Установка SAMS2 на FreeBSD 10.1, Squid 3.4 с NTLM авторизацией

Всё уже поставлено и работает на тестовом сервере, сейчас буду ставить на боевой сервер и, на всякий случай, задокументирую, что делалось, ибо не всё гладко прошло и пришлось править некоторые исходники SAMS'а...



буду ставить всё из портов, кроме sams'а :)

ставим samba:

# cd /usr/ports/net/samba41/
# make config-recursive
# make install clean

ставим squid:

# cd /usr/ports/www/squid
# make config-recursive
включим DELAY_POOLS, чтоб можно было регулировать полосу пропускания.
# make install clean

ставим php:

# /usr/ports/lang/php5

# make config-recursive
# make install clean

# /usr/ports/lang/php5-extensions

# make config

включим GD,LDAP,MYSQL,ZLIB

# make -DBATCH install clean

конфигурируем php:
# cp /usr/local/etc/php.ini-production /usr/local/etc/php.ini
в php.ini добавим строку
date.timezone = Europe/Moscow
где нибудь после [date].

ставим apache:

# cd /usr/ports/www/apache24

# make config-recursive
# make install clean

# cd /usr/ports/www/mod_php5

# make config
# make install clean

ставим mysql:

# cd /usr/ports/databases/mysql56-server

# make install clean

создадим конфиг для mysql в файле /usr/local/etc/my.cnf
[mysqld]

sql_mode=NO_ENGINE_SUBSTITUTION,STRICT_TRANS_TABLES

character-set-server=utf8
collation-server=utf8_general_ci
thread_concurrency = 8

query_cache_limit = 2M
query_cache_size = 16M

конфиг для samba в файле /usr/local/etc/smb4.conf:

[global]

workgroup = DOMAIN_NAME

server string = Proxy Server

security = ads

hosts allow = 192.168. 127.

load printers = no

log file = /var/log/samba4/log.%m

max log size = 50

realm = DOMAIN_NAME.LOCAL

domain master = no

preferred master = no

dns proxy = no

winbind separator = /

winbind use default domain = yes

winbind uid = 10000-20000

winbind gid = 10000-20000

winbind enum users = yes

winbind enum groups = yes

winbind refresh tickets = yes

winbind offline logon = true

winbind cache time = 600

конфиг /usr/local/etc/squid/squid.conf

auth_param ntlm program /usr/local/bin/ntlm_auth --diagnostics --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 20

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

acl authusers proxy_auth REQUIRED

http_access allow authusers

http_port 3128

coredump_dir /var/squid/cache

refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern -i (/cgi-bin/|\?) 0     0%      0

refresh_pattern .               0       20%     4320

# TAG: acl

# TAG: url_rewrite_access

# TAG: url_rewrite_program

# TAG: url_rewrite_children

# TAG: delay_pools

# TAG: delay_class

# TAG: delay_access


# TAG: delay_parameters

# TAG: http_access

# TAG: http_access2

# TAG: icp_access

#
http_access deny all

в /etc/rc.conf дописываем

samba_server_enable="YES"

squid_enable="YES"

mysql_enable="YES"

apache24_enable="YES"

samsd_enable="YES"

включимся в домен:

# net join -U Administrator

запустим самбу:

# /usr/local/etc/rc.d/samba_server start

проверим:

 # wbinfo -p

Ping to winbindd succeeded

# wbinfo -t

checking the trust secret for domain DOMAIN via RPC calls succeeded

# wbinfo -u

<список пользователей>

чтоб у squid был доступ к winbind и NTLM работало:

# pw group add winbind_priv

# pw user mod squid -G winbind_priv

# chown -R :winbind_priv /var/db/samba4/winbindd_privileged/

# /usr/local/etc/rc.d/squid start

должно уже работать и пускать всех доменных пользователей

ставим sams:

# cd ~

# svnlite checkout http://sams2.googlecode.com/svn/trunk/ sams2-read-only

в  ~/sams2-read-only/php/lang/lang.EN были юникодные пробелы "e2 a0". заменим:

# cp ~/sams2-read-only/php/lang/lang.EN ~/sams2-read-only/php/lang/lang.EN.bak && sed "s/`printf '\302\240'`/ /g" ~/sams2-read-only/php/lang/lang.EN.bak >~/sams2-read-only/php/lang/lang.EN

т.к. в squid 3.4 поменялся формат ответа редиректора, а в текущей версии sams - старый. надо дописать свой... samsredir2.cpp в ~/sams2-read-only/src

и поправить ~/sams2-read-only/src/Makefile.am

добавляем в конец строки sams2redir2

bin_PROGRAMS = samsparser sams2daemon sams2redir sams2redir2

и

sams2redir2_SOURCES = \

        dbconn.cpp dbquery.cpp debug.cpp ip.cpp localnetworks.cpp \

        logger.cpp mysqlconn.cpp mysqlquery.cpp odbcconn.cpp odbcquery.cpp \

        processmanager.cpp proxy.cpp samsconfig.cpp samsuser.cpp samsuserlist.cpp template.cpp \

        templatelist.cpp tools.cpp url.cpp samsredir2.cpp grouplist.cpp net.cpp pgconn.cpp \

        pgquery.cpp urlgrouplist.cpp urlgroup.cpp timerangelist.cpp timerange.cpp dns.cpp userlist.cpp \

        samsldap.cpp

собираем:

# cd ~/sams2-read-only

# make -f Makefile.cvs
# sh ./configure
# make
# make install

создадим новый файл /usr/local/etc/rc.d/sams
#!/bin/sh

. /etc/rc.subr

name="samsd"
rcvar=`set_rcvar samsd`
command="/usr/local/bin/sams2daemon"

load_rc_config $name
command_args="${samsd_server_flags}"
sig_stop="USR1"

run_rc_command "$1"

правим конфиг /usr/local/etc/sams2.conf (изменения):
DB_USER=sams
DB_PASSWORD=samspassword
SQUIDROOTDIR=/usr/local/etc/squid
SQUIDCACHEDIR=/var/squid/cache

SQUIDPATH=/usr/local/sbin
SHUTDOWNCOMMAND=echo 'why?'

с правами на запуск:
chmod 0555 /usr/local/etc/rc.d/sams

Запустим mysql:
# /usr/local/etc/rc.d/mysql-server start

сменим пароль рута с пустого, на нормальный

# mysqladmin password

# mysql -uroot -p

mysql> create schema sams2db;
mysql> grant all privileges on sams2db.* to sams@localhost identified by 'samspassword';
mysql> flush privileges;
mysql> exit

Настроим apache:
# echo "AddType application/x-httpd-php .php" >/usr/local/etc/apache24/Includes/php.conf

меняем в httpd.conf
<Directory />
    AllowOverride none
    Require all denied
</Directory>

на

<Directory />

    Options FollowSymLinks Indexes

    AllowOverride None

    Order allow,deny

    Allow from all

</Directory>

Alias /sams2/doc /usr/local/share/doc/sams2-2.0.0

Alias /sams2 /usr/local/share/sams2

запускаем apache, sams:

# /usr/local/etc/rc.d/apache24 start

# /usr/local/etc/rc.d/sams start

в браузере через http://proxy/sams2/setup.php установим базу, пользователя создавать не нужно т.к. мы его уже создали...

далее настраиваем всё через

http://proxy/sams2/index.php

логин admin

пароль qwerty

пароль лучше сразу сменить...

SAMS/Авторизация

Активируем Active Directory, настраиваем,

Протестируем подключение

SAMS/SQUID/Proxy server

Домен по умолчанию ставим свой,

Настройка авторизации пользователя - adld

Автоматически очищать счётчики трафика пользователей - включаем.

файл перенаправления запроса - ставим свой IP вместо your.ip.address

Путь к каталогу, где лежат файлы запрета запроса - ставим свой IP вместо your.ip.address

Редиректор - встроенный SAMS

delaypool включаем

Сохранять данные о трафике в базе за последние - 1 месяц хватит.

создаём:

Шаблоны пользователей
Пулы ограничения скорости
Группы пользователей
предустановленные лучше удалить...

в /etc/crontab добавим

*/10    *       *       *       *       root    cd /usr/local/share/sams2; /usr/local/bin/php bin/syncfromad

пользователи добавятся, но в squid.conf они появятся только после реконфигурирования SQUID'а... надо syncfromad поправить, чтоб это делалось автоматом

после очередной реконфигурации SQUID в squid.conf должны быть подобные строчки:

# TAG: acl
acl Sams2Time1 time MTWHFAS 23:00-23:59
acl Sams2Template2 proxy_auth Administrator

acl Sams2Template2 proxy_auth User

# TAG: url_rewrite_access
acl Sams2Proxy dst 192.168.4.62
url_rewrite_access deny Sams2Proxy

# TAG: url_rewrite_program
url_rewrite_program /usr/local/bin/sams2redir

# TAG: url_rewrite_children
url_rewrite_children 5

Меняем там sams2redir на sams2redir2

удаляем строчки

acl authusers proxy_auth REQUIRED

http_access allow authusers

http_access deny all

и перезапускаем squid.

# killall -u squid && /usr/local/etc/rc.d/squid restart

Пока всё.