Утилита - squidndsgrp

[Dobrov]

Пробую использовать.
Не получается.
Имеется дерево T=main
Имеется организация O=Firma
Имеется группа .squid.Firma
Имеется пользователь - Sidorov.Firma. Включён в группу .squid.Firma.

Имеется пользователь sa.Firm - имеет админовские права прописан в conf, как для работы с группой(утилита - squidndsgrp) так и в конфиге для squidndslogin.

При работе пишет в логе

squidndsgrp started. server=192.168.0.1:524, SearchUser:.sa.firma, ConertPercent:Yes.
04.08.2011 20:25:06 .Sidorov.firma NOT in group squid.firma
04.08.2011 20:28:23 connection to server closed.
04.08.2011 20:28:23 squidndsgrp stopped.
И как следствие - отлуп для доступа в инет.

Пробовал в conf для squidndsgrp прописать несуществующую группу в eDirectory. Принимает и в логе пишет
04.08.2011 20:35:06 .Sidorov.firma NOT in group squid11.firma

P.S. В качестве сервера NetWare 6.5.6.

[Lenik]

Давайте начнем вот так:
1. squidndsgrp.conf
Server n.n.n.n
Port 524
searchuser .user.context
searchpass passwordforuser
ConvertPercent yes
Debug No
2. squid.conf
external_acl_type NDS_group ttl=10 %LOGIN /squid/login/squidndsgrp /squid/login/squidndsgrp

acl WWWUsers external NDS_group .proxyaccess.web
acl AllWWWUsers external NDS_group .proxyaccessall.web
acl SocWWWUsers external NDS_group .proxyaccesssocial.web

http_access deny !WWWUsers
http_access allow AllWWWUsers
..
http_access allow SocWWWUsers
http_access allow all

Имена групп - с точками.
Что-нибудь получается таким образом?

[Tsvetaev]

Давайте начнем вот так:
1. squidndsgrp.conf
Server n.n.n.n
Port 524
searchuser .user.context
searchpass passwordforuser
ConvertPercent yes
Debug No
2. squid.conf
external_acl_type NDS_group ttl=10 %LOGIN /squid/login/squidndsgrp /squid/login/squidndsgrp

acl WWWUsers external NDS_group .proxyaccess.web
acl AllWWWUsers external NDS_group .proxyaccessall.web
acl SocWWWUsers external NDS_group .proxyaccesssocial.web

http_access deny !WWWUsers
http_access allow AllWWWUsers
..
http_access allow SocWWWUsers
http_access allow all

Имена групп - с точками.
Что-нибудь получается таким образом?

Делал всё как предписано. И был облом как у Доброва.
Но ради эксперимента или по какой другой непонятной прихоти - создал нового пользователя и ввёл его в уже существующую группу которой разрешено использовать инет. И о счастье - сработало. Пробую себя хорошего ... и не растёт каменный цветок.
Пробую ещё одного пользователя создать - работает.
И что это может быть такое?
Т.е. что за свойства или атрибуты в учетной записи были созданы(или нет) у сотрудников, что такая зависимость. В сети энное количество серверов. Мастер реплика на NW6.5.8 (eDirectory 8.8 sp5) но есть сервера и с NW5.1.8 (eDirectory 85.27c).

[Lenik]

Давайте начнем вот так:
1. squidndsgrp.conf
Server n.n.n.n
Port 524
searchuser .user.context
searchpass passwordforuser
ConvertPercent yes
Debug No
2. squid.conf
external_acl_type NDS_group ttl=10 %LOGIN /squid/login/squidndsgrp /squid/login/squidndsgrp

acl WWWUsers external NDS_group .proxyaccess.web
acl AllWWWUsers external NDS_group .proxyaccessall.web
acl SocWWWUsers external NDS_group .proxyaccesssocial.web

http_access deny !WWWUsers
http_access allow AllWWWUsers
..
http_access allow SocWWWUsers
http_access allow all

Имена групп - с точками.
Что-нибудь получается таким образом?

Делал всё как предписано. И был облом как у Доброва.
Но ради эксперимента или по какой другой непонятной прихоти - создал нового пользователя и ввёл его в уже существующую группу которой разрешено использовать инет. И о счастье - сработало. Пробую себя хорошего ... и не растёт каменный цветок.
Пробую ещё одного пользователя создать - работает.
И что это может быть такое?
Т.е. что за свойства или атрибуты в учетной записи были созданы(или нет) у сотрудников, что такая зависимость. В сети энное количество серверов. Мастер реплика на NW6.5.8 (eDirectory 8.8 sp5) но есть сервера и с NW5.1.8 (eDirectory 85.27c).

Несколько вопросов:
1. squidndslogin работает?
2. Пользователь, которого вы создали, находится в том же контексте, что и ваш, который не работает?
3. Попробуйте пожалуйста сравнить атрибуты пользователей, может быть это поможет прояснить, в чем проблема.

[Tsvetaev]

Давайте начнем вот так:
1. squidndsgrp.conf
Server n.n.n.n
Port 524
searchuser .user.context
searchpass passwordforuser
ConvertPercent yes
Debug No
2. squid.conf
external_acl_type NDS_group ttl=10 %LOGIN /squid/login/squidndsgrp /squid/login/squidndsgrp

acl WWWUsers external NDS_group .proxyaccess.web
acl AllWWWUsers external NDS_group .proxyaccessall.web
acl SocWWWUsers external NDS_group .proxyaccesssocial.web

http_access deny !WWWUsers
http_access allow AllWWWUsers
..
http_access allow SocWWWUsers
http_access allow all

Имена групп - с точками.
Что-нибудь получается таким образом?

Делал всё как предписано. И был облом как у Доброва.
Но ради эксперимента или по какой другой непонятной прихоти - создал нового пользователя и ввёл его в уже существующую группу которой разрешено использовать инет. И о счастье - сработало. Пробую себя хорошего ... и не растёт каменный цветок.
Пробую ещё одного пользователя создать - работает.
И что это может быть такое?
Т.е. что за свойства или атрибуты в учетной записи были созданы(или нет) у сотрудников, что такая зависимость. В сети энное количество серверов. Мастер реплика на NW6.5.8 (eDirectory 8.8 sp5) но есть сервера и с NW5.1.8 (eDirectory 85.27c).

Несколько вопросов:
1. squidndslogin работает?
2. Пользователь, которого вы создали, находится в том же контексте, что и ваш, который не работает?
3. Попробуйте пожалуйста сравнить атрибуты пользователей, может быть это поможет прояснить, в чем проблема.

1. squidndslogin - работает всегда корректо.
2. В одном контексте.
3. Слишком разняться по правам. У меня от сюда и до ... по самое не балуй. Это первое что я попытался сделать. Мысль была из серии что ранее пользователь создавался из NWadmin и некоторые поля были пустыми в отличии когда пользователь создаётся из C1.
По-этому и спросил на чём сделать акцент в поиске решения.

[Lenik]

1. squidndslogin - работает всегда корректо.
2. В одном контексте.
3. Слишком разняться по правам. У меня от сюда и до ... по самое не балуй. Это первое что я попытался сделать. Мысль была из серии что ранее пользователь создавался из NWadmin и некоторые поля были пустыми в отличии когда пользователь создаётся из C1.
По-этому и спросил на чём сделать акцент в поиске решения.

1. понял.
2. понял.
3. не понял. При чем тут права? Принадлежность определенного обьекта к группе определяется атрибутом "Group Membership" этого обьекта.
Теперь - к вопросам:
4. Можно ли увидеть содержание атрибута "Group Membership" у того пользователя, с которым не получается? Содержание, естественно, лучше или почтой, или персональным сообщением.
5. Пользователь, под которым squidndsgrp работает с NDS, должен иметь права на просмотр атрибута "Group Membership" у обьектов дерева. Это так?

[Tsvetaev]

1. squidndslogin - работает всегда корректо.
2. В одном контексте.
3. Слишком разняться по правам. У меня от сюда и до ... по самое не балуй. Это первое что я попытался сделать. Мысль была из серии что ранее пользователь создавался из NWadmin и некоторые поля были пустыми в отличии когда пользователь создаётся из C1.
По-этому и спросил на чём сделать акцент в поиске решения.

1. понял.
2. понял.
3. не понял. При чем тут права? Принадлежность определенного обьекта к группе определяется атрибутом "Group Membership" этого обьекта.
Теперь - к вопросам:
4. Можно ли увидеть содержание атрибута "Group Membership" у того пользователя, с которым не получается? Содержание, естественно, лучше или почтой, или персональным сообщением.
5. Пользователь, под которым squidndsgrp работает с NDS, должен иметь права на просмотр атрибута "Group Membership" у обьектов дерева. Это так?

Экспериментировал, экспериментировал - кажется имеется зависимость и от количества групп в которые включен пользователь и кажется даже от того где располагается группа, которая используется для работы SQUID. И лучше чтоб группа начиналась с цифры или с первых букв алфавита, чтоб при поиске у пользователя в "Group Membership" была одним из первых записей.

Как пример имеем - группа cn=InetSquid.o=Test
В неё включены пользователи. Пробуем - работает.
Переносим группу в другой контекст cn=InetSquid.ou=Office.o=Test (или просто берем группу уже созданную в другом контексте)
Перестало работать.

Если при запросе пароля - отрабатывает на 100%, то зависимость от группы - настолько тонкая материя.

[Lenik]

Как пример имеем - группа cn=InetSquid.o=Test
В неё включены пользователи. Пробуем - работает.
Переносим группу в другой контекст cn=InetSquid.ou=Office.o=Test (или просто берем группу уже созданную в другом контексте)
Перестало работать.

Если при запросе пароля - отрабатывает на 100%, то зависимость от группы - настолько тонкая материя.

А в конфиге squid как группа называется? "CN=" или "OU=" или "O=" там присутствует?
Если да, то нужно убрать.

Скачайте новую версию с сайта.
Включите отладку, и увидите, какие группы есть.

[Tsvetaev]

Как пример имеем - группа cn=InetSquid.o=Test
В неё включены пользователи. Пробуем - работает.
Переносим группу в другой контекст cn=InetSquid.ou=Office.o=Test (или просто берем группу уже созданную в другом контексте)
Перестало работать.

Если при запросе пароля - отрабатывает на 100%, то зависимость от группы - настолько тонкая материя.

А в конфиге squid как группа называется? "CN=" или "OU=" или "O=" там присутствует?
Если да, то нужно убрать.

Скачайте новую версию с сайта.
Включите отладку, и увидите, какие группы есть.

В конфиге пишу как в описание - только точки.
Но что бросилось в глаза - это зависимость от того как записана группа в конфиге прописные/строчные. Есть зависимость.

В логах отображаются не все группы в которые входит сотрудник и по какому принципу в выводимый список эти группы попадают - не понятно. Но явно не в алфавитном порядке. Если из отображаемого списка взять и записать группу в конфиг squid - то сотрудник, т.е. я хороший получит инет, то всё отработает на ура. Но список который отображается может разниться у разных пользователей хотя они могут входить в одни и те же группы. Сейчас выводиться максимально 13 групп в которые входит сотрудник.
Сейчас у меня аж 63 группы по "Group Membership" и много таких как [root].iPrint Managment Role.Base Service. ......
Что смог рассказал. Может поможет в решение проблемы.

[Lenik]

Что смог рассказал. Может поможет в решение проблемы.

Спасибо. Попробуйте теперь скачать обновленную версию.
Переработал алгоритмы работы NCP-клиента.
Жду отзыва.
Кстати, на какой платформе используете squidndsgrp?

[Tsvetaev]

Что смог рассказал. Может поможет в решение проблемы.

Спасибо. Попробуйте теперь скачать обновленную версию.
Переработал алгоритмы работы NCP-клиента.
Жду отзыва.
Кстати, на какой платформе используете squidndsgrp?

На данный момент использую/тестирую Win32. Реплика к которой обращаюсь на NetWare 6.5.8 или OES2.sp1(Linux)

Новый вариант EXE перестал авторизоваться на сервере.

24.07.2013 13:30:32 unable to connect 192.168.0.2:524.
24.07.2013 13:30:32 unable to connect 192.168.0.2:524.
connection to server failed. server=192.168.0.2:524, SearchUser:.squiduser.test, ConertPercent:Yes.
24.07.2013 13:30:32 squidndsgrp stopped.

[Lenik]

Новый вариант EXE перестал авторизоваться на сервере.

Напишите мне на почту, будем диагностировать и решать.

[Tsvetaev]

Новый вариант EXE перестал авторизоваться на сервере.

Напишите мне на почту, будем диагностировать и решать.

Письмо вчера отправил.

[Tsvetaev]

Заработало.....Ура!!!

Работает как заказывали Регистрация(Пароль) + Группа eDirectory = доступ в Инет при использования SQUID для администрирования доступа сотрудников в интреннет.

Особая благодарность, разработчику по доработке проги на основе моих ошибок и моих логов при использовании программы squidndsgrp в связке SQUID + eDirectory.

[Lenik]

Заработало.....Ура!!!

Работает как заказывали Регистрация(Пароль) + Группа eDirectory = доступ в Инет при использования SQUID для администрирования доступа сотрудников в интреннет.

Особая благодарность, разработчику по доработке проги на основе моих ошибок и моих логов при использовании программы squidndsgrp в связке SQUID + eDirectory.

Отлично.
Взаимная благодарность Вам за тестирование.