu...
2015/02/18 10:12:29| pinger: Initialising ICMP pinger ...
2015/02/18 10:12:31| Starting new basicauthenticator helpers...
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server'
ext_ldap_group_acl: WARNING: LDAP search error 'Can't contact LDAP server'
2015/02/18 11:21:48| pinger: Initialising ICMP pinger ...
2015/02/18 11:23:17| Starting new basicauthenticator helpers...
ext_ldap_group_acl хелпер отрабатывает и отвечает OK
squid.conf приаттачил
Взываю к помощи.
Последний раз редактировалось ya_valyaus 11 июн 2015 05:43, всего редактировалось 1 раз.

Аватара пользователя
Алексей Максимов
Администратор сайта
Сообщения: 413
Зарегистрирован: 14 сен 2012 06:50
Откуда: г.Сыктывкар
Контактная информация:

Re: Squid, кэширует доступ пользователей?

Сообщение Алексей Максимов » 18 фев 2015 19:40

Думаю, что ответ на Ваш вопрос содержится в самом вопросе.
Обратите внимание на параметр ttl у директивы external_acl_type
Это время кэширования результатов запроса в секундах. Значение по умолчанию 3600 секунд, или 1 час. То есть, при уже запущенном Squid, если Вы добавите пользователя в группу доступа в AD, время ожидания, через которое этот доступ заработает на прокси может быть в данном случае - до 1 часа. Конечно Вы можете сократить значение этого параметра, но злоупотреблять этим не стоит, так как слишком малое значение ttl приведёт к увеличению нагрузки как на сам squid, так и на LDAP-сервер (контроллера домена).

Аватара пользователя
ya_valyaus
Новичок
Сообщения: 5
Зарегистрирован: 17 фев 2015 10:19
Контактная информация:

Re: Squid, кэширует доступ пользователей?

Сообщение ya_valyaus » 19 фев 2015 06:39

Алексей,
да, учитывал этот параметр, только прошло уже 2-3 дня
не аттачится squid.conf
auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth --ntlm /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp --kerberos /usr/lib/squid3/negotiate_kerberos_auth -r -s HTTP/BU1-PROXY.bunit1.local@BUNIT1.LOCAL
auth_param negotiate children 200 startup=50 idle=10
auth_param negotiate keep_alive off
auth_param ntlm program /usr/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100 startup=20 idle=5
auth_param ntlm keep_alive off
auth_param basic program /usr/lib/squid3/basic_ldap_auth -v 3 -P -R -b "dc=bunit1,dc=local" -D squidKRB@bunit1.local -W /etc/squid3/conf_param_ldappass.txt -f sAMAccountName=%s -h dc3.bunit1.local virtualdc.bunit1.local
auth_param basic children 20
auth_param basic realm "BUNIT1 SQUID Proxy Server Basic authentication!"
auth_param basic credentialsttl 2 hours
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "dc=bunit1,dc=local" -D squidKRB@bunit1.local -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=^INET,OU=20a Access group,DC=BUnit1,DC=local))" -h dc3.bunit1.local virtualdc.bunit1.local
acl auth proxy_auth REQUIRED
acl BlockedAccess external memberof "/etc/squid3/conf_param_groups_blocked.txt"
acl RestrictedAccess external memberof "/etc/squid3/conf_param_groups_restricted.txt"
acl StandardAccess external memberof "/etc/squid3/conf_param_groups_standard.txt"
acl FullAccess external memberof "/etc/squid3/conf_param_groups_full_auth.txt"
acl AnonymousAccess external memberof "/etc/squid3/conf_param_groups_full_anon.txt"
acl allowedsites dstdomain "/etc/squid3/conf_param_sites_allowed.txt"
acl blockedsites dstdomain "/etc/squid3/conf_param_sites_blocked.txt"
acl prioritysites dstdomain "/etc/squid3/conf_param_sites_priority.txt"
acl LocalWUServers src "/etc/squid3/conf_param_computers_wsus.txt"
acl GlobalWUSites dstdomain "/etc/squid3/conf_param_sites_wsus.txt"
acl localnet src 192.168.120.0/22 # RFC1918 possible internal network
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access allow localnet manager
http_access deny manager
http_access deny to_localhost
http_access allow GlobalWUSites LocalWUServers
http_access allow prioritysites localnet
http_access deny !auth
http_access deny BlockedAccess all
http_access allow allowedsites localnet
http_access deny RestrictedAccess all
http_access allow AnonymousAccess auth localnet
http_access allow FullAccess auth localnet
http_access deny blockedsites
http_access allow StandardAccess auth localnet
http_access deny all
http_port 192.168.120.220:3128
http_port 127.0.0.1:3128
forward_max_tries 25
hierarchy_stoplist cgi-bin ?
cache_mem 512 MB
maximum_object_size_in_memory 1024 KB
memory_replacement_policy heap GDSF
cache_replacement_policy heap LFUDA
cache_dir ufs /var/spool/squid3 7000 16 256
maximum_object_size 4 MB
access_log daemon:/var/log/squid3/access.log squid !AnonymousAccess
cache_log /var/log/squid3/cache.log
debug_options 9
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320
cache_mgr servic@20a.ru
httpd_suppress_version_string on
visible_hostname BU1-PROXY
error_directory /usr/share/squid3/errors/ru
error_default_language ru
dns_v4_first on
forwarded_for delete
cachemgr_passwd StrOnG_PaZsZw0rD all

Nikolay
Любопытный
Сообщения: 17
Зарегистрирован: 20 фев 2015 08:39

Re: Squid, кэширует доступ пользователей?

Сообщение Nikolay » 15 апр 2015 12:50

Была подобноая ситуация, вот тут OU небыло у меня, где Юзвери находились. Тоесть не группа а контейнер с пользователями.
auth_param basic program /usr/lib/squid3/basic_ldap_auth -v 3 -P -R -b "CN=?,dc=bunit1,dc=local" -D squidKRB@bunit1.local -W /etc/squid3/conf_param_ldappass.txt -f sAMAccountName=%s -h dc3.bunit1.local virtualdc.bunit1.local

и вот тут тоже
external_acl_type memberof ttl=3600 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -v 3 -P -R -K -b "CN=?,dc=bunit1,dc=local" -D squidKRB@bunit1.local -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:1.2.840.113556.1.4.1941:=cn=%g,OU=^INET,OU=20a Access group,DC=BUnit1,DC=local))" -h dc3.bunit1.local virtualdc.bunit1.local

Аватара пользователя
ya_valyaus
Новичок
Сообщения: 5
Зарегистрирован: 17 фев 2015 10:19
Контактная информация:

Re: Squid, кэширует доступ пользователей?

Сообщение ya_valyaus » 11 июн 2015 05:42

Коллеги, разобрался, надеюсь поможет кому

проблема была в том, что юзеру squidKRB не хватало прав на чтение каталога LDAP,
не думал что в этом будет засада, век живи - век учись.

Ответить

Вернуться в «Прокси-сервер Squid»