| 1.1, exn (??), 21:25, 06/11/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Сквид помоему самый документированный проект в мире :D
| | |
| 1.3, helloworld (?), 22:27, 06/11/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Зачем пользователю вообще интернет с такими политиками доступа в глобальную сеть, когда большинство "интересных ресурсов" закрыто ??
| | |
| 1.4, sash (??), 22:55, 06/11/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Вапросы:
1. При добавлении или удалении пользователя из группы, необходимо сделать reload скиду, потому как не подхватывает он изменения группах "на лету". Скорей всего дело в кеше. По-моему сам winbind кеширует ответы, во всяком случае вот что пишет в лог при релоаде сквида:
[2007/10/29 11:49:00, 0] nsswitch/winbindd_cache.c:initialize_winbindd_cache(2222)
initialize_winbindd_cache: clearing cache and re-creating with version number 1
как решаете? может поможет, что-то вроде "auth_param ntlm credentialsttl 2 min"?
2. cachemgr может показывать статистику использования ntml children's. Для 200 активных пользователей используются максимум только 7-мь процессов одновременно.
Почему "auth_param ntlm children 30"? Как выбрали значение 30?
3. Смысл керберос в Вашей конфигурации? Зачем самба с ads? Прекрасно работает просто ldap-авторизация в АД. (это не критика, а конкретный вопрос :) ).
| | |
| |
| 2.6, deepwalker (ok), 06:03, 07/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный - настраиваю керберос аутентификацию везде, где это воможно : )
| | |
| |
| 3.10, geekkoo (??), 07:41, 07/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
 >Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный
>- настраиваю керберос аутентификацию везде, где это воможно : )
Может вам и jabber удалось победить?
| | |
| |
| 4.23, fank (?), 15:46, 08/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
>>Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный
>>- настраиваю керберос аутентификацию везде, где это воможно : )
>
>Может вам и jabber удалось победить?
а с этим какие-то проблемы?
гораздо интереснее было бы прикрутить керберос к thunderbird & firefox
чтобы, например, не вводить пароли для адресной книги в LDAP и для доступа в инет через сабж
| | |
| |
| 5.24, geekkoo (ok), 16:06, 08/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
>>>Может быть ssp все таки лучше чем ldap? Вопрос в общем стремный
>>>- настраиваю керберос аутентификацию везде, где это воможно : )
>>
>>Может вам и jabber удалось победить?
>
>а с этим какие-то проблемы?
У джаббера проблемы с клиентами. К примеру tkabber интерпретирует доменное имя в JID как имя сервера. Т.е. имя сервера на котором крутится джаббер должно быть просто именем домена. Но в результате возникают проблемы с именами принципалов. Вот как это выглядит:
http://www.opennet.ru/openforum/vsluhforumID1/75093.html
Если вам удалось это решить, то хотелось бы узнать каким образом?
>
>гораздо интереснее было бы прикрутить керберос к thunderbird & firefox
>чтобы, например, не вводить пароли для адресной книги в LDAP и для
>доступа в инет через сабж
Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2. Так что про Kerberos там можно забыть.
Firefox настраивается правкой about:config и добавлением туда :
network.negotiate-auth.trusted-uris http://,https://
network.negotiate-auth.delegation-uris http://,https://
Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от KerberosForWindows от MIT.
| | |
| |
| 6.25, fank (?), 17:54, 08/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>
>У джаббера проблемы с клиентами. К примеру tkabber интерпретирует доменное имя в
>JID как имя сервера. Т.е. имя сервера на котором крутится джаббер
>должно быть просто именем домена. Но в результате возникают проблемы с
>именами принципалов. Вот как это выглядит:
>
>http://www.opennet.ru/openforum/vsluhforumID1/75093.html
>
>Если вам удалось это решить, то хотелось бы узнать каким образом?
>
да, оказывается в последний раз когда копался в ejabberd, делал все через ЛДАП
ну, по этой известной статейке
http://realloc.spb.ru/share/ejabberd112ad.html
так и не поборол глюк последний, когда мог авторизоваться только один единственный юзер
остальные получали отлуп...
>[оверквотинг удален]
>
>Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2.
>Так что про Kerberos там можно забыть.
>
>Firefox настраивается правкой about:config и добавлением туда :
>network.negotiate-auth.trusted-uris http://,https://
>network.negotiate-auth.delegation-uris http://,https://
>Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги
>с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от
>KerberosForWindows от MIT.
а как это организовать со стороны сквида?
| | |
| |
| 7.27, geekkoo (ok), 18:35, 08/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>>Так что про Kerberos там можно забыть.
>>
>>Firefox настраивается правкой about:config и добавлением туда :
>>network.negotiate-auth.trusted-uris http://,https://
>>network.negotiate-auth.delegation-uris http://,https://
>>Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги
>>с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от
>>KerberosForWindows от MIT.
>
>а как это организовать со стороны сквида?
Про сквид не знаю. Я пытался разобраться в их помойке модулей авторизации, но безрезультатно. В качестве простого кэширующего прокси с single-sign-on могу порекоммендовать apache.
| | |
|
| 6.26, fank (?), 18:02, 08/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
>
>Адресная книга в Thunderbird не поддерживает SASL-аутентификацию, только простую как в LDAPv2.
>Так что про Kerberos там можно забыть.
>
>Firefox настраивается правкой about:config и добавлением туда :
>network.negotiate-auth.trusted-uris http://,https://
>network.negotiate-auth.delegation-uris http://,https://
>Под Вендами это скорее всего вряд ли будет работать (у мозилловцев напряги
>с вендовым sspi), но можно попробовать подсунуть туда gssapi либу от
>KerberosForWindows от MIT.
УРА!!!
https://bugzilla.mozilla.org/show_bug.cgi?id=325396
https://bugzilla.mozilla.org/show_bug.cgi?id=308118
процесс пошел...
| | |
|
|
|
|
| 2.9, geekkoo (??), 07:36, 07/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
LDAP - это информационно-справочная служба, а не протокол удаленной аутентификации в отличии от Kerberos. Во-вторых, Kerberos удобен, поскольку позволяет Single-sign-on - зарегистрировался в системе один раз, а потом с помощью полученных сертификатов получаешь доступ ко всем сетевым службам.
| | |
|
| 1.5, Николай Попов (?), 02:13, 07/11/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 > По-моему сам winbind кеширует ответы
man(8) winbindd
-n Disable caching. This means winbindd will always have to
wait for a response from the domain controller before it
can respond to a client and this thus makes things slower.
The results will however be more accurate, since results
from the cache might not be up-to-date. This might also
temporarily hang winbindd if the DC doesn't respond.
| | |
| |
| 2.15, sash (??), 18:25, 07/11/2007 [^] [^^] [^^^] [ответить]
| +/– | |
Безусловно. :)
Только некошерно (как-по-мне) выключать кеширование насовсем. Вот в связи с энтим и, так сказать, интересуюсь.
| | |
|
| 1.7, Ne01eX (??), 06:47, 07/11/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
>># те кто ходят неавторизованными
Может лучше неавторизованных товарищей авторизовывать еще и по маку?
| | |
| 1.8, geekkoo (??), 07:30, 07/11/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Есть советы, от которых вреда больше, чем пользы.
Зачем понадобилась настройка winbind? ПОлучить билетик на старте? Но можно было сделать и прямее, через kerberos-enabled login, который в состав пакета kerberos входит, а кроме того к теме настройки прокси-сервера никаким боком не относится.
Во-вторых, сквид настроен через ntlm-аuth, т.е. старый протокол, который M$ только из жалости оставляет в AD. Автор мог бы честносказать, что сквид не работает с AD по протоколу Kerberos, и для этой цели рекомендуется использовать альтернатичные продукты, такие как apache.
| | |
| |
| 2.11, bass (??), 08:29, 07/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
>>Старая была на линухе, что не есть гуд - моё отношение к помойке хоршо известно
>>Итак, задача - на правильной ОС поднять правильно настроенную проксю
дальше можно не читать, красноглазый заболел графоманством
хотя я дочитал, ничего нового, всё это есть в доках тут-же на сайте.
итог: лишняя лишняя бесполезная ссылка в поиске. неудачно поданный материал.
| | |
|
| 1.13, Аноним (13), 09:30, 07/11/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
> Итак, задача - на правильной ОС поднять правильно >настроенную проксю - т.е. авторизация в AD.
>Под это дело был выделен сервак - HP Proliant 380 G3, 2 >ксенона по 3 чтоли гигарца,
мдя....правильная операционка оказывается на рэйде с ксеонами работает... для прокси...мдя.
А есчо для ентерпрайзы изпользуеться нестабильный сквид 3, тока через него квип не работает.
В общем резюме: даже если отбросить понты автора, сомнительно для использования.
| | |
| |
| 2.14, товарисч (?), 10:31, 07/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
 >мдя....правильная операционка оказывается на рэйде с ксеонами работает... для прокси...мдя.
старая прокся - 4 пень на 3 гигагерца.
Загрузка стабильно висит на 40-60%
Это на 6 сотнях юзеров. С учётом планирующегося роста, и того что контора не экономит на железе - считаю железку правильным выбором. Тем боле что предлагали 6 по 140G 15k - вот на этом я тоже решил что будет жирно.
>А есчо для ентерпрайзы изпользуеться нестабильный сквид 3, тока через него квип не работает.
Сквид третий использовался в процессе тестов - с учётом одинакового конфига 2.6 и 3.0 - подо что писать - значения не имело. В продакшен идёт именно 2.6.
А квип - ну что ж сделаешь что если у 95% юзеров которым разрешена аська стоит именно он? :)
>В общем резюме: даже если отбросить понты автора, сомнительно для использования.
Напиши лучше. Никто ж не запрещает :)
=========
а вот 30 чилдренов - число полученное опытным путём на старой проксе - пока тупо перенесено, потом допилится.
Что могу точно сказать - что на одном чилдрене при двух-трёх одновременно молотящих F5 юзерах - подлагивает.
| | |
| |
| 3.16, sash (??), 18:51, 07/11/2007 [^] [^^] [^^^] [ответить]
| +/– | |
40%-60% на ксеоне - это ОЧЕНЬ много. Может что-то у Вас не так?
давайте сравним:
данные
-----------------
две сотни пользователей
model name : Intel(R) Celeron(R) CPU 2.00GHz
Memory: 508000k/516032k available
cache_dir ufs /var/cache/squid 10000 256 256
cache_swap_low 95
cache_swap_high 98
------------------
Размер access.log за месяц - 1.2G .. 1.5G
Загрузка 0%.
Я не померятся, мне интересно откуда у Вас такая нагрузка.
| | |
| |
| 4.17, sash (??), 18:58, 07/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
А понял. "Старая прокся три гигагерца" - это на ней загрузка 40-60. Все равно многовато.
| | |
| |
| 5.18, товарисч (?), 01:32, 08/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
>А понял. "Старая прокся три гигагерца" - это на ней загрузка 40-60.
>Все равно многовато.
Рамы маловато, дисковая слабая, сквидгард перегруженный - туда, помоему, пихнули всё что нашли в инете, и т.п...
Ну и ОС неправильный :)
========
Вот честно - не рыл и не имею желания рыть - тот случай когда проще снести не разбираясь.
| | |
|
|
|
| 2.22, coroner (?), 11:08, 08/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
 >А есчо для ентерпрайзы изпользуеться нестабильный сквид 3, тока через него
>квип не работает.
а кто мешает заNATить порт 5190? и все прекрасно работает в 3 сквиде
а по поводу железа-рейд (особенно страйп) необходим при большом количестве пользователей.
особенно если отключить буферизацию логов в сквиде.
| | |
|
| 1.19, неаноним (?), 07:54, 08/11/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Ахинея редкостная. Кэш должен лежать на ram-диске. И загрузки заоблачной не будет, и RAID не нужен.
| | |
| |
| 2.20, angra (ok), 08:47, 08/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
У вас squid на сетку из трех человек, которые ходят на десяток сайтов? Тогда да, вам кеш и в память можно. А 30-100 GB кеш тоже на ramdisk предложите поместить?
| | |
| 2.29, bakake (?), 13:05, 10/11/2007 [^] [^^] [^^^] [ответить]
| +/– |
 >Ахинея редкостная. Кэш должен лежать на ram-диске. И загрузки заоблачной не будет,
>и RAID не нужен.
Ну а если очень хорошо подумать, то даже в такой конфигурации для памяти можно найти лучшее применение, чем ram-диск :)
| | |
|
| 1.31, BereZ (ok), 16:53, 11/10/2010 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Люди, подскажите мне плиз...не могу никак понять что в конфиге squid отвечает за авторизацию пользователей в AD.
У меня FreeBSD 8.1, введена в домен, wbinfo работает.
Мне нужно что бы пользователь ходил в инет через squid без ввода логина и пароля, чтобы squid цеплял пользователей и группы из AD и сам знал кому можно в инет, кому нет...
Я уже совсем запутался...может какой-нить самый простой примерчик...
| | |
|
