Главная / Форумы / SAMS / Squid Account Management System (SAMS)

Статья SAMS+OpenLdap

kjt аватар
kjt, 19.06.2009 — 08:24

Здрасте, все)

Перерыл весь форум. Все темы старые все ссылки с файлами уже не рабочие...
Может кому все таки удалось подружить SAMS и OpenLdap, напишет статью?

P.S. FBSD 7.0

‹ Подвисает samsdaemon ???? Неправильный учет трафика ›
tonik, 03.08.2009 — 18:39

Где-то лог пропал, приложу еще раз.
Насчет -1 понял, что это относится к индивидуальному лимиту, если его нет, то лимит шаблоновский. Но при его преодолении вообще ничего не происходит, даже цвет иконки не меняется :(

tonik, 31.07.2009 — 15:22

И снова проблемы :)
То юзеры отключались без оглядки на трафик, при этом их иконки становились красненькие. Я перечитал access.log, отключения прекратились, но теперь при истечении лимита та же проблема, иконка пользователя становится не красненькой, а желтенькой с маленьким мигающим кружком и отключение не происходит.

tonik, 31.07.2009 — 12:59

Юзеры отключаются!
Но только со строчкой в конфиге сквида:
url_rewrite_program /usr/local/bin/samsredir
У меня был сквидгард, с ним не отключает, есть возможность его использовать вместе с самсредиром?
Щас как-то нормализовалось и у всех показывается правильный трафик, но осталась одна проблема. Я проставил всем безлимит и некоторые пользователи отключаются как превысившие лимит хотя никакого лимита нет, я их снова активирую, а они снова отключаются.
Я наверное много пишу.

tonik, 31.07.2009 — 11:47

Вот часть лога погрепаная по пользователю USER. Для него был выставлен лимит в 75 МБ, в логе часть записей при переходе этого барьера, ничего не происходит.
Еще при импорте пользователям присваивается шаблон с лимитом 100 МБ, но в таблицу squiduser, поле s_quote идет запись -1. Квота ставится только если ее явно давать каждому юзеру отдельно. И эти юзеры со значением -1 начинают переходить в статус "превысил лимит" в произвольном порядке, но реально они все равно не отключаются.

tonik, 30.07.2009 — 18:25

В табличке samslog только записи о запусках и переконфигурациях. Запустил samsdaemon с ключами дебага 9-го уровня и записью логов в файл.

tonik, 30.07.2009 — 19:02

Да, у меня теперь та же самая проблема. Поработало пару часов нормально и везде вперед полезло 32ГБ. После чистки таблиц результат тот же.
Через время тоже вылезла цифра 131068 Gb. В детальной статистике цифра нормальная.
Но вообще поведение более чем странное, через время эти цифры у одних пользователей исчезают, вместо них встают нормальные, у других же наоборот появляются.
И насколько я понял это зависит от перезапуска samsdaemon-а.

tonik, 30.07.2009 — 17:49

Да, но что-то с ревизией 647 у меня было не то, способ я выбрал, а вот подветка так и не появилась и я не знал куда эти параметры записать.
С ревизией 650 после полной переустановки все сразу запустилось. Импорт проходит успешно, авторизация тоже, при условии, что был создан новый шаблон и в нем был указан метод авторизации LDAP. Напишу для всех, что в шаблоне Default метод стоит IP.

mclight77, 30.07.2009 — 16:38

нужно поставить уровень отладки 9 и выложить логи (или посмотреть самому :) ), правда, со временем у меня сейчас очень туго, не обещаю что быстро посмотрю...

tonik, 30.07.2009 — 16:01

Зачекаутил 650-ю ревизию, собрал, появилась форма для настройки LDAPа, пользователей вытянул.
Трафик считает правильно вроде, а вот пользователей не отключает за превышение.

FreeBSD 7.0-RELEASE
Squid Version 2.6.STABLE16
openldap-server-2.3.41

mclight77, 30.07.2009 — 15:42

то что указано выше нужно добавлять не в sams2.conf

в веб интерфейсе в левом окне выбрать ветку Authorisation, В правом окне отметить LDAP и нажать кнопку Configure. Тогда в левом окне появится подветка LDAP. Выбрать ее, в нижнем трее нажать иконку "LDAP Authorization configure" и в правом окне заполнить соответствующие параметры.

надеюсь, что речь идет про sams2 ревизии 647 или выше. В sams 1.x этой возможности нет.

tonik, 30.07.2009 — 12:26

У меня из openldap`а пока ничего не тянется и запросов не видно.
Уважаемые linuxsu и mclight77, куда я должен прописать эти настройки, чтобы мог вытянуть пользователей и они могли авторизоваться на вход в САМС?
Уже добавлял в sams2.conf в том виде, что приведен выше и заполнял поля в таличке proxy, но пока безрезультатно.

linuxsu аватар
linuxsu, 20.07.2009 — 20:23

в общем, получается непонятная фигня. Одна и та же ошибка в разных версиях Squid и разных версиях оперционки. Похоже, глюк конкретно этой сборки SAMS. ждем, пока подправят....

linuxsu аватар
linuxsu, 13.07.2009 — 10:19

Сорри за отсутствие

Ось такая:

FreeBSD test_domain.uss.ru 7.2-RELEASE FreeBSD 7.2-RELEASE #0: Tue Jun 2 14:43:21 MSD 2009 :/usr/obj/usr/src/sys/ldap amd64

access.log в аттаче

mclight77, 29.06.2009 — 11:37

а можешь кинуть access.log? для уменьшения объема можно оставить только строчки с Administrator, ну и запаковать )))
и про операционку скажи какая. битность тоже интересует.

linuxsu аватар
linuxsu, 26.06.2009 — 23:01

только что установил squid 3.0 и самс на абсолютно свежую систему.... Таже фигня с подсчетом траффика....

linuxsu аватар
linuxsu, 26.06.2009 — 20:26

Нифига не помогло.... Откуда вообще эта цифра могла появиться?

mclight77, 26.06.2009 — 17:34

мда, весьма интересно... как так получилось, пока идей нет, но вот что интересно:
Got cachesum for Administrator: cachesum_size=256607106, cachesum_hit=34361667304
т.е. кешированный трафик больше чем общий! Наверняка стоит подсчет реального трафика (скачанного с инета). При попытке из меньшего отнять большее уходим в минуса, а минус, интерпретируя как беззнаковое, дает большой плюс :)

На будущее, буду думать как избежать этого. сейчас советую сделать:

1) остановить squid
2) остановить sams2
3) Пересчитать трафик в веб интерфейсе
4) запустить squid
5) запустить службу sams2

надеюсь, это поможет

linuxsu аватар
linuxsu, 26.06.2009 — 17:04

со сквидом разобрался, все заработало..

Редиректор стандартный SAMS

По поводу цифр...

после пересчета траффика и начала работы имею:

Nickname: Administrator
Домен: workgroup
IP адрес: 192.168.1.18
Имя:
Отчество:
Фамилия:
Группа: Administrators
Статус: Активен
Квота на скачивание: unlimited
Получено: 131068 Gb 000 Mb 687 Kb
Шаблон: Default

лог в аттаче

mclight77, 26.06.2009 — 16:33

> В squid.conf добавляются строчки
> acl Sams2Proxy dst your.ip.address
> url_rewrite_access deny Sams2Proxy

вместо your.ip.address должен быть адрес хоста. В свойствах прокси сервера подправь параметр "файл перенаправления запроса". Хотя согласен, проверку надо бы сделать.

по поводу неправильных цифр - включи отладку на 9м уровне, пересчитай трафик пользователей из веб интерфейса, и как этот глюк снова проявиться - логи в студию :)

кстати, редиректор какой?

kjt аватар
kjt, 26.06.2009 — 14:18

Дык 1.0.4 я ставил. Она у меня работало, единственной что там для ОпенЛдапа ктото пару файликов правил...

Но я пытался ставить 2-0, там все как то подругому ставиться...

linuxsu аватар
linuxsu, 26.06.2009 — 11:34

Запустил, вроде все зараболо...
Но объявился непонятный глюг....

Захожу на вкладку "Пользователи", он мне соответственно выкидывает список всех пользователей с объемом потребленного траффика... ток цифра почему-то ровно на 32 Gb больше, чем нужно... Когда смотришь детальную статистику, все нормально...В чем косяк?

Через минут 10 работы под этим пользователем цифра скакнула до 131068 Gb.....

И еще один косяк... Не отключает пользователей...

Squid 3.0 Stable 15

В squid.conf добавляются строчки

acl Sams2Proxy dst your.ip.address
url_rewrite_access deny Sams2Proxy

Соответственно при реонфигурировании squid на них ругается.....

linuxsu аватар
linuxsu, 26.06.2009 — 09:24

сначало нужно разобраться, как оно все работает, а потом и инструкцию делать )))
если хочешь, вот сцылка, как установить и настроить 1.0.4 на FreeBSD

http://www.lissyara.su/?id=1718

kjt аватар
kjt, 26.06.2009 — 07:41

Может кто-нить все таки накидает инструкцию по установки на FreeBSD 7, sams2
там все как то подругому ))) не так как в 1.0.4

linuxsu аватар
linuxsu, 25.06.2009 — 17:04

спасибо большое, счаз буду тестить

mclight77, 25.06.2009 — 16:47

забирай
сейчас там лежит ревизия 647
http://www.kitlinkor.ru/files/sams/sams2-2.0.0-latest.tar.bz2

linuxsu аватар
linuxsu, 25.06.2009 — 16:32

выложи пожалуйста. Буду очень тебе благодарен )))

и даш потом сцылку...

mclight77, 25.06.2009 — 14:53

определенно старая. Там ldap мог не работать. Из trunk забрать можешь? Если нет - я выложу у себя.

linuxsu аватар
linuxsu, 25.06.2009 — 13:51

ставил эту:

http://nixdev.net/release/sams/devel/sams-2.0.x-a2-latest.tar.bz2

mclight77, 25.06.2009 — 13:10

а ревизия какая? может, старая?

linuxsu аватар
linuxsu, 25.06.2009 — 10:44

Судя по логам openldap

invalid dn (uid=Administrator,,dc=uss,dc=ru)

не подставляется ou=Users

сответственно не проходит авторизация...

mclight77, 24.06.2009 — 16:35

непонятно почему авторизация в ldap не проходит. У меня с пол-пинка завелось на машине, установленной с нуля. Видимо, нужно логи изучать всего чего только можно.

перечитать access.log можно так:
1) остановить службу sams2
2) очистить таблицы squidcache и cachesum
3) обнулить поля s_size и s_hit в таблице squiduser
4) обнулить поле s_endvalue в таблице proxy
5) запустить службу sams2

linuxsu аватар
linuxsu, 24.06.2009 — 12:32

И еще вопрос? как заставить sams перечитать access.log?

linuxsu аватар
linuxsu, 24.06.2009 — 11:54

да

mclight77, 24.06.2009 — 11:41

в шаблоне пользователя стоит авторизация ldap?

linuxsu аватар
linuxsu, 24.06.2009 — 11:26

заработало со следующими настройками:

Server 192.168.1.161
Base DN dc=uss,dc=ru
Bind DN cn=manager,dc=uss,dc=ru
Bind password ************
Users RDN ou=Users
Users filter (&(objectClass=posixAccount))
Groups RDN ou=Groups
Groups filter (&(objectClass=posixGroup))

Онако все равно не могу залогиниться пользователем для просмотра статистики.

в логах опенлдап следующее:

Jun 24 10:23:49 test_domain slapd[483]: conn=4584 fd=34 ACCEPT from IP=192.168.1.161:65216 (IP=0.0.0.0:389)
Jun 24 10:23:49 test_domain slapd[483]: conn=4584 op=0 do_bind: invalid dn (uid=Administrator,,dc=uss,dc=ru)
Jun 24 10:23:49 test_domain slapd[483]: conn=4584 op=0 RESULT tag=97 err=34 text=invalid DN
Jun 24 10:23:49 test_domain slapd[483]: conn=4584 op=1 UNBIND
Jun 24 10:23:49 test_domain slapd[483]: conn=4584 fd=34 closed

И не считает раффик...

Буду ковырять дальше...

mclight77, 21.06.2009 — 10:13

Фильтр по пользователям и группам указан не верно.
либо вообще его убрать, либо поставить корректный. потому и пусто все.

DogEater, 19.06.2009 — 22:27

тогда пробуй из вторую версию из trunk
про фрюху сказать ничего не могу, на шапкообразних линуксах собирается и с ldap работает.
добавление и авторизация точно работают.
есть ещё скрипт синхронизации пользователей с АД/LDAP, но у меня до попробовать его пока руки не дошли.
---------------------------------------------
Fedora Core release 2
httpd-2.0.52-3.1asp
mysql-3.23.58
php-4.3.9-3
squid-2.5.STABLE6-2asp
samba 3.2.0
sams-1.0.4-credit.0
samsredir
ip+ncsa (но это не надолго)

linuxsu аватар
linuxsu, 19.06.2009 — 15:14

Сделал вот так:

Server 127.0.0.1
Base DN dc=uss,dc=ru
Bind DN cn=manager,dc=uss,dc=ru
Bind password *****
Users RDN ou=Users
Users filter cn
Groups RDN ou=Groups
Groups filter cn

В итоге тоже самое.

Jun 19 14:02:29 test_domain slapd[483]: conn=1855 fd=29 ACCEPT from IP=127.0.0.1:51994 (IP=0.0.0.0:389)
Jun 19 14:02:29 test_domain slapd[483]: conn=1855 op=0 BIND dn="cn=manager,dc=uss,dc=ru" method=128
Jun 19 14:02:29 test_domain slapd[483]: conn=1855 op=0 BIND dn="cn=manager,dc=uss,dc=ru" mech=SIMPLE ssf=0
Jun 19 14:02:29 test_domain slapd[483]: conn=1855 op=0 RESULT tag=97 err=0 text=
Jun 19 14:02:29 test_domain slapd[483]: conn=1855 op=1 UNBIND
Jun 19 14:02:29 test_domain slapd[483]: conn=1855 fd=29 closed

DogEater, 19.06.2009 — 14:32

попробуй из RDN вычесть base dn и посмотри, что получится.
---------------------------------------------
Fedora Core release 2
httpd-2.0.52-3.1asp
mysql-3.23.58
php-4.3.9-3
squid-2.5.STABLE6-2asp
samba 3.2.0
sams-1.0.4-credit.0
samsredir
ip+ncsa (но это не надолго)

linuxsu аватар
linuxsu, 19.06.2009 — 12:45

есть небольшая проблемка с подключением к OpenLdap.
забил такие параметры аутентификации LDAP:
Server 127.0.0.1
Base DN dc=uss,dc=ru
Bind DN cn=manager,dc=uss,dc=ru
Bind password *****
Users RDN ou=Users,dc=uss,dc=ru
Users filter cn
Groups RDN ou=Groups,dc=uss,dc=ru
Groups filter cn

При попытке просмотра пользователей LDAP ничего не находит, а в логах OPENLdapa появляется следующие записи:

Jun 19 11:41:14 test_domain slapd[483]: conn=1785 fd=29 ACCEPT from IP=127.0.0.1:60376 (IP=0.0.0.0:389)
Jun 19 11:41:14 test_domain slapd[483]: conn=1785 op=0 BIND dn="cn=manager,dc=uss,dc=ru" method=128
Jun 19 11:41:14 test_domain slapd[483]: conn=1785 op=0 BIND dn="cn=manager,dc=uss,dc=ru" mech=SIMPLE ssf=0
Jun 19 11:41:14 test_domain slapd[483]: conn=1785 op=0 RESULT tag=97 err=0 text=
Jun 19 11:41:14 test_domain slapd[483]: conn=1785 op=1 UNBIND
Jun 19 11:41:14 test_domain slapd[483]: conn=1785 fd=29 closed

т.е. не происходит передачача параметров поиска по базе.....

____________

FreeBSD 7.2
OpenLdap 2.4.16_1
SAMS 2.0.0.a2

mclight77, 19.06.2009 — 10:42

нет желания попробовать версию 2.0?
там это все на ура работает. хоть версия и не продакшн.
а писать статью на старую версию мне совсем не хочется, тем более что из ветки 1.х уже ничего не стоит, на обоих серверах использую 2.0 (постоянно из trunk)

если она под FreeBSD откомпилируется...

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".