Поиск (ключи):    ПРОГРАММЫ СТАТЬИ СОВЕТЫ ФОРУМ   WIKI НОВОСТИ (+) MAN'ы ДОКУМЕНТАЦИЯ

<< Предыдущая ИНДЕКС Правка src Установить закладку Перейти на закладку Следующая >>

Ключевые слова: squid, freebsd, auth, win, windows, domain,  (найти похожие документы)

From: Васильченко Евгений Витальевич <evg@sibmail.ru.>
Newsgroups: email
Date: Mon, 27 Aug 2005 18:21:07 +0000 (UTC)
Subject: Авторизация squid в домене Windows 2003 Server


FreeBSD 5.4 + Squid-2.5.stable9 + авторизация в домене Windows 2003 Server

В данном руководстве предполагается, что прокси-сервер работает под 
операционной системой FreeBSD версии 5.4, контроллер домена стоит на Windows 
2003 Server Enterprise Edition. Эта статья рассчитана на совершенно 
неподготовленного пользователя, поэтому просьба некоторым сильно 
"продвинутым" товарищам воздержаться от комментариев в ее адрес, т.к. их 
мнения нахрен не нужны никому. Способов авторизации, которые применяются в 
Squid довольно много. Здесь будет рассмотрен только один. Все программное 
обеспечение ставилось из портов.


1. Необходимое программное обеспечение

1.1 Операционная система FreeBSD-5.4
1.2 Клиент Kerberos производства HEIMDAL версии 0.6.3
1.3 Прокси-сервер Squid версии 2.5.STABLE9 
1.4 Samba-3.0.12
1.5 Должна быть установлена коллекция портов


2. Необходимые настройки операционной системы

2.1 Разрешение имен

2.1.1 Если в сети есть DNS-сервер, c настроенными зонами прямого и обратного 
просмотра, то в файле /etc/resolv.conf надо прописать следующее:

        domain <имя_домена>
        nameserver <IP-адрес DNS-сервера>


Пример: 

        domain fuck-you.ru
        nameserver 192.168.0.101


2.1.2 Если в сети нет DNS-сервера, то необходимо изменить файлы hosts на 
контроллере домена и на FreeBSD.

Для FreeBSD добавим следующие строчки в файл /etc/hosts

        <IP-адрес контроллера домена> <полное_имя> <псевдоним>
        <IP-адрес компа с FreeBSD> <полное_имя> <псевдоним>


Пример: 

        192.168.0.101 srv.fuck-you.ru srv
        192.168.0.100 freebsd.fuck-you.ru freebsd


Для контроллера домена Windows 2003 Server в файл 
\Windows\System32\drivers\etc\hosts пишем следующее:

        <IP-адрес сервера> <имя_хоста> <полное_имя>
        <IP-адрес компа с FreeBSD> <имя_хоста> <полное имя>


Пример: 

        192.168.0.101 srv srv.fuck-you.ru
        192.168.0.100 freebsd freebsd.fuck-you.ru


Примечание: Операционная система Windows не обязательно ставится в папку 
C:\Windows, поэтому файл hosts может быть найден так:
<имя_системного_диска>:\<имя_системной_папки>\System32\drivers\etc\hosts


2.2 Согласование времени

Между контроллером домена и системой FreeBSD системное время не должно 
различаться более, чем на 5 минут, иначе сервер Керберос не выдаст билет, 
необходимый для аутентификации и соответственно вся система не будет работать.


3 Установка программного обеспечения

3.1 Установка Керберос производства HEIMDAL

3.1.1 Переходим в каталог порта:

        cd /usr/ports/security/heimdal


3.1.2 Вводим команду:

        make install


Система полезет в интернет, чтобы закачать оттуда пакет heimdal-0.6.3.tar.gz. 
Если закачать пакет по какой-то причине не удастся, то скачать его с помощью 
другой машины и скопировать в /usr/ports/distfiles, после чего снова выполнить 
пункты, начиная с 3.1.1.

3.1.3. Перейти в каталог:

        cd /usr/ports/security/heimdal/work/heimdal-0.6.3


и скопировать оттуда файл krb5.conf в каталог /etc/

        cp krb5.conf /etc/


3.2 Настройка клиента Керберос

3.2.1 Файл /etc/krb5.conf должен выглядеть примерно так:

        [libdefaults]
        default_realm = FUCK-YOU.RU
        clockskew = 300
        v4_instance_resolve = false
        v4_name_convert = {
        host = {
        rcmd = host
        ftp = ftp
        }
        plain = {
        something = something-else
        }
        }

        [realms]
        FUCK-YOU.RU = {
        kdc = srv.fuck-you.ru
        admin_server = srv.fuck-you.ru
        }

        [domain_realm]
        .fuck-you.ru = FUCK-YOU.RU


В этом файле обязательно должен быть соблюден регистр букв, то есть БОЛЬШИЕ 
БУКВЫ должны быть БОЛЬШИМИ, а маленькие соответственно маленькими. 
fuck-you.ru и FUCK-YOU.RU - имя домена, используемого в моей системе. У вас, 
естественно оно будет другим.

kdc - это имя центра распределения ключей. Обычно оно совпадает с именем 
виндовозного серванта, если он один.


3.2.2 Проверка соединения с сервером Kerberos

        kinit -p <имя_юзера_из_домена>@<имя_домена>


Пример:

        kinit -p Administrator@fuck-you.ru либо:
        kinit -p Administrator


Система в ответ должна написать:

        Administrator@FUCK-YOU.RU's password:


Вводим пароль админа, если вы, конечно админ, либо пароль юзера, имя которого 
идет после команды kinit -p и нажимаем enter. Система должна ответить:

        kinit: NOTICE: ticket renewable lifetime is 1 week в случае правильного пароля 


или

        kinit: krb5_get_init_creds: Preauthentication failed, если пароль неверный.


3.2.3 Проверим состояние соединения

        klist


Ответ системы должен быть примерно такой:

        Credentials cache: FILE:/tmp/krb5cc_0
        Principal: Administrator@FUCK-YOU.RU

          Issued	    Expires		Principal
        Aug 18 14:50:56   Aug 19 00:50:50    krbtgt/FUCK-YOU.RU@FUCK-YOU.RU


в благоприятном случае, то есть был получен билет от Kerberos.



3.3 Установка и настройка Samba-3.0.12

3.3.1 Переходим в каталог портов

        cd /usr/ports/net/samba3


3.3.2 Настраиваем конфигурацию Samba:

        make config


Должно появиться окно, где клавишей пробел устанавливаем либо снимаем крестик 
с нужной опции. Для тех, кто в танке: если крестик установлен, то опция будет 
установлена, а если крестик снят - сам не знаю, что будет.

В принципе, для работы создаваемой системы достаточно, чтобы были установлены

        [X] ADS
        [X] WINBIND


Приведу пример своих настроек:

        [X] LDAP  With LDAP support (с подержкой LDAP протокола)[может пригодиться]
        [X] ADS   With Active Directory support (обязательно)
        [X] CUPS  With CUPS printing support(печать на виндовые принтеры или наоборот)
        [X] WINBIND  With WinBIND support (обязательно)
        [X] ACL_SUPPORT With ACL support (хорошая вещь, также пригодится)
        [X] SYSLOG  With Syslog support (протоколирование событий)
        [X] QUOTAS  With Quota support
        [X] UTMP  With UTMP support (хрен знает, что такое)
        [X] MSDFS  With MSDFS support
        [ ] SAM_XML
        [X] SAM_MYSQL
        [X] SAM_PGSQL
        [ ] SAM_OLD_LDAP
        [X] PAM_SMBPASS (не помешает)
        [ ] EXP_MODULES (лучше не ставить)
        [X] POPT (тоже непонятная хрень)


Нажимаем ОК

        make install


Нужные пакеты закачиваются из интернета, конфигурируются и ставятся.

3.3.3 Редактирование файла smb.conf:
Копируем файл smb.conf.default в smb.conf

        cp /usr/ports/net/samba3/work/smb.conf.default /usr/local/etc/smb.conf


либо переименовываем файл /usr/local/etc/smb.conf.default в /usr/local/etc/smb.conf
Редактируем этот файл:

        ee /usr/local/etc/smb.conf


У меня он выглядит так:

        [global]
        workgroup = fuck-you
        server string = fuck you mazefakers
        netbios name =freebsd
        security = ads
        realm = fuck-you.ru
        password server = srv.fuck-you.ru
        encrypt passwords = yes
        winbind separator = +
        winbind use default domain = yes
        winbind uid = 10000-15000
        winbind gid = 10000-15000
        winbind enum users = yes
        winbind enum groups = yes

        host allow = 192.168.0 127.0.0.1 (только для моей сетки принимаются запросы)

        log file = /var/log/samba/log.%m
        max log size = 50


На самом деле файл намного длиннее, но все остальные настройки к системе дела 
не имеют.

3.3.5 Пробуем войти в домен

        net ads join -U administrator%password


Пример: 
        
        net ads join -U administrator%3214


При удачном исходе система должна написать примерно следующее:

        Joined 'FREEBSD' to realm 'FUCK-YOU.RU'


При появлении такого ответа можно и за пивком сбегать - в принципе полдела уже 
сделано.

3.3.6 Настройка запуска SAMB'ы

Добавляем строку samba_enable="YES" в /etc/rc.conf
либо вместо этой строки несколько других строк для раздельного запуска:

        smbd_enable="YES"
        nmbd_enable="YES"
        winbindd_enable="YES"


Для нашей системы достаточно, чтобы в файле было либо smbd_enable, либо 
winbindd_enable.

3.3.7 После перезагрузки Samba запустится автоматически, либо можно запустить 
вручную:

        /usr/local/etc/rc.d/samba.sh


3.3.8 Проверка работоспособности winbind
Пишем команду: 

        wbinfo -t


Должен появиться ответ:

        checking the trust secret via RPC calls succeeded.


Если такой ответ получен, значит доверительная учетная запись компьютера 
создана.


3.3.9 Проверяем нормальную работу winbind

        wbinfo -u


Должен появиться список пользователей и компьютеров, для нашего компа должно 
быть : freebsd$

        wbinfo -g


Должны увидеть список групп в контроллере домена

3.3.10 Проверяем аутентификацию в домене

        wbinfo -a <имя_юзера>%<пароль_юзера>


Пример: 

        wbinfo -a irina%321


Ответ:  

        plaintext password authentification succeeded
        challenge/response password authentification succeeded


3.4 Настройка файла переключения служб /etc/nsswitch
Добавляем следующие строки:

        passwd: files winbind
        group:  files winbind


3.5 Проверка распознавания системой FreeBSD доменных пользователей:
Пример: 
        
        id Administrator


Ответ: 

        uid=10000(Administrator) gid=10005(пользователи домена) 
        groups=10005(пользователи домена) , 10004(администраторы домена) и т.д


3.6 Установка и настройка прокси-сервера Squid-2.5.stable9
Заходим в /usr/ports/www/squid и забиваем команду:

        make install


Как и всегда все должно закачаться и поставиться автоматически.
Настраиваем конфигурационный файл /usr/local/etc/squid/squid.conf.
В нем должны присутствовать такие строки:

        auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
        auth_param ntlm children 10
        auth_param ntlm max_challenge_reuses 0
        auth_param ntlm max_challenge_lifetime 

        auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
        auth_param basic children 10
        auth_param basic realm Squid proxy-caching web server
        auth_param basic credentialsttl 2 hours
        auth_param basic casesensitive off

        acl all src 0.0.0.0/0.0.0.0
        acl squidusers proxy_auth REQUIRED(определяем группу юзеров)
        http_access allow squidusers(разрешаем им доступ)
        http_access deny all


3.7 Выставляем права доступа на каталог /var/db/samba/winbindd_priveleged
Они должны быть 750(rwx-r-x---). Группой владельца должна быть группа squid.

3.8 Перезапускаем SQUID и проверяем работу системы. В браузере выставляем, чтобы он ходил через прокси, указываем номер порта, указынный в конфиге сквида. В случае использования Internet Explorer сквидовское окно с запросом авторизации не должно высвечиваться, то есть все будет абсолютно прозрачно. В случае Оперы, Мозиллы и т.д все-таки придется вбивать логин и пароль. 

Примечание: Если учетные записи из домена Windows имеют русское написание, то 
хоть тресни - работать система не будет.


Васильченко Евгений <evg@sibmail.ru.>

<< Предыдущая ИНДЕКС Правка src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]   1.1, nuz, 01:55, 29/08/2005 [ответить] [смотреть все] +/– в сети есть PrimaryDomain и его копия, как сделать что б авторизация знала 2 kdc и 2 AD??? (если один сервер загнулся брало пользователей с другого)   1.2, mxm, 10:24, 29/08/2005 [ответить] [смотреть все] +/– А что произойдет 19-го августа в 00:50:51, когда срок действия "билета" закончится?   1.3, Nikola, 16:09, 29/08/2005 [ответить] [смотреть все] +/– >>как сделать что б авторизация знала 2 kdc и 2 AD??? Указать  дополнительный контроллер (можно его IP) в /etc/krb5.conf     2.6, nuz, 13:41, 30/08/2005 [^] [ответить] [смотреть все] [показать ветку] +/– как это будет выглядеть ... весь текст скрыт [показать] [показать ветку]     3.10, Nikola, 08:29, 01/09/2005 [^] [ответить] [смотреть все]   +/– EXAMPLE COM kdc kerberos example com 88 kdc kerberos2 e... весь текст скрыт [показать]   1.4, seeker, 01:40, 30/08/2005 [ответить] [смотреть все]   +/– > domain fuck-you.ru что за дебил придумывает такие примеры?     2.5, Васильченко Евгений, 13:23, 30/08/2005 [^] [ответить] [смотреть все] [показать ветку]   +/– Кстати, для не-дебилов, такой домен вполне реально существовал, если что Дело в... весь текст скрыт [показать] [показать ветку]     3.7, mxm, 13:43, 30/08/2005 [^] [ответить] [смотреть все]   +/– Совершенно верно ... весь текст скрыт [показать]   3.11, Dyr, 16:00, 01/09/2005 [^] [ответить] [смотреть все]   +/– Слова надо подбирать тщательнее Потому что отличная статья портится сленгом пАд... весь текст скрыт [показать]   1.8, сергий, 17:09, 31/08/2005 [ответить] [смотреть все]   +/– далаю всё как тут написано, керберос билет выдал, самба в домен попала... а вот wbinfo -е выдёт: checking the trust secret via RPC calls failed error code was  (0x0) Could not check secret куда копнуть?     2.22, SmallwooD13, 05:32, 29/11/2005 [^] [ответить] [смотреть все] [показать ветку]   +/– была такая же ерунда, исправил в конфиге host allow на hosts allow ошибка изчезл... весь текст скрыт [показать] [показать ветку]     3.51, Garreth, 21:43, 09/12/2006 [^] [ответить] [смотреть все]   +/– Такая же ерунда, но hosts allow не помогает Хелп плиз ... весь текст скрыт [показать]     4.52, Garreth, 22:40, 10/12/2006 [^] [ответить] [смотреть все]   +/– 2006 12 10 21 31 47, 0 lib util_sock c create_pipe_sock 1285 invalid permis... весь текст скрыт [показать]     5.54, blooddust, 16:37, 16/01/2007 [^] [ответить] [смотреть все]   +/– владельцем pipe должен быть squid ... весь текст скрыт [показать]     6.60, Cibermax, 18:48, 14/09/2007 [^] [ответить] [смотреть все]   +/– gt оверквотинг удален А это как зделать такая-же беда владельцем pipe должен... весь текст скрыт [показать]   1.9, Argent, 21:24, 31/08/2005 [ответить] [смотреть все]   +/– Я все сделал как написано только у меня вопрос в конф сквида ничего кроме того что написано в доке не не надо добавлять? Потому что у меня все проверки проходят на ура а юзер не аутентифицируется приглашение есть и вводи в него  логин парол до пьяной немочи... в логах пишет  что TCP/DENIDED Может кто подскажет в чем проблема и где это мона поковырять?   Может трабла с firewallom, но вроде по telnet через локолхост заходит у меня все на скид редиректится... Еще один момент сервер на 2000 может как раз в этом проблема помогите плс. а то начальство замучает....     2.13, сергий, 12:10, 21/09/2005 [^] [ответить] [смотреть все] [показать ветку]   +/– у меня тоже 2000 так вот работает всё кроме распознования фрёй виндовых логинов... весь текст скрыт [показать] [показать ветку]     3.14, Anatoly, 21:03, 02/10/2005 [^] [ответить] [смотреть все]   +/– Цытата все проверки проходят на ура а юзер не аутентифицируется приглашение ест... весь текст скрыт [показать]     4.15, Anatoly, 22:51, 02/10/2005 [^] [ответить] [смотреть все]   +/– Народ, вы не поверите, действительно именно из-за этой опции не работало Как ... весь текст скрыт [показать]   1.12, Ник, 15:10, 03/09/2005 [ответить] [смотреть все]   +/– А указать, что есть еще другая прокся под ISA, знаю что надо указать ее в качестве парента, но не могу понять как. Может кто подскажет? И еще, чтобы доступ к фтп определить нужно дописать в конец ftp_access allow squidusers ftp_access deny all или я не прав?   1.16, iav, 22:38, 04/10/2005 [ответить] [смотреть все]   +/– А у squid нет возможности узнать о принадлежности пользователя к группе в ads? Было бы удобно раздавать acl по ads группам.   1.17, Игорь, 16:57, 05/10/2005 [ответить] [смотреть все]   +/– Васильченко Евгений Статья отличная, побольше бы таких статей. С windows 2000 этот механизм тоже работает.   1.18, VVD, 21:44, 02/11/2005 [ответить] [смотреть все]   +/– > 3.1 Установка Керберос производства HEIMDAL > 3.1.1 Переходим в каталог порта: >         cd /usr/ports/security/heimdal > 3.1.2 Вводим команду: >         make install А зачем если ещё и требуем: > 1. Необходимое программное обеспечение > 1.1 Операционная система FreeBSD-5.4 ??? # grep VERSION= /usr/src/crypto/heimdal/configure PACKAGE_VERSION='0.6.3' VERSION='0.6.3' # cat /usr/ports/security/heimdal/distinfo MD5 (heimdal-0.6.3.tar.gz) = 2265fd2d4573dd3a8da45ce62519e48b SIZE (heimdal-0.6.3.tar.gz) = 3333604 Версия таже. Ещё добавить в /etc/make.conf строчки (на случай пересборки мира - не уверен, что по умолчанию оно собирается): MAKE_KERBEROS5=yes ENABLE_SUID_K5SU=yes   1.19, Garry, 07:41, 15/11/2005 [ответить] [смотреть все]   +/– auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN/internet users" auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN/internet users" можно так разрешать доступ в интернет для определенной доменной группы - здесь это internet users. Как разбить доменные группы по разным ACL - убей не пойму, может кто разобрался?     2.20, irsms, 12:10, 20/11/2005 [^] [ответить] [смотреть все] [показать ветку]   +/– в конце этой вот статьи есть инструкции по аутентификации доменных групп www ope... весь текст скрыт [показать] [показать ветку]   2.21, irsms, 14:58, 20/11/2005 [^] [ответить] [смотреть все] [показать ветку]   +/– Немного дополню свое предыдущее сообщение фактом, что у меня вариант проверки гр... весь текст скрыт [показать] [показать ветку]   1.23, sergo, 11:00, 09/12/2005 [ответить] [смотреть все]   +/– Ребята вот такой вопрос : freebsd# kinit -p admin@domain.ru admin@domain.ru's Password: kinit: Password incorrect В чем грабли?     2.24, sergo, 11:34, 09/12/2005 [^] [ответить] [смотреть все] [показать ветку]   +/– Извиняюсь за флуд freebsd kinit -p admin DOMAIN RU admin DOMAIN RU s Password... весь текст скрыт [показать] [показать ветку]   1.25, sergo, 13:58, 14/12/2005 [ответить] [смотреть все]   +/– Привет ВСЕ Вроде делал все как в статье написано, но при вводе root id admin ... весь текст скрыт [показать]   1.26, Taras_, 19:23, 05/01/2006 [ответить] [смотреть все]   +/– По поводу русских имен пользователей в домене. При поднятии уровня контроллера домена и леса до "родного" Windows 2003 Server squid начал понимать русские имена (по умолчанию Windows 2003 Server в качестве контроллера домена функционирует в режиме совместимости с Windows 2000). Так что неприятное для многих ограничение снято. Хоть я и не сторонник локализованных логинов, но у многих пользователей серьезные проблемы со скоростью печати на английском. Просьба откорректировать окончание статьи должным образом, дабы не вводить читателей в заблуждение. С уважением, Тарас. ELANTECH     2.72, Виталий, 08:42, 28/07/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– К сожалению, мне это не помогло ... весь текст скрыт [показать] [показать ветку]   1.27, tonik, 19:10, 16/01/2006 [ответить] [смотреть все]   +/– А кто делал авторизацию Через несколько групп Windows Прочто пользователей вижу А вот по группам нет Не могу въехать в работу wbinfo_group   1.28, Keks, 19:34, 25/01/2006 [ответить] [смотреть все]   +/– А что вы скажете натакоу ответ? kinit -p admin@domain.ru admin@domain.ru's Password: kinit: krb5_get_init_creds: Response too big for UDP, retry with TCP Как заставить его работать по TCP?     2.30, archy, 08:24, 07/03/2006 [^] [ответить] [смотреть все] [показать ветку]   +/– Попробуй в etc krb5 conf указать realms SERVER REALMS kdc tcp rdc ser... весь текст скрыт [показать] [показать ветку]     3.31, bb, 10:47, 22/03/2006 [^] [ответить] [смотреть все]   +/– тогда пишет kinit krb5_get_init_creds unable to reach any KDC in realm SERVER ... весь текст скрыт [показать]   3.32, bb, 10:52, 22/03/2006 [^] [ответить] [смотреть все]   +/– правильно вот так realms ZT kdc tcp server admin... весь текст скрыт [показать]     4.33, bb, 19:13, 24/03/2006 [^] [ответить] [смотреть все]   +/– получилось тока конфиг немного другой оригинальные доки рулят ... весь текст скрыт [показать]     5.43, swap, 17:54, 01/06/2006 [^] [ответить] [смотреть все]   +/– А по подробнее ... весь текст скрыт [показать]   1.29, yyy, 17:43, 26/01/2006 [ответить] [смотреть все]   +/– а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена? остается тока настроить pppoe сервер и прописать ему юзеров с пассами из домена     2.34, inot, 14:49, 30/03/2006 [^] [ответить] [смотреть все] [показать ветку]   +/– Затем что проще использовать сквид для билинга интернета, чем ковыряться в pppoe... весь текст скрыт [показать] [показать ветку]   1.35, Максус, 14:57, 31/03/2006 [ответить] [смотреть все]   +/– Странно. После всех манипуляций все заработало. Но вот пользователь существующий локально и в домене не может зайти по ssh   1.36, sander, 20:25, 06/04/2006 [ответить] [смотреть все]   +/– с фрей 6 возникли проблемы c nsswitch.conf   1.37, sander, 20:26, 06/04/2006 [ответить] [смотреть все]   +/– id Administrator не катит   1.38, awsswa, 07:20, 07/04/2006 [ответить] [смотреть все]   +/– после руссификации freebsd 5.4 через sysinstall в koi8-r и добавления в smb.conf строчек display charset = KOI8-R unix charset = KOI8-R dos charset = CP866 отлично видит русских пользователей     2.39, irokez, 15:18, 17/04/2006 [^] [ответить] [смотреть все] [показать ветку]   +/– видит то видит, а работает если да - то как у меня не получаеться ... весь текст скрыт [показать] [показать ветку]     3.40, Илья, 17:24, 19/04/2006 [^] [ответить] [смотреть все]   +/– Пробуй не по имени пользователя, а поего SID тогда прокатит ... весь текст скрыт [показать]     4.41, vovan, 17:21, 06/05/2006 [^] [ответить] [смотреть все]   +/– Илья, плиз подскажи где как заставить его использовать SID а не имя, перелопатил... весь текст скрыт [показать]     5.42, vovan, 12:26, 12/05/2006 [^] [ответить] [смотреть все]   +/– Разобрался С русскими работает, но только ntlm и с IE opera нет А мне ... весь текст скрыт [показать]   1.44, Mercury, 13:50, 24/07/2006 [ответить] [смотреть все]   +/– А у меня случилось нечто непонятное, вдруг перестала работать ntlm аутентификация, при проверке вместо OK стала выдавать HB. что свидетельствоало о сбое в helpere протоколе. Как вылечить?   1.46, _RAW_, 17:35, 31/08/2006 [ответить] [смотреть все]   +/– Люди, а в нативном режиме если стоит домет то труба? У меня не хочет работать никак. пробовал разные статьи отрабатывать - шиш...   1.47, Tacit, 13:14, 13/09/2006 [ответить] [смотреть все]   +/– Блин что только не делал и все пермишины перепробовал и конфиг сотню раз по разному правил и вводил и выводил из домена раз 20... все комманды wbinfo проходят, -helper-protocol=squid-2.5-basic работает, а вот -helper-protocol=squid-2.5-ntlmssp не работает пишет BH (utils/ntlm_auth.c:manage_squid_ntlmssp_request(575))и всё. смотрел исходник я так понял что ему не нравится nt_status...   1.48, примерно раз в час падает связб в инетом, 13:40, 29/09/2006 [ответить] [смотреть все]   +/– libsmb/clientgen.c:cli_rpc_pipe_close(375)   cli_rpc_pipe_close: cli_close failed on pipe \NETLOGON, fnum 0x4003 to machine SERVERNEO.  Error was Call timed out: server did not respond after 10000 millis econds     2.49, sda, 14:58, 05/10/2006 [^] [ответить] [смотреть все] [показать ветку]   +/– Народ, а как сделать, что самба искала юзверей только в одном домене У меня п... весь текст скрыт [показать] [показать ветку]     3.75, Yalexand, 12:33, 02/02/2009 [^] [ответить] [смотреть все]   +/– Почитай на счёт allow trusted domains в smb conf Мне помогло уменьшить видимую... весь текст скрыт [показать]   1.50, alhome, 14:39, 15/11/2006 [ответить] [смотреть все]   +/– Кто-нибудь сталкивался с проблемами при большом количестве пользователей (порядка 250)? Периодически в cache.log возникает такое: Login for user [DOMAIN]\[USER]@[WORKSTATION] failed due to [Reading winbind reply failed!] [2006/11/15 12:04:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(608)   NTLMSSP NT_STATUS_UNSUCCESSFUL Через какое-то время все восстанавливается, но ненадолго... :-(     2.53, arm, 14:53, 15/12/2006 [^] [ответить] [смотреть все] [показать ветку]   +/– Помогите разобратся все работало хорошо и работает сейчас только у неко... весь текст скрыт [показать] [показать ветку]     3.56, sda, 09:35, 08/02/2007 [^] [ответить] [смотреть все]   +/– убей в домене эту клиентскую машину и создай ее правда есть вероятность, что... весь текст скрыт [показать]   1.55, trinix, 05:55, 08/02/2007 [ответить] [смотреть все]   +/– Вобщем есть папу(не сильно  существенных) огрехов, в файле nsswitch не надо ничего добавлять, а лишь только редактировать! Ну с керберосом и так всё ясно, надо не путать регистр. И на данный момент лучше использовать последнюю самбу это 3.23d. Собсно и всё, у меня "почти такой же":) вариант работает на 5.4 на 6.1 и на 6.2, всё стабильно.     2.58, sda, 19:17, 20/04/2007 [^] [ответить] [смотреть все] [показать ветку]   +/– скажи как редактировать у меня в nsswitch conf на freebsd 6 2-stable написано ... весь текст скрыт [показать] [показать ветку]   1.57, Squidnik, 16:36, 12/02/2007 [ответить] [смотреть все]   +/– Вопрос - а если так, то  будет работать ? acl BOSS proxy_auth Adminnistrator BigBOSS acl Clients proxy_auth REQUIRED т.е. можно ли acl таким образом разруливать ?   1.59, Cibermax, 16:44, 14/09/2007 [ответить] [смотреть все]   +/– Статья прикольная и то что ее кто-то ругает за FUCK-YOU пусть и идет на FUCK-YOU... весь текст скрыт [показать]   1.61, Evgeniy, 11:16, 09/11/2007 [ответить] [смотреть все]   +/– Сделал все как написано Все работает, машина в домене Но squid не запускаеться... весь текст скрыт [показать]     2.62, sda, 11:21, 09/11/2007 [^] [ответить] [смотреть все] [показать ветку]   +/– Проверь права доступа на все файлы Скорее всего у пользователя из-под которого ... весь текст скрыт [показать] [показать ветку]     3.63, Evgeniy, 12:03, 09/11/2007 [^] [ответить] [смотреть все]   +/– Запускаю от имени root А если из конфига убрать auth_param ntlm progra... весь текст скрыт [показать]     4.64, sda, 13:27, 09/11/2007 [^] [ответить] [смотреть все]   +/– SQUID никогда не запуститься от имени рут, не надо тут ... весь текст скрыт [показать]     5.70, Andreus, 12:07, 18/12/2007 [^] [ответить] [смотреть все]   +/– Правильно, не надо тут cat rc conf 124 grep squid squid_user root squid... весь текст скрыт [показать]     6.71, sda, 12:08, 18/12/2007 [^] [ответить] [смотреть все]   +/– Ужас ... весь текст скрыт [показать]   1.65, Evgeniy, 16:08, 09/11/2007 [ответить] [смотреть все]   +/– А какие конкретно файлы посмотреть? Простите...     2.66, sda, 16:14, 09/11/2007 [^] [ответить] [смотреть все] [показать ветку]   +/– >А какие конкретно файлы посмотреть? Простите... Выполните две команды в каталоге, где конфиги прокси: cat squid.conf | grep cache_effective ls -la /usr/local/bin/ntlm_auth     3.67, seff, 07:52, 24/11/2007 [^] [ответить] [смотреть все]   +/– Господа, трабл пытаюсь настроить ntlm авторизацию, а сквид не стартует подск... весь текст скрыт [показать]     4.68, sda, 16:23, 25/11/2007 [^] [ответить] [смотреть все]   +/– >[оверквотинг удален] >2007/11/24 07:50:12| Loaded Icons. >2007/11/24 07:50:12| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 31. > >2007/11/24 07:50:12| Accepting ICP messages at 0.0.0.0, port 3130, FD 32. >2007/11/24 07:50:12| Ready to serve requests. >2007/11/24 07:50:12| WARNING: ntlmauthenticator #1 (FD 10) exited >2007/11/24 07:50:12| WARNING: ntlmauthenticator #2 (FD 11) exited >2007/11/24 07:50:12| WARNING: ntlmauthenticator #3 (FD 12) exited >2007/11/24 07:50:12| Too few ntlmauthenticator processes are running >FATAL: The ntlmauthenticator helpers are crashing too rapidly, need help! Блин, ну читайте же выше посты. Там есть мои ответы на эту ситуацию   1.69, freddy, 11:25, 06/12/2007 [ответить] [смотреть все]   +/– Про ntlm аутентификацию через группы 1 Пользователи, которых надо пускать в и-н... весь текст скрыт [показать]   1.73, REDPULSAR, 13:04, 28/08/2008 [ответить] [смотреть все]   +/– хм а ктонить делал так чтоб авторизированные пользователи на свиде шли в инет через нат? И при этом работал кеш (не принцепиально)     2.74, SeF, 01:08, 29/08/2008 [^] [ответить] [смотреть все] [показать ветку]   +/– >хм а ктонить делал так чтоб авторизированные пользователи на свиде шли в >инет через нат? >И при этом работал кеш (не принцепиально) Уважаемый, пора вылазить из тазика, если кеш не принципиален, то PPPoE  вам намного лучше поможет. З.Ы. При использовании PPPoE вам никто, не мешает необходимый трафик заворачивать как и куда угодно.   1.76, nixdaemon, 17:50, 03/02/2009 [ответить] [смотреть все]   +/– >хм а ктонить делал так чтоб авторизированные пользователи на свиде >шли в инет через нат? >И при этом работал кеш (не принцепиально) я делал. у меня на центральном шлюзе нат стоит под линуксом, а в локалке фря, на ней сквид с авторизацией в AD.   1.77, Margarita, 11:22, 16/03/2010 [ответить] [смотреть все]   +/– спасибо большое   1.78, Squid windows, 23:32, 05/07/2010 [ответить] [смотреть все]   +/– Добротная статья, спасибо!   1.79, aos, 15:40, 06/07/2011 [ответить] [смотреть все]   +/– статья лучшая из тех что мне попадались. из ньюансов скажу лишь что коннектил самбу в домен при акаунте отличном от administrator и паролем что не иммет в своем составе сложных спецсимволов   Ваш комментарий Имя:          E-Mail:       Заголовок: Текст:

ПОДПИШИСЬ НА ЖУРНАЛ Linux Format 2012! Журнал "Linux Format" (Линукс Формат)- Единственный в России и странах СНГ журнал на русском языке, посвящённый Linux и свободному ПО. Журнал для IT-директоров, IT-менеджеров, программистов, системных администраторов, учителей школ и преподавателей ВУЗов и всех пользователей ПК. В каждом выпуске: Новости индустрии OpenSource, обзоры новинок свободного ПО, обучающие и методические статьи. Каждый, кто оформит подписку, получает бонусы и подарки- объёмные наклейки на системный блок, диск с архивом номеров за 2005-2011 г.г. и ежемесячно электронную версию журнала в pdf-формате. Оформить подписку на год