У многих, кто управляет прокси-сервером Squid на предприятии, есть потребность периодически демонстрировать статистику пользования интернетом сотрудниками руководству. Для представления статистики дополнительно к Squid устанавливается анализатор журналов типа SARG, Lightsquid и т.д. При этом зачастую в организации развёрнута служба каталогов (предполагается, это Active Directory), в которой у всех сотрудников есть учётные записи и авторизация в прокси-сервере идёт на основе учётных записей. Естественно, для руководства, когда оно смотрит отчёт, удобней идентифицировать сотрудника по имени и фамилии. На удивление, во многих форумах и IT-порталах эту задачу предлагают решать вручную, забивая имена и фамилии в конфигурационные файлы анализатора журналов. У этого решения есть недостаток — при зачислении/увольнении какого либо сотрудника конфиги придётся редактировать.
Эта статья описывает метод автоматического извлечения данных о фамилии и имени сотрудников из ActiveDirectory и их вставку в отчёты Lightsquid.
Задача: обеспечить вывод отчётов через Lightsquid по каждому пользователю Active Directory, заходившего в интернет, с указанием его имени и фамилии (забегая вперёд, скажу, что в AD этой информации соответствует поле «выводимое имя», в LDAP-запросах на него ссылается переменная displayName)
Исходные данные:
- -Настроенный и корректно работающий Squid 3.3.8 с авторизацией ntlm
- -в конфиге Squid присутствуют следующие строки:
logfile_rotate N debug_options rotate=Mгде N и M -максимальное количество файлов журнала, которые Squid может создать
logfile_rotate — для access.log, debug_options -для cache.log - -Настроенный и корректно работающий Apache 2.4.7
- -Настроенный и корректно работающий Lightsquid 1.8 ()
- -в конфиге Lightsquid есть переменная $lang = «ru»
Решение:
Сначала я опишу механизм передачи данных о ФИО в Lightsquid из ActiveDirectory, затем приведу его реализацию.
Сведения о ФИО представлены в AD в свойствах доменного пользователя, в поле «Выводимое имя». Для получения сведений от AD необходимо взаимодействовать с ним через LDAP-запросы. При этом взаимодействовать можно только от имени авторизованного пользователя домена. Поскольку Lightsquid написан на Perl, для выполнения этих запросов потребуется модуль Net::LDAP. А для автоматического вывода в отчёте сведений из AD необходимо заменить простое получение логина от squid на выполнение LDAP-запроса.
Вначале необходимо создать в AD учётку с максимально ограниченными правами, которая будет использоваться для выполнения LDAP-запросов. Для этого запустите оснастку «Active Directory- пользователи и компьютеры» и создайте нового пользователя. Дайте ему название, выражающее его предназначение. Например, LightSquidAgent. Затем создайте новый объект групповой политики и войдите в его свойства (или в свойства существующего объекта). Далее Конфигурация компьютера->Конфигурация Windows->Параметры безопасности->Локальные политики->Назначение прав пользователя. В параметре «Отказ в доступе к компьютеру из сети» введите LightSquidAgent. В параметре «Отклонить локальный вход» тоже введите LightSquidAgent.
Теперь установим в Perl модуль Net::LDAP. Запускаем bash или аналогичную командную оболочку и выполняем
perl -MCPAN -e shell
. После входа в интерпретатор cpan выполняем
install Net::LDAP
. Далее программа установки выведет вопрос, хотим ли мы позволить ей выполнить авто-конфигурирование. Просто жмём Enter. В конце вы должны увидеть
LDAP module was installed successfully
.
После этого можно править код, генерирующий отчёты. Заходим в папку с установленным LightSquid, переходим в папку ip2name и открываем файл ip2name.squidauth. Он должен выглядеть так:
#contributor: esl
#specialy for squid with turned on user authentication
#simple version
sub StartIp2Name() {
}
sub Ip2Name($$$) {
# $Lhost,$user,$Ltimestamp
my $Lhost=shift;
my $user =shift;
$user =URLDecode($user); #decode user name
return $user if ($user ne "-");
return $Lhost;
}
sub StopIp2Name() {
}
#warning !!!
1;
В шапке файла нужно прописать пространства имён, в которых лежат нужные нам функции:
#contributor: esl
#specialy for squid with turned on user authentication
#simple version
use strict;
use warnings;
use Net::LDAP;
use Encode;
Финал: заменяем определение функции Ip2Name.
Вместо
sub Ip2Name($$$) {
# $Lhost,$user,$Ltimestamp
my $Lhost=shift;
my $user =shift;
$user =URLDecode($user); #decode user name
return $user if ($user ne "-");
return $Lhost;
}
вставляем
sub Ip2Name($$$) {
# $Lhost,$user,$Ltimestamp
my $Lhost=shift;
my $user =shift;
$user =URLDecode($user); #decode user name
return $Lhost if ($user eq "-");
my $server = "ldap://ourserver.domain.com";
my $ldap = Net::LDAP->new( $server ) or die $@;
my $message = $ldap->bind(q(domainLightSquidAgent), password => "password");
die $message->error() if $message->code();
my $result = $ldap->search(
base => "dc=domain,dc=com",
filter => "(&(objectCategory=person)(objectClass=user)(sAMAccountName=" . $user . "))",
);
my $first_entry_with_displayName = $result->entry(0);
my $pure_displayName = $first_entry_with_displayName->get_value("displayName");
$pure_displayName =~ s/ /_/g;
Encode::from_to($pure_displayName, 'utf-8', 'windows-1251');
$message = $ldap->unbind;
return $pure_displayName;
}
Объективная критика приветствуется
Автор: mmmax
