Posted about 22 hours ago by PavelVinogradov
fixed:
Fixed in [717]
Posted about 22 hours ago by PavelVinogradov
Fix prefix in Debian package. Closes [400]
Posted about 23 hours ago by first-leon@…
Собрал пакет для Debian Lenny AMD64 (с помощью debuild)
После запуска демона, в логах такое:
Nov 30 00:57:07 g-deb-virt-01 samsdaemon[429]: ***ERROR: samsconfig.cpp:96 Failed to open
... [More]
file /usr/etc/sams2.conf
Nov 30 00:57:07 g-deb-virt-01 samsdaemon[429]: ***ERROR: samsdaemon.cpp:302 No proxyid defined. Check CACHENUM in config file.
Если в каталоге /usr/etc/ положить sams2.conf все начинает работать [Less]
Posted 8 days ago by DmitryChemerik
исправлена ошибка в при импорте пользователей групп adld, ldap, ntlm
Posted 12 days ago by dmitry a. frolov
Самс не верно добавляет в конфиг сквида acl-и при использовании связки squid sams rejik3 авторизации по IP, в следствии чего пользователям
... [More]
одного из шаблона не выйти в интернет совсем (идет блокировка на уровне сквида)
Подробнее:
Дано.
Система:
f0s@ubuntu9:/etc/squid$ uname -a
Linux ubuntu9 2.6.28-16-server #55-Ubuntu SMP Tue Oct 20 20:37:10 UTC 2009 x86_64 GNU/Linux
Самс ставил отсюда: nixdev.net/release/sams/debian/lenny/sams_1.0.4-1_amd64.deb
f0s@ubuntu9:/etc/squid$ sams -V
Version SAMS-1.0.4
вот конфиг самса:
f0s@ubuntu9:/etc/squid$ cat /etc/sams.conf
[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=sams
MYSQLPASSWORD=passwd
MYSQLVERSION=5.1
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/etc/squid
SQUIDLOGDIR=/var/log/squid
SQUIDCACHEDIR=/var/spool/squid
SAMSPATH=/usr
SQUIDPATH=/usr/sbin
#SQUIDGUARDLOGPATH=/var/log
#SQUIDGUARDDBPATH=/etc/squid/squidGuard.conf
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout
#LDAPSERVER=servername_or_ipadress
#LDAPBASEDN=your.domain
#LDAPUSER=DomainAdministrator
#LDAPUSERPASSWD=passwd
#LDAPUSERSGROUP=Users
REJIKPATH=/usr/local/rejik3
SHUTDOWNCOMMAND=shutdown -h now
CACHENUM=0
Сквид:
f0s@ubuntu9:/etc/squid$ dpkg-query -l | grep squid
ii squid 2.7.STABLE3-4.1ubuntu1 Internet object cache (WWW proxy cache)
ii squid-common 2.7.STABLE3-4.1ubuntu1 Internet object cache (WWW proxy cache) - co
f0s@ubuntu9:/etc/squid$
стоит rejik3.
Что сделано в веб-интерфейсе самса:
Считать трафик: Полный
Преобразовывать DNS имена: галка НЕ стоит
Уровень детализации записей в журнале: 9
Домен по умолчанию: vici.msk.ru
Выберите скрипт, используемый для отправки сообщения при отключении пользователей: NONE
Введите адрес администратора, на который следует посылать сообщения my@…
Настройка авторизации пользователя: IP
Настройка samsdaemon
Проверять наличие команды на реконфигурирование squid каждые 1 секунд
Обрабатывать логи SQUID - отмечено галкой
обрабатывать через 1 минут
Автоматически очищать счетчики трафика пользователей - НЕ отмечено
Путь к wbinfo: /usr/bin
файл перенаправления запроса httр://192.168.51.254/sams/icon/classic/blank.gif
Путь к каталогу, где лежат файлы запрета запроса httр://192.168.51.254/sams/messages
Редиректор Rejik
Включить ограничение скорости доступа пользователей (delaypool) - Отмечено галкой
Сохранять данные о трафике в базе за последние 1 месяцев.
Данные сохраняются в файл и удаляются из базы.
В меню пользователи созданы группы: администраторы, юзеры. в каждой есть пользователи. авторизация по IP
в графе "запрет доступа" по url, подраздел chats прописано vkontakte.ru
В графе "доступ разрешен" создан список, который назван allowurl, в котором перечислены сайты к которым разрешен доступ
в меню шаблоны пользователей создано два шаблона:
unlim, limited
для шаблона unlim указано:
запрет доступа к chats
больше галок не стоит
для шаблона limited указано:
Доступ запрещен ко всем URL
и поставлена галка ниже: Доступ к URL разрешен: к allowurl
заходим на вкладку squid жмем реконфигурировать.
самс конфигурирует, сквид, режик. получаем.
вот такие настройки добавляет в rejik:
f0s@ubuntu9:/usr/local/rejik3$ ls -l
total 456
-rw-r--r-- 1 root root 406 2009-11-18 08:46 4831439d52dcd.sams
-rw-r--r-- 1 proxy proxy 29 2009-11-18 08:46 483162ae0e07b.sams
drwxr-xr-x 6 proxy proxy 4096 2003-07-25 09:02 banlists
-rwxr-xr-x 1 proxy proxy 48339 2009-11-16 15:44 make-cache
-rwxr-xr-x 1 proxy proxy 53484 2009-11-16 15:44 redirector
-rw-r--r-- 1 root root 3202 2009-11-18 08:46 redirector.bak
-rw-rw-rw- 1 proxy proxy 3202 2009-11-18 08:46 redirector.conf
-rw-r--r-- 1 proxy proxy 3082 2009-11-16 15:44 redirector.conf.dist
-rw-r--r-- 1 proxy proxy 92432 2009-11-18 08:46 redirector.err
-rw-r----- 1 proxy proxy 220618 2009-11-18 08:06 redirector.log
drwxr-xr-x 5 proxy root 4096 2009-11-18 08:46 _sams_banlists
drwxr-xr-x 2 proxy proxy 4096 2009-11-16 15:42 tools
короткой строкой по содержимому файлов:
f0s@ubuntu9:/usr/local/rejik3$ cat 4831439d52dcd.sams
192.168.51.7
192.168.51.8
192.168.51.151
192.168.51.1
это список айпи шаблона unlim
f0s@ubuntu9:/usr/local/rejik3$ cat 483162ae0e07b.sams
192.168.51.51
192.168.51.111
ну а это список айпи с шаблона limited
итак, посмотрим как сконфигурировался режик:
f0s@ubuntu9:/usr/local/rejik3$ cat redirector.conf
error_log /usr/local/rejik3/redirector.err
change_log /usr/local/rejik3/redirector.log
make-cache /usr/local/rejik3/make-cache
#allow_urls /usr/local/rejik3/banlists/allow_urls
<_sams_4831439d52dcd_denied>
work_ip f:/usr/local/rejik3/4831439d52dcd.sams
ban_dir /usr/local/rejik3/_sams_banlists/4831439d52dcd_denied
url http://192.168.51.254/sams/messages/blocked.php?action=rejikdenied&url=#URL# #_sams_
<_sams_483162ae0e07b_allow>
work_ip f:/usr/local/rejik3/483162ae0e07b.sams
ban_dir /usr/local/rejik3/_sams_banlists/483162ae0e07b_allow
url http://192.168.51.254/sams/messages/blocked.php?action=rejikdenied&url=#URL# #_sams_
reverse #_sams_
здесь все идеально. все добавлено правильно и грамотно.
далее смотрим настройки сквид:
f0s@ubuntu9:/etc/squid$ ls -l
total 944
-rw-r--r-- 1 root root 870 2009-11-18 08:46 4831439d52dcd.sams
-rw-r--r-- 1 root root 61 2009-11-18 08:46 483162ae0e07b.sams
-rw-r--r-- 1 root root 151723 2009-11-18 08:46 squid.conf
-rw-r--r-- 1 root root 151021 2009-11-18 08:46 squid.conf.bak
опять так, здесь мы видим, что:
4831439d52dcd.sams - это список айпи адресов шаблона unlim
483162ae0e07b.sams - это список айпи адресов шаблона limited
вот собственно что добавляет самс в сквид:
f0s@ubuntu9:/etc/squid$ diff squid.conf squid.conf.bak
1d0
< # created by SAMS _sams_ 2009-11-18 8:46:28
2334,2337d2332
< acl _sams_4831439d52dcd src "/etc/squid/4831439d52dcd.sams"
< acl _sams_4831439d52dcd_time time MTWHFAS 00:00-23:59
< acl _sams_483162ae0e07b src "/etc/squid/483162ae0e07b.sams"
< acl _sams_483162ae0e07b_time time MTWHFAS 00:00-23:00
2598,2599d2592
< http_access allow _sams_4831439d52dcd _sams_4831439d52dcd_time
< http_access allow _sams_4831439d52dcd _sams_4831439d52dcd_time _sams_483162ae0e07b_time
3053,3061d3045
< delay_pools 2
< delay_class 1 2
< delay_class 2 2
< delay_access 1 allow _sams_4831439d52dcd
< delay_access 1 deny all
< delay_parameters 1 524288/524288 524288/524288
< delay_access 2 allow _sams_483162ae0e07b
< delay_access 2 deny all
< delay_parameters 2 524288/524288 524288/524288
пока опустим комментарии проверим.
берем польщователя из группы unlim. идем на комп с айпи 192.168.51.7 и пробуем войти в интернет. заходим на google.ru. Класс. все работает. Заходим на vkontakte.ru - видим сообщение типа "доступ к vkontakte.ru запрещен" и картинка самса (приведение перечеркнутое). Как мы можем догадаться, это сработал запрет доступа к chats для группы unlim
вроде все работает. но тут рано радоваться. берем комп из группы limited. пусь это будет 192.168.51.111
пробуем войти в инет (по задумке нас должно пускать только на те сайты, которы перечислены в allowurls). Вводим сайт из списка allowurls. Это yandex.ru. Ага. Что мы видим на экране. Сквидовское сообщение:
ERROR
The requested URL could not be retrieved
While trying to retrieve the URL: httр://yandex.ru/
The following error was encountered:
* Access Denied.
Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.
то есть это значит, что запрет произошел еще на стадии сквида (до редиректора с самсом еще дело не дошло).
Попробуем разобраться в чем же дело. идем обратно в сквид конфиг, который для нас смастерил самс. внимательно смотрим acl (я буду для наглядности комментировать здесь конфиг с помощью знака #). Итак:
acl _sams_4831439d52dcd src "/etc/squid/4831439d52dcd.sams"
acl _sams_4831439d52dcd_time time MTWHFAS 00:00-23:59
# это задается acl для шаблона unlim (соответсвенно в файле перечислены IP-адреса тех, кому можно в инет на все сайты, кроме сайтов из запрещенной группы chats)
acl _sams_483162ae0e07b src "/etc/squid/483162ae0e07b.sams"
acl _sams_483162ae0e07b_time time MTWHFAS 00:00-23:00
# это задается acl для шаблона limited (в файле перечислены IP-адреса тех, кому можно в инет только по заданным адресам)
[..skip..]
http_access allow _sams_4831439d52dcd _sams_4831439d52dcd_time
# видим разрешение для выхода в инет шаблону unlim в заданное в самсе время
http_access allow _sams_4831439d52dcd _sams_4831439d52dcd_time _sams_483162ae0e07b_time
# видим опять-так разрешение для выхода в инет того же шаблона unlim в заданное время указано время для шаблона limited! (и никакого упоминая о шаблоне limited!)
http_access deny all
# ну а это обычно дефолтовое правило сквида.
как мы видим, в сквид не добавляется http_access для шаблона Limited, поэтому польщзователи из этой группы сразу попадают на дефолтвое сквидовское http_access deny all, и поэтому они видят сквидовское сообщение о том, что доступ запрещен.
Давайте теперь зайдем на редактирование в конфиг сквида. и исправим acl с того что нам создал самс:
http_access allow _sams_4831439d52dcd _sams_4831439d52dcd_time
http_access allow _sams_4831439d52dcd _sams_4831439d52dcd_time _sams_483162ae0e07b_time
на следующие:
http_access allow _sams_4831439d52dcd _sams_4831439d52dcd_time
http_access allow _sams_483162ae0e07b _sams_483162ae0e07b_time
сохраняемся, делаем squid -k reconfigure
Ура товарищи. теперь народ из шаблона limited ходит только по сайтам из allowurls, на остальные выдается самсовское сообщение с перечеркнутым приведением о том, что доступ запрещен.
Но каждый раз при изменение чего либа в самсе (после запуска оттуда рекофигруирования сквида), он возвращает все в зад неправильно.. как-то можно это вылечить? [Less]
Posted 14 days ago by DmitryChemerik
fixed:
больше такая ошибка не встречается, закрываю
Posted 15 days ago by PavelVinogradov
На странице создания БД указанны ссылки на русскую и английскую документацию:
http://localhost/sams2/doc/EN/index.html
http://localhost/sams2/doc/RU/index.html
а данные папки не существуют.
Posted 15 days ago by PavelVinogradov
Fix messages in Debian init script
Posted 15 days ago by PavelVinogradov
Update patch for sams2.conf
Posted 15 days ago by PavelVinogradov
Fix clean target without generated makefile
Copyright © 2009 Geeknet, Inc., All Rights Reserved.