Утилита - squidndsgrp

Добро пожаловать всем, кто интересуется утилитами и их развитием.
English posts, of course, are welcome too.
Dobrov
Сообщения: 9
Зарегистрирован: Ср дек 31, 2008 1:32 am

Утилита - squidndsgrp

Сообщение Dobrov » Пт авг 05, 2011 4:24 pm

Пробую использовать.
Не получается.
Имеется дерево T=main
Имеется организация O=Firma
Имеется группа .squid.Firma
Имеется пользователь - Sidorov.Firma. Включён в группу .squid.Firma.

Имеется пользователь sa.Firm - имеет админовские права прописан в conf, как для работы с группой(утилита - squidndsgrp) так и в конфиге для squidndslogin.

При работе пишет в логе

squidndsgrp started. server=192.168.0.1:524, SearchUser:.sa.firma, ConertPercent:Yes.
04.08.2011 20:25:06 .Sidorov.firma NOT in group squid.firma
04.08.2011 20:28:23 connection to server closed.
04.08.2011 20:28:23 squidndsgrp stopped.
И как следствие - отлуп для доступа в инет.

Пробовал в conf для squidndsgrp прописать несуществующую группу в eDirectory. Принимает и в логе пишет
04.08.2011 20:35:06 .Sidorov.firma NOT in group squid11.firma

P.S. В качестве сервера NetWare 6.5.6.

Lenik
Site Admin
Сообщения: 184
Зарегистрирован: Пт окт 06, 2006 6:51 pm
Откуда: Moscow / Moscow Region
Контактная информация:

Сообщение Lenik » Пн авг 08, 2011 10:50 am

Давайте начнем вот так:
1. squidndsgrp.conf
Server n.n.n.n
Port 524
searchuser .user.context
searchpass passwordforuser
ConvertPercent yes
Debug No
2. squid.conf
external_acl_type NDS_group ttl=10 %LOGIN /squid/login/squidndsgrp /squid/login/squidndsgrp

acl WWWUsers external NDS_group .proxyaccess.web
acl AllWWWUsers external NDS_group .proxyaccessall.web
acl SocWWWUsers external NDS_group .proxyaccesssocial.web

http_access deny !WWWUsers
http_access allow AllWWWUsers
..
http_access allow SocWWWUsers
http_access allow all

Имена групп - с точками.
Что-нибудь получается таким образом?

Tsvetaev
Сообщения: 7
Зарегистрирован: Пн июл 01, 2013 1:06 pm

Есть такая буква в слове

Сообщение Tsvetaev » Пн июл 01, 2013 1:17 pm

Lenik писал(а):Давайте начнем вот так:
1. squidndsgrp.conf
Server n.n.n.n
Port 524
searchuser .user.context
searchpass passwordforuser
ConvertPercent yes
Debug No
2. squid.conf
external_acl_type NDS_group ttl=10 %LOGIN /squid/login/squidndsgrp /squid/login/squidndsgrp

acl WWWUsers external NDS_group .proxyaccess.web
acl AllWWWUsers external NDS_group .proxyaccessall.web
acl SocWWWUsers external NDS_group .proxyaccesssocial.web

http_access deny !WWWUsers
http_access allow AllWWWUsers
..
http_access allow SocWWWUsers
http_access allow all

Имена групп - с точками.
Что-нибудь получается таким образом?


Делал всё как предписано. И был облом как у Доброва.
Но ради эксперимента или по какой другой непонятной прихоти - создал нового пользователя и ввёл его в уже существующую группу которой разрешено использовать инет. И о счастье - сработало. Пробую себя хорошего ... и не растёт каменный цветок.
Пробую ещё одного пользователя создать - работает.
И что это может быть такое?
Т.е. что за свойства или атрибуты в учетной записи были созданы(или нет) у сотрудников, что такая зависимость. В сети энное количество серверов. Мастер реплика на NW6.5.8 (eDirectory 8.8 sp5) но есть сервера и с NW5.1.8 (eDirectory 85.27c).

Lenik
Site Admin
Сообщения: 184
Зарегистрирован: Пт окт 06, 2006 6:51 pm
Откуда: Moscow / Moscow Region
Контактная информация:

Re: Есть такая буква в слове

Сообщение Lenik » Чт июл 04, 2013 4:12 pm

Tsvetaev писал(а):
Lenik писал(а):Давайте начнем вот так:
1. squidndsgrp.conf
Server n.n.n.n
Port 524
searchuser .user.context
searchpass passwordforuser
ConvertPercent yes
Debug No
2. squid.conf
external_acl_type NDS_group ttl=10 %LOGIN /squid/login/squidndsgrp /squid/login/squidndsgrp

acl WWWUsers external NDS_group .proxyaccess.web
acl AllWWWUsers external NDS_group .proxyaccessall.web
acl SocWWWUsers external NDS_group .proxyaccesssocial.web

http_access deny !WWWUsers
http_access allow AllWWWUsers
..
http_access allow SocWWWUsers
http_access allow all

Имена групп - с точками.
Что-нибудь получается таким образом?


Делал всё как предписано. И был облом как у Доброва.
Но ради эксперимента или по какой другой непонятной прихоти - создал нового пользователя и ввёл его в уже существующую группу которой разрешено использовать инет. И о счастье - сработало. Пробую себя хорошего ... и не растёт каменный цветок.
Пробую ещё одного пользователя создать - работает.
И что это может быть такое?
Т.е. что за свойства или атрибуты в учетной записи были созданы(или нет) у сотрудников, что такая зависимость. В сети энное количество серверов. Мастер реплика на NW6.5.8 (eDirectory 8.8 sp5) но есть сервера и с NW5.1.8 (eDirectory 85.27c).


Несколько вопросов:
1. squidndslogin работает?
2. Пользователь, которого вы создали, находится в том же контексте, что и ваш, который не работает?
3. Попробуйте пожалуйста сравнить атрибуты пользователей, может быть это поможет прояснить, в чем проблема.

Tsvetaev
Сообщения: 7
Зарегистрирован: Пн июл 01, 2013 1:06 pm

Re: Есть такая буква в слове

Сообщение Tsvetaev » Чт июл 04, 2013 6:21 pm

Lenik писал(а):
Tsvetaev писал(а):
Lenik писал(а):Давайте начнем вот так:
1. squidndsgrp.conf
Server n.n.n.n
Port 524
searchuser .user.context
searchpass passwordforuser
ConvertPercent yes
Debug No
2. squid.conf
external_acl_type NDS_group ttl=10 %LOGIN /squid/login/squidndsgrp /squid/login/squidndsgrp

acl WWWUsers external NDS_group .proxyaccess.web
acl AllWWWUsers external NDS_group .proxyaccessall.web
acl SocWWWUsers external NDS_group .proxyaccesssocial.web

http_access deny !WWWUsers
http_access allow AllWWWUsers
..
http_access allow SocWWWUsers
http_access allow all

Имена групп - с точками.
Что-нибудь получается таким образом?


Делал всё как предписано. И был облом как у Доброва.
Но ради эксперимента или по какой другой непонятной прихоти - создал нового пользователя и ввёл его в уже существующую группу которой разрешено использовать инет. И о счастье - сработало. Пробую себя хорошего ... и не растёт каменный цветок.
Пробую ещё одного пользователя создать - работает.
И что это может быть такое?
Т.е. что за свойства или атрибуты в учетной записи были созданы(или нет) у сотрудников, что такая зависимость. В сети энное количество серверов. Мастер реплика на NW6.5.8 (eDirectory 8.8 sp5) но есть сервера и с NW5.1.8 (eDirectory 85.27c).


Несколько вопросов:
1. squidndslogin работает?
2. Пользователь, которого вы создали, находится в том же контексте, что и ваш, который не работает?
3. Попробуйте пожалуйста сравнить атрибуты пользователей, может быть это поможет прояснить, в чем проблема.


1. squidndslogin - работает всегда корректо.
2. В одном контексте.
3. Слишком разняться по правам. У меня от сюда и до ... по самое не балуй. Это первое что я попытался сделать. Мысль была из серии что ранее пользователь создавался из NWadmin и некоторые поля были пустыми в отличии когда пользователь создаётся из C1.
По-этому и спросил на чём сделать акцент в поиске решения.

Lenik
Site Admin
Сообщения: 184
Зарегистрирован: Пт окт 06, 2006 6:51 pm
Откуда: Moscow / Moscow Region
Контактная информация:

Re: Есть такая буква в слове

Сообщение Lenik » Чт июл 04, 2013 9:07 pm

Tsvetaev писал(а):1. squidndslogin - работает всегда корректо.
2. В одном контексте.
3. Слишком разняться по правам. У меня от сюда и до ... по самое не балуй. Это первое что я попытался сделать. Мысль была из серии что ранее пользователь создавался из NWadmin и некоторые поля были пустыми в отличии когда пользователь создаётся из C1.
По-этому и спросил на чём сделать акцент в поиске решения.

1. понял.
2. понял.
3. не понял. При чем тут права? Принадлежность определенного обьекта к группе определяется атрибутом "Group Membership" этого обьекта.
Теперь - к вопросам:
4. Можно ли увидеть содержание атрибута "Group Membership" у того пользователя, с которым не получается? Содержание, естественно, лучше или почтой, или персональным сообщением.
5. Пользователь, под которым squidndsgrp работает с NDS, должен иметь права на просмотр атрибута "Group Membership" у обьектов дерева. Это так?

Tsvetaev
Сообщения: 7
Зарегистрирован: Пн июл 01, 2013 1:06 pm

Re: Есть такая буква в слове

Сообщение Tsvetaev » Чт июл 18, 2013 4:48 pm

Lenik писал(а):
Tsvetaev писал(а):1. squidndslogin - работает всегда корректо.
2. В одном контексте.
3. Слишком разняться по правам. У меня от сюда и до ... по самое не балуй. Это первое что я попытался сделать. Мысль была из серии что ранее пользователь создавался из NWadmin и некоторые поля были пустыми в отличии когда пользователь создаётся из C1.
По-этому и спросил на чём сделать акцент в поиске решения.

1. понял.
2. понял.
3. не понял. При чем тут права? Принадлежность определенного обьекта к группе определяется атрибутом "Group Membership" этого обьекта.
Теперь - к вопросам:
4. Можно ли увидеть содержание атрибута "Group Membership" у того пользователя, с которым не получается? Содержание, естественно, лучше или почтой, или персональным сообщением.
5. Пользователь, под которым squidndsgrp работает с NDS, должен иметь права на просмотр атрибута "Group Membership" у обьектов дерева. Это так?


Экспериментировал, экспериментировал - кажется имеется зависимость и от количества групп в которые включен пользователь и кажется даже от того где располагается группа, которая используется для работы SQUID. И лучше чтоб группа начиналась с цифры или с первых букв алфавита, чтоб при поиске у пользователя в "Group Membership" была одним из первых записей.

Как пример имеем - группа cn=InetSquid.o=Test
В неё включены пользователи. Пробуем - работает.
Переносим группу в другой контекст cn=InetSquid.ou=Office.o=Test (или просто берем группу уже созданную в другом контексте)
Перестало работать.

Если при запросе пароля - отрабатывает на 100%, то зависимость от группы - настолько тонкая материя.

Lenik
Site Admin
Сообщения: 184
Зарегистрирован: Пт окт 06, 2006 6:51 pm
Откуда: Moscow / Moscow Region
Контактная информация:

Re: Есть такая буква в слове

Сообщение Lenik » Пт июл 19, 2013 9:48 am

Tsvetaev писал(а):Как пример имеем - группа cn=InetSquid.o=Test
В неё включены пользователи. Пробуем - работает.
Переносим группу в другой контекст cn=InetSquid.ou=Office.o=Test (или просто берем группу уже созданную в другом контексте)
Перестало работать.

Если при запросе пароля - отрабатывает на 100%, то зависимость от группы - настолько тонкая материя.


А в конфиге squid как группа называется? "CN=" или "OU=" или "O=" там присутствует?
Если да, то нужно убрать.

Скачайте новую версию с сайта.
Включите отладку, и увидите, какие группы есть.

Tsvetaev
Сообщения: 7
Зарегистрирован: Пн июл 01, 2013 1:06 pm

Re: Есть такая буква в слове

Сообщение Tsvetaev » Пт июл 19, 2013 4:33 pm

Lenik писал(а):
Tsvetaev писал(а):Как пример имеем - группа cn=InetSquid.o=Test
В неё включены пользователи. Пробуем - работает.
Переносим группу в другой контекст cn=InetSquid.ou=Office.o=Test (или просто берем группу уже созданную в другом контексте)
Перестало работать.

Если при запросе пароля - отрабатывает на 100%, то зависимость от группы - настолько тонкая материя.


А в конфиге squid как группа называется? "CN=" или "OU=" или "O=" там присутствует?
Если да, то нужно убрать.

Скачайте новую версию с сайта.
Включите отладку, и увидите, какие группы есть.


В конфиге пишу как в описание - только точки.
Но что бросилось в глаза - это зависимость от того как записана группа в конфиге прописные/строчные. Есть зависимость.

В логах отображаются не все группы в которые входит сотрудник и по какому принципу в выводимый список эти группы попадают - не понятно. Но явно не в алфавитном порядке. Если из отображаемого списка взять и записать группу в конфиг squid - то сотрудник, т.е. я хороший получит инет, то всё отработает на ура. Но список который отображается может разниться у разных пользователей хотя они могут входить в одни и те же группы. Сейчас выводиться максимально 13 групп в которые входит сотрудник.
Сейчас у меня аж 63 группы по "Group Membership" и много таких как [root].iPrint Managment Role.Base Service. ......
Что смог рассказал. Может поможет в решение проблемы.

Lenik
Site Admin
Сообщения: 184
Зарегистрирован: Пт окт 06, 2006 6:51 pm
Откуда: Moscow / Moscow Region
Контактная информация:

Re: Есть такая буква в слове

Сообщение Lenik » Пн июл 22, 2013 8:12 pm

Tsvetaev писал(а):Что смог рассказал. Может поможет в решение проблемы.

Спасибо. Попробуйте теперь скачать обновленную версию.
Переработал алгоритмы работы NCP-клиента.
Жду отзыва.
Кстати, на какой платформе используете squidndsgrp?

Tsvetaev
Сообщения: 7
Зарегистрирован: Пн июл 01, 2013 1:06 pm

Re: Есть такая буква в слове

Сообщение Tsvetaev » Ср июл 24, 2013 1:38 pm

Lenik писал(а):
Tsvetaev писал(а):Что смог рассказал. Может поможет в решение проблемы.

Спасибо. Попробуйте теперь скачать обновленную версию.
Переработал алгоритмы работы NCP-клиента.
Жду отзыва.
Кстати, на какой платформе используете squidndsgrp?

На данный момент использую/тестирую Win32. Реплика к которой обращаюсь на NetWare 6.5.8 или OES2.sp1(Linux)

Новый вариант EXE перестал авторизоваться на сервере.

24.07.2013 13:30:32 unable to connect 192.168.0.2:524.
24.07.2013 13:30:32 unable to connect 192.168.0.2:524.
connection to server failed. server=192.168.0.2:524, SearchUser:.squiduser.test, ConertPercent:Yes.
24.07.2013 13:30:32 squidndsgrp stopped.

Lenik
Site Admin
Сообщения: 184
Зарегистрирован: Пт окт 06, 2006 6:51 pm
Откуда: Moscow / Moscow Region
Контактная информация:

Re: Есть такая буква в слове

Сообщение Lenik » Пт июл 26, 2013 5:34 pm

Tsvetaev писал(а):Новый вариант EXE перестал авторизоваться на сервере.

Напишите мне на почту, будем диагностировать и решать.

Tsvetaev
Сообщения: 7
Зарегистрирован: Пн июл 01, 2013 1:06 pm

Re: Есть такая буква в слове

Сообщение Tsvetaev » Вт июл 30, 2013 4:58 pm

Lenik писал(а):
Tsvetaev писал(а):Новый вариант EXE перестал авторизоваться на сервере.

Напишите мне на почту, будем диагностировать и решать.


Письмо вчера отправил.

Tsvetaev
Сообщения: 7
Зарегистрирован: Пн июл 01, 2013 1:06 pm

Re: Есть такая буква в слове

Сообщение Tsvetaev » Вс авг 18, 2013 10:57 pm

Заработало.....Ура!!!

Работает как заказывали Регистрация(Пароль) + Группа eDirectory = доступ в Инет при использования SQUID для администрирования доступа сотрудников в интреннет.

Особая благодарность, разработчику по доработке проги на основе моих ошибок и моих логов при использовании программы squidndsgrp в связке SQUID + eDirectory.

Lenik
Site Admin
Сообщения: 184
Зарегистрирован: Пт окт 06, 2006 6:51 pm
Откуда: Moscow / Moscow Region
Контактная информация:

Re: Есть такая буква в слове

Сообщение Lenik » Пн авг 19, 2013 12:12 pm

Tsvetaev писал(а):Заработало.....Ура!!!

Работает как заказывали Регистрация(Пароль) + Группа eDirectory = доступ в Инет при использования SQUID для администрирования доступа сотрудников в интреннет.

Особая благодарность, разработчику по доработке проги на основе моих ошибок и моих логов при использовании программы squidndsgrp в связке SQUID + eDirectory.


Отлично.
Взаимная благодарность Вам за тестирование.


Вернуться в «Утилиты/Utils»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей

cron