Страница 1 из 4

Squid eDir

СообщениеДобавлено: 24 июл 2006, 16:54
Aleksey(ishua)
Может кто нить знает, есть ли для сквида програмки вроде Novell Client Trust...
а то на скока понимаю перевести на Сквид пользователей eDir не столь проблемматично, но вот повторно вбивать пароль в браузер, как то это .... ну не так :)

СообщениеДобавлено: 25 июл 2006, 01:29
Танин Виктор
Если не ошибаюсь, где-то с год назад Сергей Дубров упоминал о дипломной работе одного студента, посвящённой именно этому клиенту. Вот одно из упоминаний http://novell.org.ru/forum/viewtopic.php?p=37907&highlight=#37907

Однако далее этот вопрос не продвинулся, либо я просто пропустил.

Re: Squid eDir

СообщениеДобавлено: 25 июл 2006, 04:41
Андрей Тр. aka RH
Aleksey(ishua) писал(а):Может кто нить знает, есть ли для сквида програмки вроде Novell Client Trust...
ИМХО нет - иначе я тоже такую хочу :)

СообщениеДобавлено: 25 июл 2006, 11:54
Aleksey(ishua)
гм, ждем ответа Сергея....

СообщениеДобавлено: 25 июл 2006, 15:26
Иван Левшин aka Ivan L.
А у нас есть и работает уже год :lol: Я уже писал об этом. Если интересно - могу поделиться. Потому как решение, так сказать, еще не вышло из стадии альфа тестирования, а тестировать надо. ivan.cit.AT.nirhtu.ru - отвечу всем заинтересовавшимся.

Касаемо дипломной работы студента Сергея - сейчас уже не помню, но, как мне кажется, там использовалась связка готовых компонентов. И совершенно другая идеология.

СообщениеДобавлено: 25 июл 2006, 16:52
Андрей Тр. aka RH
Иван, работает уже год - и все еще в альфе ? Как-то это .. надо активнее тестировать, конечно ! :)

Для меня этот "типа клиенттраст" для Сквида достаточно актуален не столько по причине, что в облом второй раз вбивать имя/пароль .. сколько потому, что потенциально некоторые юзеры, знающие чужие пароли ( своих же собратьев по разуму ) могут логиниться в сеть под своим именем, а в Инет тогда заходить под чужим паролем - и заливать скаченное в свой домашний каталог, к примеру. Клиенттраст бы их аутентифицировал прозрачно, не давая возможности использовать другое имя - со всеми вытекающими. Так что надо бы потестить ..

СообщениеДобавлено: 25 июл 2006, 17:07
Aleksey(ishua)
отпишался:) готов потестить %)

на всяк я тот который aaa3bbb гавкает yandex.ru

СообщениеДобавлено: 25 июл 2006, 20:55
Иван Левшин aka Ivan L.
Иван, работает уже год - и все еще в альфе ? Как-то это .. надо активнее тестировать, конечно !

Андрей... Я, помнится, объяснял тебе причину столь медленного продвижения разного рода инициатив в рядовом советском вузе :) Это, по большому счету, никому, кроме нас, не нужно, если разработчики за систему, которая экономит нам внешний трафик (недешевый - порядка 8 центов/метр), от руководства получили скупое "спасибо" - потому все так медленно и двигается.

По поводу непосредственно системы - уже писал, но еще раз повторюсь.

1. Ядро системы составляют сквид (который работает в своем основном качестве - т.е. обеспечивает проксирование хттп-трафика), едир (выступает в качестве авторизатора), самописный демон, следящий за потреблением трафика и блокированием доступа в случае, если клиент выкачивает то, что ему положено.

2. Система работает примерно так (примерно - потому как я занимался исключительно тем, что заставлял разработчиков делать то, что мне нужно - но сам при этом ни строчки кода не набил).
Клиент авторизуется с помощью Novell Client32 на рабочей станции. В логин-скрипте вбит запуск клиентской части системы слежения. Тот самый демон выступает в качестве внешнего аутентификатора для сквида (реализовано, если мне не изменяет память, через внешний ACL). Общение с клиентом производится так: демон посылает запрос клиентской части - кто, дескать, работает. Клиент выдает ему ответ - допустим, Вася Пупкин. Демон лезет в едир посредством ЛДАП и проверяет - можно ли Васе Пупкину в принципе пользоваться инетом. Если можно - смотрит, сколько ему еще осталось. Если Васе все можно и у него ненулевой баланс - посылает ответ сквиду, что Вася может пройти в инет. После того, как на васин пакет получен ответ - демон считает его объем и плюсует к потребленному Васей трафику. По истечении лимита демон закрывает соединение и блокирует дальнейший доступ несчастному Васе.

В настоящий момент в системе реализовано: система авторизации, построенная на группах в едире, система блокировки ну и, естественно, аналог клиенттраста. Обкатывается - назначение лимита в нескольких группах (допустим, товарищ числится в нескольких подразделениях и ему отовсюду помаленьку назначают лимит).
Также парни написали веб-морду, посредством которой все это безобразие управляется. Снапинов ни к нвадмину, ни к К1, ни, тем более, к иманагеру никто у меня писать не умеет. Веб-морда работает на связке пхп+мускуль. Кое-где выглядит не особо приглядно - но, тем не менее, работает.

По поводу лимита - если не нужна блокировка, можно лимит выставить в -1 и блокиратор просто не будет работать :)

P.S. А насчет альфы/беты - я эту поделку и альфой-то назвал так, навскидку. У нас - вроде все работает. Но по личному опыту знаю, что в иных условиях оно может и вскорячиться колом. Потому тестеры и надобны :)

СообщениеДобавлено: 26 июл 2006, 01:03
Танин Виктор
to Иван Левшин aka Ivan L.
Во время моей работы в ВУЗе аналогичная идея даже не получила поддержки. Хотя и программисты были, которых можно озадачить, да видать нужно было только адинистраторам. Хоть из того ВУЗа я ушёл, однако с радостью бы попытался потестить вашу программку (всё равно там своим коллегам помогаю). Письмо вам уже пишу;)

СообщениеДобавлено: 26 июл 2006, 07:56
Андрей Тр. aka RH
Иван Левшин aka Ivan L. писал(а):Андрей... Я, помнится, объяснял тебе причину столь медленного продвижения разного рода инициатив в рядовом советском вузе :)
Иван, да я, в общем-то, представляю :) сам же работал в рядовом советском ВУЗе. А здесь у нас и разработчиков-то нет вообще - у вас хоть кого-то можно припахать. Что-то я не помню, чтобы читал про эту вашу систему .. Вообще, меня интересует и учет трафика с ведением баланса, но мы пока присматриваемся к паре коммерческих софтин - одна из них должна через 2-3 недели выйти в бете для Линуха, а там вскоре обещают и релиз. У них довольно много интересных фич, типа генерации карточек для продажи юзерам - т.е. не надо вручную службе поддержки пополнять баланс, собирать дань и пр. - распечатал карточек и отдал в киоск. Хотя если ваша система работоспособна, да еще сделана с учетом интеграции с еДиром - то тоже альтернатива ! Как я понимаю, это усе работает на OES / SLES9 без проблем ? А Мускул там каким боком, чего именно хранится в локальной базе ?

Я так понимаю, что в вашем случае тот клиенттраст работает в паре с демоном на Линуксе ? т.е. если мне хочется просто сделать прозрачную аутентификацию для самого Сквида ( забудем пока про трафик и пр. ), то это ведь возможно ?

СообщениеДобавлено: 26 июл 2006, 10:10
Сергей Дубров
Aleksey(ishua) писал(а):гм, ждем ответа Сергея....

Студент (уже аспирант) успешно продвигается в нужном направлении, то, что хотелось от этой связки со сквидом - работает. Аналоги клиенттраст написаны под винды и линухи, т.е., проблем для терминальных серверов и многопользовательских машин - нет. Подробности лучше узнавать у самого аспиранта, но он сейчас в отпуске (я, кстати, тоже :)).

В этом году, надеюсь, мы окончательно похороним старые NW4.11 сервера и переедем на NW6.5, после чего и начнётся реальное внедрение самописанного софта в жизнь. Сильно подкосил и задержал переезд на NW6.5 переход на Arcserve r11.1 и подвисшая покупка сервера (к осени должно решиться).

СообщениеДобавлено: 26 июл 2006, 12:23
Иван Левшин aka Ivan L.
Андрей Тр. aka RH писал(а):Хотя если ваша система работоспособна, да еще сделана с учетом интеграции с еДиром - то тоже альтернатива ! Как я понимаю, это усе работает на OES / SLES9 без проблем ? А Мускул там каким боком, чего именно хранится в локальной базе ?

Я так понимаю, что в вашем случае тот клиенттраст работает в паре с демоном на Линуксе ? т.е. если мне хочется просто сделать прозрачную аутентификацию для самого Сквида ( забудем пока про трафик и пр. ), то это ведь возможно ?


Да, система вполне работоспособна и абсолютно спокойно работает с едиром - в частности, лимиты и прочая дрянь назначаются пользователю именно в едире.

Мускуль надобен для веб-морды :) Не помню, хранит ли демон свою информацию в базе или в памяти - об этом надо говорить с разработчиком.

Прозрачная авторизация на сквиде работает - проверено. Касаемо трафика - я уже писал, что можно блокировку отключить в принципе для конкретных пользователей.

Сергей Дубров - очень интересно было бы посмотреть на то, что получилось у Ильи :) Насколько я помню, там была связка с радиусом?

СообщениеДобавлено: 26 июл 2006, 12:29
Aleksey(ishua)
Иван Левшин aka Ivan L.
так как на счет потрогать модули?
обязуюсь без ведома автора не расспростронять, и никуда не выкладывать.
я вам еще вчера отписал... или почта моя выше....

СообщениеДобавлено: 27 июл 2006, 12:34
PavelK
я отвечаю на вопрос заданный Ивану Лёвшину о программе управления траффиком, с прозрачной аутентификацией. Система работает на SuSE 9 и состоит из 1) демона, считающего траффик пользователей, 2) пропатченого SQUID`а (патч для обрыва соединения пользователя превысевшего свой лимит), 3) externalACL программы для SQUID`а, для прозрачной авторизации в нём и записи в логах SQUID`а имени пользователя, а не IP, 4) pipe-программы типа squid2sql, записавающей всё что пишет SQUID в лог в базу MySQL 5.x.x, для составления стастики и т.д., 5) вин-клиента, наподобие ClientTrust, идентифицирующий пользователя по данным от Novell Client. При запросе пользователя SQUID обращается к externalACL о том кото работает и можно ли ему работать, тот обращается к демону. который идентифицировав пользователя через вин-клиент, проверяет его лимит через LDAP в eDirectory. Соответсвенно SQUID получает в ответе либо имя пользователя, либо ошибку идентификации и не разрешает работать. Информация о том кто сколько в данный месяц съел хранится так же в MySQL. Вин-клиент запускается стартовым скриптом Novell Client`а. Инсталятора для Linux ещё нет поэтому используется стартовый скрипт для запуска всех программ при старте сервера и для остановки при прегрузки/выключения. Веб-интерфейс повязан с eDirectory и позволяет задовать лимит пользователю/подразделению на месяц, назначать операторов подразделения и т.д. Если есть желание потестировать - пишите на e-mail - опишу подробнее и вышлю или готовые файлы ли исходники как получится

СообщениеДобавлено: 27 июл 2006, 13:11
Иван Левшин aka Ivan L.
Собственно, PavelK и есть тот самый мой девелопер :)

Т.к. ПалАнатолич, как и свойственно гениям, забыл запостить свой адрес - пишите мне, я уже все передам.