вторник, 31 июля 2012 г.

sendmail, белый адрес (список)

Sendmail, настроены  dnsbl. Надо принять почту с сервера попавшего в blacklist.
Откроем конкретный адрес per-----ya@o---m.ru

#
#7x.xxx.xx.67   OK
#o---m.ru     OK
#Spam:адрес@     FRIEND
#Spam:per-----ya@o---m.ru    FRIEND
#Connect:oncokam.ru     OK
From:per-----ya@o---m.ru     OK
#

суббота, 21 июля 2012 г.

Изменение буквы системного или загрузочного диска

Предупреждение. Не используйте данную методику для изменения букв дисков, назначенных операционной системой — это может привести к тому, что операционная система перестанет загружаться. Рассмотренная методика предназначена только для восстановления работоспособности после изменения букв дисков. Перед выполнением описанных ниже действий создайте резервную копию системного реестра.

Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
249321 Не удается войти в систему после изменения буквы диска с загрузочным разделом
В статье приводятся инструкции по изменению буквы системного или загрузочного диска Windows. Корпорация Майкрософт рекомендует не изменять буквы дисков (особенно — буквы, присвоенные дискам при установке Windows). Внесение таких изменений оправдано только в тех случаях, когда буквы дисков были изменены без ведома пользователя. Это может быть вызвано разделением зеркального тома на разделы или изменением конфигурации диска. В таком случае необходимо восстановить исходное назначение букв дисков.

Чтобы изменить или поменять местами буквы дисков или томов (если это не удается сделать с помощью оснастки «Управление дисками»), выполните следующие действия.

Примечание. В приведенных ниже инструкциях предполагается, что буква диска D была присвоена неправильно и должна быть изменена на букву, назначенную в данный момент диску С.

В результате выполнения описанных ниже действий буквы дисков C и D поменяются местами. Если необходимо просто изменить букву диска, присвойте параметру \DosDevice\буква: в качестве значения любую букву, которая не используется на данный момент.

Изменение буквы системного или загрузочного диска

Предупреждение. Неправильное изменение параметров системного реестра с помощью редактора реестра или любым иным путем может привести к серьезным неполадкам, требующим переустановки операционной системы. Корпорация Майкрософт не гарантирует устранения этих неполадок. При изменении реестра полагайтесь на свой опыт и знания.
  1. Создайте резервную копию состояния системы и данных, находящихся на компьютере.
  2. Войдите в систему с правами администратора.
  3. Запустите программу Regedt32.exe.
  4. Перейдите к следующему разделу реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
  5. Щелкните раздел MountedDevices.
  6. В меню Безопасность выберите пункт Разрешения.
  7. Предоставьте группе «Администраторы» право «Полный доступ». После выполнения описанных ниже действий необходимо восстановить права, существовавшие ранее.
  8. Закройте программу Regedt32.exe и запустите программу Regedit.exe.
  9. Найдите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices
  10. Найдите параметр, содержащий букву, которая должна быть присвоена диску. В данном случае это параметр «\DosDevices\C:».
  11. Щелкните правой кнопкой мыши параметр \DosDevices\C: и выберите команду Переименовать.

    Примечание. Для переименования этого параметра вместо программы Regedt32 необходимо использовать программу Regedit.
  12. В новом имени укажите одну из неиспользуемых на данный момент букв (например «\DosDevices\Z:»).

    Теперь буква C свободна.
  13. Найдите параметр, соответствующий букве диска, которую необходимо изменить. В данном случае это параметр «\DosDevices\D:».
  14. Щелкните правой кнопкой мыши параметр \DosDevices\D: и выберите команду Переименовать.
  15. Укажите имя с учетом новой буквы диска (в данном случае — «\DosDevices\С:»).
  16. Выделите правой кнопкой мыши параметр \DosDevices\Z:, выберите команду Переименовать и измените имя на «\DosDevices\D:».
  17. Закройте программу Regedit и запустите Regedt32.exe.
  18. Установите существовавшие ранее разрешения для группы «Администраторы» (как правило, это разрешение «Только чтение»).
  19. Перезагрузите компьютер.

четверг, 19 июля 2012 г.

Редактирование и выборка из файла

Добавить в начало каждой строки символы:
пример
имеем файл со списком ip-адресов, добавить перед ip-адресом команду ping

cat  ip_rostelecom.txt | awk '{ print "ping -c 1 " $0  }' > ping_rostel
chmod +x ping_rostel
./ping_rostel | grep -C1 " 100% packet loss"


понедельник, 16 июля 2012 г.

VMWare 4.0 CentOS 6.2 min vmware-tools

VMWare v4.0, host ESX, установил CentOS 6.2 в минимальной конфигурации. Скачал с сайта http://packages.vmware.com/tools/esx/4.0latest/rhel6/x86_64/index.html rpm-пакеты и установил их.

rpm -i vmware-open-vm-tools-nox-8.0.4-660575.el6.x86_64.rpm vmware-open-vm-tools-common-8.0.4-660575.el6.x86_64.rpm vmware-open-vm-tools-kmod-8.0.4-660575.el6.x86_64.rpm

В панели управления VCENTER во вкладке Summary для VM
VMware Tools: Unmanaged

На отдельно стоящем тестовом хосте с VMware ESXi 4.1 взял  VMwareTools-8.3.7-341836.tar.gz, удалил ранее установленные rpm-пакеты


rpm -e vmware-open-vm-tools-kmod-8.0.4-660575.el6.x86_64 vmware-open-vm-tools-nox-8.0.4-660575.el6.x86_64 vmware-open-vm-tools-common-8.0.4-660575.el6.x86_64

И установил vmware-tools из VMwareTools-8.3.7-341836.tar.gz, но при этом при выполнении vmware-config-tools.pl сообщение что несколько модулей уже установлено и их он менять не будет
The module vmmemctl has already been installed on this system by another installer or package and will not be modified by this installer. Use the flag --clobber-kernel-modules=vmmemctl to override. Found a compatible pre-built module for vmhgfs. Installing it... Found a compatible pre-built module for vmxnet. Installing it... Found a compatible pre-built module for vmblock. Installing it... Found a compatible pre-built module for vmci. Installing it... Found a compatible pre-built module for vsock. Installing it... The module vmxnet3 has already been installed on this system by another installer or package and will not be modified by this installer. Use the flag --clobber-kernel-modules=vmxnet3 to override. The module pvscsi has already been installed on this system by another installer or package and will not be modified by this installer. Use the flag --clobber-kernel-modules=pvscsi to override. No X install found. Creating a new initrd boot image for the kernel. Checking acpi hot plug [ OK ] Starting VMware Tools services in the virtual machine: Switching to guest configuration: [ OK ] VM communication interface: [ OK ] VM communication interface socket family: [ OK ] Guest operating system daemon: [ OK ] Virtual Printing daemon: [ OK ] The configuration of VMware Tools 8.3.7 build-341836 for Linux for this running kernel completed successfully. You must restart your X session before any mouse or graphics changes take effect. You can now run VMware Tools by invoking the following command: "/usr/bin/vmware-toolbox" during an X server session. To enable advanced X features (e.g., guest resolution fit, drag and drop, and file and text copy/paste), you will need to do one (or more) of the following: 1. Manually start /usr/bin/vmware-user 2. Log out and log back into your desktop session; and, 3. Restart your X session. Enjoy, --the VMware team

 Поправим модуль для Guest memory manager
[root@localhost ~]# vmware-config-tools.pl --clobber-kernel-modules=vmmemctl Initializing... Stopping VMware Tools services in the virtual machine: Guest operating system daemon: [ OK ] Virtual Printing daemon: [ OK ] Unmounting HGFS shares: [ OK ] Guest filesystem driver: [ OK ] VM communication interface socket family: [ OK ] VM communication interface: [ OK ] The module vmmemctl has already been installed on this system by another package but has been marked for clobbering and will be overridden. Found a compatible pre-built module for vmmemctl. Installing it... Found a compatible pre-built module for vmhgfs. Installing it... Found a compatible pre-built module for vmxnet. Installing it... Found a compatible pre-built module for vmblock. Installing it... Found a compatible pre-built module for vmci. Installing it... Found a compatible pre-built module for vsock. Installing it... The module vmxnet3 has already been installed on this system by another installer or package and will not be modified by this installer. Use the flag --clobber-kernel-modules=vmxnet3 to override. The module pvscsi has already been installed on this system by another installer or package and will not be modified by this installer. Use the flag --clobber-kernel-modules=pvscsi to override. No X install found. Creating a new initrd boot image for the kernel. Checking acpi hot plug [ OK ] Starting VMware Tools services in the virtual machine: Switching to guest configuration: [ OK ] Guest memory manager: [ OK ] VM communication interface: [ OK ] VM communication interface socket family: [ OK ] Guest operating system daemon: [ OK ] Virtual Printing daemon: [ OK ] The configuration of VMware Tools 8.3.7 build-341836 for Linux for this running kernel completed successfully. You must restart your X session before any mouse or graphics changes take effect. You can now run VMware Tools by invoking the following command: "/usr/bin/vmware-toolbox" during an X server session. To enable advanced X features (e.g., guest resolution fit, drag and drop, and file and text copy/paste), you will need to do one (or more) of the following: 1. Manually start /usr/bin/vmware-user 2. Log out and log back into your desktop session; and, 3. Restart your X session. Enjoy, --the VMware team

пятница, 13 июля 2012 г.

SARG Centos 6.2 min

Установка

yum install wget
yum install gd
wget http://pkgs.repoforge.org/sarg/sarg-2.3.1-1.el6.rft.x86_64.rpm
rpm -ivh sarg-2.3.1-1.el6.rft.x86_64.rpm
chkconfig --list
chkconfig --level 35 squid on
chkconfig --level 35 httpd on

После установки, добавить в sarg.conf

 (иначе не создаются индексы - index.html)

#graph_font /usr/share/fonts/truetype/ttf-dejavu/DejaVuSans.ttf
graph_font /etc/sarg/fonts/DejaVuSans.ttf


 (иначе не подгружаются стили css)
#external_css_file /var/www/sarg/sarg.css
external_css_file /sarg/sarg.css


Диагностика работы:
# sarg -x

понедельник, 9 июля 2012 г.

Памятка Linux

Если возникли проблемы

При загрузке не монтируется том или другие проблемы

если корень в режиме ro
mount -o rw,remount /
Загрузка в однопользовательский режим из GRUB
жмем [a] и добавить в конец строки single.

Переход в однопользовательский режим
telinit 1
----------------------------------------------------------------------------------------------

selinux
для восстановления атрибутов selinux, создать в корне тома файл .autorelabel
(selinux должен быть в enforced mode)
----------------------------------------------------------------------------------------------
RAID
просмотр состояния
 mdadm --detail /dev/md0
 cat /proc/mdstat
 watch cat /proc/mdstat
Добавить диск вместо неисправного
 mdadm --add /dev/md0 /dev/sda2 
Объявить диск в RAID неисправным
 mdadm --fail /dev/md0 /dev/sdc
Удалить из RAID неисправный диск
 mdadm --manage --remove /dev/md0 /dev/sdc
Похоже GRUB  не захотел работать с raid v1.2 Для /boot создал raid v1.0 ссылка 
 mdadm --create /dev/md1 --level=1 --raid-disks=2 --metadata=1.0 --assume-clean missing /dev/sdb1
ссылка 

----------------------------------------------------------------------------------------------

GRUB

Сделать второй диск RAID загрузочным
 (root@server) # grub
grub> find /grub/stage1
 (hd0,0)
 (hd1,0)

grub> device (hd0) /dev/sdb
grub> root (hd0,0)
grub> setup (hd0)
grub> quit
----------------------------------------------------------------------------------------------

sysctl


Посмотреть все параметры sysctl выполнить команду sysctl -a

Для включения IP форвардинга внести в файл /etc/sysctl.conf:
# Controls IP packet forwarding
net.ipv4.ip_forward = 1
применить изменения, без перезагрузки ОС, можно командой :
/sbin/sysctl -p 
----------------------------------------------------------------------------------------------

find


find /etc -ctime  -10 -mtime  -10 -print
find /etc -ctime  -10 -mtime  -10 -ls
find /etc -mtime  -10 -ls
Построитель команды 'find' http://find.unixpin.com/ru/

Просмотр размера подкаталогов в текущем каталоге
find . -maxdepth 1 -type d -exec du -hs {} \;
find . -maxdepth 1 -type d -exec du -hsb {} \; | sort -n


----------------------------------------------------------------------------------------------

Настройка файловой системы

ВНИМАНИЕ! Всё нижеописанное делается на ОТМОНТИРОВАННОЙ файловой системе!
Здесь нужно ещё отметить тот факт, что при форматировании в ext3 и ext4, для пользователя root резервируется 5% места. Чтобы убрать 5 процентное резервирование места для root в ext3 и ext4 нужно дать команду:
tune2fs -m 0 /dev/sdb1
После этого простому пользователю будет доступно всё место.

Так же имеет место быть принудительная проверка диска после некоторого количества загрузок. Если вам это не нужно, процедуру можно отменить командой:
tune2fs -c 0 /dev/sda1
Либо сделать так, чтобы проверка происходила реже, например, 1 раз в 100 загрузок:
tune2fs -c 100 /dev/sda1
Просмотреть свойства файловой системы можно командой
tune2fs -l /dev/sda1 
----------------------------------------------------------------------------------------------

mrtg

indexmaker --output /var/www/mrtg/index.html --columns=1 /etc/mrtg/mrtg.cfg

----------------------------------------------------------------------------------------------

rpm

rpm -qa --qf "%{NAME}\n" --- список установленных пакетов.


rpm -qi "имя" (без версии) --- Получение информации о пакете.
rpm -ql "имя" --- Список файлов составляющих данный пакет.
rpm -qR "имя" --- Информации о зависимостях.
rpm -q --whatprovides "зависимость" --- Узнать, какому из пакетов принадлежат зависимости.
rpm -ihv "полное имя пакета" --- Сама установка.
rpm -ihv --nodeps "полное имя пакета" --- Установка пакета без проверки зависимостей, при такой установке возможны проблемы с работой приложения, или ограниченная функциональность.
Возможно установить несколько пакетов за раз, это может быть полезно при установке взаимнозависимых пакетов. Для этого просто после rpm -ihv перечислите через пробел полные имена пакетов.
Если после установки программы вы обнаружите какие-то "неизвестные" файлы, то вы всегда сможите проверить какому пакету они принадлежат.
rpm -qf "полный путь к файлу", например, rpm -qf /usr/bin/xine
rpm -qa --Вывести в консоли весь список установленных пакетов, или зайти в /var/log/rpmpkgs
rpm -e "имя" --- Удаление пакета.

Если при установке *.src.rpm выдается сообщение  
         unpacking of archive failed on file /cpio: MD5 sum mismatch 
использовать ключ --nomd5
$rpm --nomd5 -ihv *.rpm
----------------------------------------------------------------------------------------------

Установка ncpfs в CentOS 5.x  


wget http://arm.koji.fedoraproject.org//packages/ncpfs/2.2.6/13.fc12/src/ncpfs-2.2.6-13.fc12.src.rpm
rpm -ivh ncpfs-2.2.6-13.fc12.src.rpm
rpm --nomd5 -ivh ncpfs-2.2.6-13.fc12.src.rpm
rpmbuild -ba  ncpfs.spec   (получаем ipxutils-2.2.6-13.i386.rpm и ncpfs-2.2.6-13.i386.rpm ...)
rpm -ivh -- nodeps ncpfs-2.2.6-13.i386.rpm
p.s. ipxutils не нужен т.к. nsend отлично работает по tcp/ip

----------------------------------------------------------------------------------------------

POSTIE

# ./postie./postie: error while loading shared libraries: libsasl.so.7: cannot open shared object file: No such file or directory
# cd /usr/lib
# ln -s libsasl2.so.2.0.22 libsasl.so.7

# rpm -qa | grep sasl
cyrus-sasl-devel-2.1.22-6
cyrus-sasl-md5-2.1.22-6
cyrus-sasl-lib-2.1.22-6
cyrus-sasl-plain-2.1.22-6
cyrus-sasl-2.1.22-6
 

yum install compat-libgcc-296
yum install compat-libstdc++-296
----------------------------------------------------------------------------------------------
FIREFOX
оптимизация

find ~/.mozilla/ -name '*.sqlite' -print -exec sqlite3 {} "VACUUM; REINDEX;" \;
----------------------------------------------------------------------------------------------
NTP
service ntpd stop
ntpdate 192.168.x.x
service ntpd stop

  1. Set the clock manually to the current time.
    1. Sync the system clock to the current time:
      # ntpd -g -q
      
    2. Check that the time appears correct:
      # date
      
    3. Sync the server's hardware clock to the system clock:
      # hwclock -wu
      

  1. Replace the /etc/localtime file with a link to the selected timezone:
    # ln -snf /usr/share/zoneinfo/<timezone> /etc/localtime
    
    For example:
    # ln -snf /usr/share/zoneinfo/Europe/Moscow /etc/localtime
    # ln -snf /usr/share/zoneinfo/UTC /etc/localtime
    

----------------------------------------------------------------------------------------------
Подсчитать размер каждого каталога, находящего в уровне вложенности 1 от указанного каталога:

# du -d 1 -h /usr/local/www/
1.2M    /usr/local/www/apache22
20M    /usr/local/www/phpMyAdmin
4.2M    /usr/local/www/loganalyzer
25M    /usr/local/www/
----------------------------------------------------------------------------------------------
Просмотр сертификата

# echo | openssl s_client -connect fd.ru:443 2>/dev/null | openssl x509 -noout -issuer -subject -dates
issuer= /C=US/O=Let's Encrypt/CN=Let's Encrypt Authority X3
subject= /CN=vip.rnk.1cont.ru
notBefore=Sep 12 13:41:36 2018 GMT
notAfter=Dec 11 13:41:36 2018 GMT
# echo | openssl s_client -connect www.mail.ru:443 2>/dev/null | openssl x509 -noout -issuer -subject -dates
issuer= /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=GeoTrust RSA CA 2018
subject= /C=RU/L=Moscow/O=LLC Mail.Ru/OU=IT/CN=*.mail.ru
notBefore=Dec 15 00:00:00 2017 GMT
notAfter=Dec 14 12:00:00 2020 GMT


----------------------------------------------------------------------------------------------

пятница, 6 июля 2012 г.

Install Open Source VMware Tools on Red Hat Enterprise/CentOS/Scientific Linux 6

Взято отсюда

VMware now makes a repository available for us to install the VMware tools for a variety of Linux distributions including Red Hat, Scientific, CentOS, and Ubuntu.  In this example I will install VMware tools on a Red Hat Enterprise/CentOS/Scientific Linux 6 guest running on a VMware ESXi 4.1 host.
First import the VMware repository GPG signing public keys:
# rpm --import http://packages.vmware.com/tools/keys/VMWARE-PACKAGING-GPG-DSA-KEY.pub
# rpm --import http://packages.vmware.com/tools/keys/VMWARE-PACKAGING-GPG-RSA-KEY.pub
Now add the VMware repository.  If you’d like you can use the “echo” command below or simply create the file and its contents are listed below it.  There are other packages available in the repository for other Linux distros, architectures, and ESX host versions.  Again I am using the Red Hat Enterprise 6/VMware ESXi 4.1 version.
# echo -e "[vmware-tools]\nname=VMware Tools\nbaseurl=http://packages.vmware.com\
/tools/esx/4.1latest/rhel6/\$basearch\nenabled=1\ngpgcheck=1" > /etc/yum.repos.d\
/vmware-
tools.repo
Now we can list the contents of the new repo file:
[root@server1 ~]# cat /etc/yum.repos.d/vmware-tools.repo
Here is what the contents should look like:
[vmware-tools]
name=VMware Tools
baseurl=http://packages.vmware.com/tools/esx/4.1latest/rhel6/$basearch
enabled=1
gpgcheck=1

It is now time to run the actual install of VMware tools.  In my case I am installing on a server system without X11 graphical interface so this is the minimum install:
# yum -y install vmware-open-vm-tools-nox
If you are installing on a workstation or server with X11 installed and would like the VMware display adapter and mouse drivers loaded use this command.  The install will be a bit bigger:
# yum -y install vmware-open-vm-tools
You are now up and running with VMware tools!

CentOS 6.2 отсутствует eth0

Установил на VMWARE ESX4.0 CentOS 6.2 в минимальной установке.

vmware-tools берем с http://packages.vmware.com/tools/esx/4.0latest/rhel6/index.html
Для установки без иксов  ставим следующие пакеты


rpm -i vmware-open-vm-tools-nox-8.0.4-660575.el6.x86_64.rpm vmware-open-vm-tools-common-8.0.4-660575.el6.x86_64.rpm vmware-open-vm-tools-kmod-8.0.4-660575.el6.x86_64.rpm

Сделал шаблон, после создания новой VM из этого шаблона, не запустилась сеть, точнее файл ifcfg-eth0 есть, но с MAC-адресом исходной VM до создания шаблона, а файла ifcfg-eth1 нет.


# cat /proc/net/dev

Inter-|   Receive                                                |  Transmit

 face |bytes    packets errs drop fifo frame compressed multicast|bytes    packets errs drop fifo colls carrier compressed

    lo:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0

  eth1:       0       0    0    0    0     0          0         0        0       0    0    0    0     0       0          0


Смотрим файл /etc/udev/rules.d/70-persistent-net.rules

# This file was automatically generated by the /lib/udev/write_net_rules
# program, run by the persistent-net-generator.rules rules file.
#
# You can modify it, as long as you keep each rule on a single
# line, and change only the value of the NAME= key.

# PCI device 0x15ad:0x07b0 (vmxnet3)
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:50:56:86:2c:7f", ATTR{type}=="1", KERNEL=="eth*", NAME="eth0"

# PCI device 0x15ad:0x07b0 (vmxnet3)
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="00:50:56:86:77:82", ATTR{type}=="1", KERNEL=="eth*", NAME="eth1"



вторник, 3 июля 2012 г.

Squid Windows 2008R2 Kerberos CentOS 6.2


Ставим squid
yum install cyrus-sasl-gssapi krb5-workstation krb5-devel squid

Создаем в DNS прямую и обратную записи для хоста squid.my.dom

Cоздаем в AD пользователя: usersquid, и группы wg_internet wg_internet_full ...
Cоздаем кейтаб для этого пользователя:

c:\windows\system32\ktpass -princ HTTP/squid.my.dom@MY.DOM -mapuser usersquid@MY.DOM -crypto rc4-hmac-nt -pass password -ptype KRB5_NT_PRINCIPAL -out c:\squid.my.dom.keytab

именно c:\windows\system32\ktpass, а не просто ktpass иначе ошибка, видимо в 64 версии ошибка.
Если кейтаб создан с параметром -crypto aes256-sha1, то не заработала авторизация
В логе squid про несоответствие ключей клиента, возможно надо настраивать krb5.conf, добавлять какой либо параметр


2012/06/27 10:57:34| squid_kerb_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information.
2012/06/27 10:57:34| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. '


Копируем c:\squid.my.dom.keytab в каталог /etc/squid 

Добавляем в /etc/rc.d/init.d/squid
KRB5_KTNAME=/etc/squid/squid.my.dom.keytab
export KRB5_KTNAME

Правим krb5.conf
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = MY.DOM
 dns_lookup_realm = false
 dns_lookup_kdc = false
 kdc_timesync = 1
 ticket_lifetime = 24h
 forwardable = true
 proxiable = true
 default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
 default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
 permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]
 MY.DOM = {
  kdc = ad-ds-2008r2.my.dom
  admin_server = ad-ds-2008r2.my.dom
  kdc = 192.168.1.9
  admin_server = 192.168.1.9
  default_domain = my.dom
 }

[domain_realm]
 .my.dom = MY.DOM
 my.dom = MY.DOM

[appdefaults]
 pam = {
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false
 }

[login]
 krb4_convert = true
 krb4_get_tickets = false

Правим squid.conf
#
# Recommended minimum configuration:
#
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
##acl localnet src 10.0.0.0/8   # RFC1918 possible internal network
##acl localnet src 172.16.0.0/12        # RFC1918 possible internal network
##acl localnet src 192.168.0.0/16       # RFC1918 possible internal network
##acl localnet src fc00::/7       # RFC 4193 local private network range
##acl localnet src fe80::/10      # RFC 4291 link-local (directly plugged) machines

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

#auth_param negotiate program /usr/lib64/squid/squid_kerb_auth -d
auth_param negotiate program /usr/lib64/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on

#######################
# для входа по запросу имя/пароль
#
auth_param basic program /usr/lib64/squid/squid_ldap_auth -v3 -R -D  usersquid@my.dom -W /etc/squid/authpw  -b "cn=users,dc=my,dc=dom" -f "sAMAccountName=%s" -h ad-ds-2008r2.my.dom
auth_param basic children 10
auth_param basic realm Proxy Authentication
auth_param basic credentialsttl 2 hours

#
# Recommended minimum Access Permission configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager

# Deny requests to certain unsafe ports
http_access deny !Safe_ports

# Deny CONNECT to other than secure SSL ports
http_access deny CONNECT !SSL_ports

# We strongly recommend the following be uncommented to protect innocent
# web applications running on the proxy server who think the only
# one who can access services on "localhost" is a local user
#http_access deny to_localhost

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#

acl AUTH proxy_auth REQUIRED

acl mynet src 192.168.1.0/24 192.168.32.0/20
acl client_wsus  src 192.168.1.128/32 192.168.1.16/32
acl server_wsus  dstdomain wsus.prov.ru

# Проверка соответствия пользователь-группа
external_acl_type ldap_group ttl=1200 %LOGIN /usr/lib64/squid/squid_ldap_group -v3 -R -D usersquid@my.dom -W /etc/squid/authpw -b "dc=my,dc=dom" -f "(&(samaccountname=%v)(memberof=cn=%a,cn=users,dc=my,dc=dom))" -K -h ad-ds-2008r2.my.dom
# Hosts that are not required to authenticate
acl Auth_Not_Required src "/etc/squid/acl/auth_not_required.txt"

# Domains accessible to all PC's
##acl Open_Domains dstdomain "/etc/squid/acl/open_domains.txt"

# Hosts & domains that are denied to restricted users
##acl Banned_Hosts dst "/etc/squid/acl/banned_hosts.txt"
acl Banned_Domains dstdomain "/etc/squid/acl/banned_domains.txt"
acl Banned_URLs url_regex  "/etc/squid/acl/banned_urls.txt"
acl Good_URLs url_regex  "/etc/squid/acl/good_urls.txt"
acl Banned_Extensions url_regex  "/etc/squid/acl/banned_extensions.txt"
acl price_URLs url_regex "/etc/squid/acl/price_URLs.txt"

# Full access
acl Access_Full external ldap_group wg_internet_full

# Restricted access
acl Access_Restricted external ldap_group wg_internet

# Restricted access Price URLs only
acl Access_Restricted_Price external ldap_group wg_internet_price

#######################
# Domains free to all users without needing to authenticate.
##http_access allow Open_Domains
# Разрешаем доступ хостам без регистрации
# IP addresses of hosts that don?t need to authenticate (usually automation hosts #performing automated downloads and without a Novell client.
http_access allow Auth_Not_Required
# Разрешаем доступ хостам из локалки к WSUS серверу провайдера
http_access allow client_wsus server_wsus
##http_access allow domainusers mynet
# Let users with full Internet access.
http_access allow AUTH Access_Full
http_access deny Banned_Domains
http_access deny Banned_URLs !Good_URLs
http_access deny Banned_Extensions
http_access allow AUTH Access_Restricted
http_access allow AUTH Access_Restricted_Price price_URLs
####################################
# тестовое разрешение для любых авторизованных пользователей.
#http_access allow AUTH

# Example rule allowing access from your local networks.
# Adapt localnet in the ACL section to list your (internal) IP networks
# from where browsing should be allowed
##http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

# Squid normally listens to port 3128
http_port 3128

# We recommend you to use at least the following line.
hierarchy_stoplist cgi-bin ?

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320