The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов. (freebsd squid samba domain auth)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: freebsd, squid, samba, domain, auth,  (найти похожие документы)
From: Дмитрий Новиков <dmn@nnz.ru> Newsgroups: http://www.artmagic.ru/labs/ Date: Mon, 4 Dec 2002 13:01:37 +0000 (UTC) Subject: Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов. Оригинал: http://www.artmagic.ru/labs/sqlandwin.shtml Авторизация доступа к Интернет на основе Windows NT' \ 2000 авторизации. Вступление Классическим решением сандарта предприятия для организации Интернет-сервисов является сервер под управлением UNIX. Практически всегда для Web и FTP трафика используют кеширующий сервер SQUID, который также является стандартом de facto. Стандартным способом предоставления доступа к SQUID-серверу является доступ на основе специалицированных списков доступа (Access Lists или ACL). В свою очередь списки доступа обычно строятся на основе IP-сетей, которым разрешен доступ к SQUID. Например, определим ACL, которая описывает сеть 10.128.0.0/16 (или с маской 255.255.0.0). и ACL, которая описывает вообще все адреса squid.conf: acl net10128 src 10.128.0.0/16 acl all src 0.0.0.0/0 а теперь разрешим ей доступ к Интернет ресурсам http_access allow net10128 а всем остальным - запретим: http_access deny all После этого, только компьютерам из заданной сети разрешен доступ к Интернет. При использовании Internet-ресурсов, в лог-файл squid записывается информация о конкретном адресе, запросившем конкретный Интернет-ресурс: acess.log: 1032862411.262 96 10.128.15.4 TCP_MEM_HIT/200 2581 GET http://www.ru/eng/images/ssilki.jpg board/sag NONE/- image/jpeg Здесь присутсвует дата, размер ресурса, IP-адрес станции, зпросившей ресурс, и сам ресурс. Из такого рода записей можно подсчитать трафик как по станции, так и по под-сети. Однако приведенная выше технология позволяет контролировать трафик по IP-адресу Интернет-пользователя. В большинстве случаев этот способ вполне подходит, однако при этом необходимо, чтобы за конретным компьютеров всегда работал конкретный человек. Это условие выполняется не всегда и тогда учет трафика нарушается. Вот типичные условия, при которых требуется другая схема авторизации в Интернете: * Различные пользователи работают на одном и том же рабочем месте (например, посменно) * Пользователи вообще не привязаны к конкретным компьютерам. * Пользователи работают в терминальных сессиях терминального сервера. Тогда вообще весь Интернет-трафик идет с IP-адреса сервера. Поэтому часто встает проблема учета трафика не на основе IP, а на основе другой информации. Авторизация на основе логина и пароля Логичным решением поставленной во вступлении проблемы является авторизация в SQUID по логину и раолю. Такая возможность в SQUID, естесвенно предусмотрена. В SQUID для этого разработана возможность авторизовать через внешнюю программу, которая просто "говорит" "да или "нет" на определенног о пользователя и пароль. Т.о. Можно производить авторизацию по учетной записи умеет производить авторизацию через учетные записи UNIX, через текстовые файлы и т.п. Например, для того чтобы пользователь авторизовался через файл /usr/local/squid/passwd формата Веб-авторизации (формат Apache), нужно скомпилировать squid вместе с этим модулем (--enable-auth="ncsa; подробнее см. документацию к SQUID). И в конфиг SQUID добавить ACL и разрешающее правило: Разрешает доступ пользователям dima petya vasya, пароли которых будут проверены через файл /usr/local/squid/passwd acl MYUSERS proxy_auth dima petya vasya http_access allow MYUSERS http_access deny all authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd *) *) для версии 2.4 При этом, это решает поставленные в "Введении" проблемы, однако добавляет некоторые неудобства пользователям и администратору: * При первичном входе в Интернет пользователю нужно набратьв броузере логин\пароль для доступа к SQUID. И каждому пользователю необходимо помнить свои параметры. * Администратору необходимо вести базу логинов и паролей в файле. Авторизация через учетные записи Windows При работе в Windows-сетях каждый пользователь при входе в сеть проходит авторизацию в NT(2000)-домене. Было бы здорово использовать эти данные для авторизации SQUID. Тогда решаются проблемы ведения в SQUID отдельной базы данных пользователей и, как оказалось, можно решить проблему запроса логина\пароля в броузере при входе в Интернет. Главная проблема при решении авторизации через Windows-домен - найти и настроить программу для авторизации заданного пользователя в Windows-домене. Команда SQUID рекомендует пользоваться программой winbindd, которая является частью проекта SAMBA (реализация Windows сервера и клиента под UNIX), SQUID, начиная с версии 2.5 поддерживает различные схемы авторизации по логину\паролю, включая basic и NTLM (NT Lan Manager). Basic-схема предназначена для авторизации через ввод логина\пароля в броузере, а NTLM-схема предназначена для автоматического приема броузером логина, пароля и домена, под которыми пользователь зарегистрировался в Windows-домене. Т.о. с помощью NTLM-авторизации можно автоматически регистрироваться в SQUID без ручного подтверждения логина и пароля. Практическое решение построения системы авторизации через Windows домен. Практическое решение проблемы было найдено опытным путем и может быть не самым изящным и правильным. Но прелесть его в том, что оно доделано да конца и работает. Исходные данные 1.Компьютер, подключенный к Интернет с установленной ОС: FreeBSD 4.4 (версия и сама ОС не имеют принципиального значения) 2.Сеть, содержащая около 200 Windows-станций, включая терминальные серверы и клиенты 3.Около 250 аккаунтов в домене под управлением Windows 2000 Advanced сервер (домен WORK и 4 доверительных домена). Задача. Обеспечить авторизацию пользователей на SQUID через учетные записи Windowы наиболее удобным способом. План действий 1.Установка и конфигурация SAMBA. * Итак первое, что надо сделать - установить SAMBA для того,чтобы уметь авторизоваться в Windows-домене. Я установил версию 2.2.6pre2. Причем, важно скомпилировать SAMBA с поддержкой winbind, т.е. С параметрами --with-winbind --with-winbind-auth-challenge Примечание: В FreeBSD SAMBA была собрана из портов (ports) и оказалось, что с текущей версией не собирается библиотека CUPS. Поэтому SAMBA была собрана без нее (--without_cups). * После установки, SAMBA нужно настроить на домен Windows сети и на использование winbind: [global] workgroup = WORK - Имя нашего Windows-домена netbios name = vGATE - Имя сервера (необязательно) server string = vGate hosts allow = 10.128. 127. - Для безопасности. winbind separator = + winbind use default domain = yes winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes template homedir = /home/winnt/%D/%U template shell = /bin/bash max log size = 50 security = domain password server = Primary Exch - серверы паролей (PDC, BDC) encrypt passwords = yes Следует обратить внимание на 2 вещи: 1. Сначала в параметре password server был указан только PDC (Primary) и winbind не смог найти контроллер домена. Все заработало когда был добавлен BDC (Exch). 2. Оба имени - это NetBIOS имена и для того, чтобы они равильно интерпретировались в IP я прописал их в /usr/local/etc/lmhosts 10.128.1.40 Primary 10.128.1.34 Exch * После этого необходимо заригестрировать SAMBA в домене Windows. Для этого нужэно набрать команду: /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator После этого, следует ввести пароль админиcтратора домена. Наблюдались проблемы с samba 2.2.4 и регистрацией в нашем ломене - именно поэтому была поставлена версия 2.2.6 из портов. Далее можно запустить nmbd (/usr/local/sbin/nmbd -D) лучше с включенным дебагом (-d9) и посмотреть в лог-файл, что сеть нормально видна. * Далее можно смело пускать winbindd (/usr/local/sbin/winbindd -d9) - тоже с дебагом и посмотреть как он себя "чувствует" в нашей сети. Спустя примерно секунд 10, можно проверить а запустился ли winbind и функционирует ли он. * Для взаимодействия с winbind служит команда wbinfo. Проверить "видит" ли она winbindd вообще можно командой wbinfio -p. Если она ответит: 'ping' to winbindd succeeded, то значит все в порядке. Иначе надо смотреть в лог-файл winbindd и понимать почему он не запустился. (На самом деле запускается он всегда, да вот на запросы отвечает только если правильно видит сеть). Далее можно попробовать проверить а видит ли winbindd сервер с паролями пользователей (wbinfo -t). Сервер должен сказать "Secret is good". Если получен ответ "Secrets is bad" то скорее всего проблемы с библиотеками winbindd. 1. Остановите smbd и winbindd 2. Удалите файлы secrets.tdb и MACHINE.SID (последнего может и не быть) 3. На PDC удалите запись о компьютере и одождите удаления его из кэша (примерно 10 минут) 4. cp nsswitch/libnss_winbind.so /libln 5. ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.1 6. ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2 7. В файле /etc/nsswitch.conf должен содержать стро вида passwd: files winbind group: files winbind 8. Запустите smbd 9. Запустите winbindd 10. Добавте машину в домен, как указано выше. 11. Проверьте правильность работы командой wbinfo -t Если выдержать нужный интервал в пункте 3, то всё должно заработать. И, наконец, можно попробовать авторизоваться из UNIX в Wondows домен: wbinfo -a пользователеь_домена%пароль. Если пользователь авторизовался, будет выдано: plaintext password authentication succeeded error code was NT_STATUS_OK (0x0) challenge/response password authentication succeeded error code was NT_STATUS_OK (0x0) Если неправильный пароль, то error code was NT_STATUS_WRONG_PASSWORD (0xc000006a) Could not authenticate user dmn%doct with plaintext password challenge/response password authentication faile error code was NT_STATUS_WRONG_PASSWORD (0xc000006a) Could not authenticate user dmn with challenge/response Все это значит, что модуль wbinfo наконец настроен и правильно функционирует. Можно приступать к настройке SQUID. 2.Теперь нужно настроить SQUID. * Для начала, нужно отметить, что NTLM схему поддерживает SQUID, начиная с версии 2.5. Поэтому я скачал версию 2.5.PRE13. * Далее, SQUID нужно скомпилировать с поддержкой схем авторизации и модулем winbind../configure -enable-auth="ntlm,basic" \ --enable-basic-auth-helpers="winbind"\ --enable-ntlm-auth-helpers="winbind" * Теперь можно проверить а понимает ли SQUID-овский авторизатор winbind. Для этого нужно запустить: /usr/local/squid/libexec/wb_auth -d И ввести вручную имя пароль (через пробел). Если все работает корректно, то программа выдаст /wb_auth[91945](wb_basic_auth.c:129): Got 'dmn XXXXX' from squid (length: 10). /wb_auth[91945](wb_basic_auth.c:55): winbindd result: 0 /wb_auth[91945](wb_basic_auth.c:58): sending 'OK' to squid * После этого, нужно настроить squid, чтобы он корректно работал на основе IP-авторизации (см введение). * Теперь осталось подключить авторизацию к SQUID. Для этого в конфиге SQUID нужно описать в схемы авторизации через winbind auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic program /usr/local/squid/libexec/wb_auth auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours Причем важно чтобы NTLM авторизация шла первой, иначе будет применяться авторизация basic и IE будет спрашивать пароль. * Дальше нужно сделать соответсвующую ACL и параметр доступа. Важно, чтобы это шло после описания авторизаций. acl myusers proxy_auth REQUIRED http_access allow myusers http_access deny all Теперь остается запустить SQUID и все проверить. Что должно быть * Если пользователь авторизовался в домене, то IE не спросит пароль, а пойдетт сразу в Интернет. Причем, в лог-файле SQUID будет бесценная информация, а кто это был: 1032943720.839 180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280 GET http://www.ru/eng/images/demos.jpg work\dmn DIRECT/194.87.0.50 image/jpeg Т.е. Это был пользователь dmn из домена work. * Если пользователь не авторизовался в домене - его спросят логин и пароль. Если он введет логин\пароль такой же, как при входе в домен, то его пустят в Интернет. * Если пользователь пользуется не IE (например, Mozilla, Netscape, Opera), он будет должен набрать свой логин и пароль для авторизации в Windows. * Если аккаунт в Windows-домене закрыт, то и доступ в Интернет будет закрыт. Примечания * Winbind корректно авторизует не только в заданном домене, но и в Trust-доменах, TRUST-домены можно посмотреть командой wbinfo -m * Вообще у команды wbinfo есть масса полезных функций, подробнее их можно узнать wbinfo -h * По умолчанию для FreeBSD 4.4 из портов устанавливается версия SQUID 2.4. Она не подходит. Пакет нужно качать с сайта www.squid-cache.org. * Пути к программам для различных ОС могут быть разными Ссылки * Документация по SQUID: http://www.squid-cache.org * FAQ по SQUID как надо настраивать WinBIND авторизацию: http://www.squid-cache.org/Doc/FAQ/FAQ-23.html * Документация по SAMBA: www.samba.org * Поиск по группам новостей через http://www.google.com по поисковым словам squid winbind wb_auth ntlm Отзывы и дополнения присылайте Дмитрию Новикову на адрес dmn@nnz.ru Дополнения после публикации на http://www.linux.org.ru Господин с ником "and3008" дополняет и разъясняет: 1. Авторизация при прозрачном кэшировании НЕВОЗМОЖНА! 2. Про безопасность: NTLM действительно является не безопасной штукой. По крайней мере версия 1.0 В WinNT 4.0 с SP3 и выше и Win2000 используется NTLM версии 2.0 В Самбе он так же используется по умолчанию (с версии 2.2.0 кажись). plain-text используется когда клиент (браузер) не умеет авторизоваться по NTLM. На сегодняшний день это умеет делать только IE 4.X и выше. Пароль при plain-text авторизации все же не передается в чистом виде. Применяется кодирование base64. Так что школьники-кулхацкеры вероятно отдохнут. :) 3. Лирическое отступление по поводу паролей. Более-менее надежной является аутентификация через Kerberos, но дядя Билл сделал в W2K свою реализацию Kerberos и таперича его низя использовать из других (отличных от Windows) систем. В связи с этим Самба доселе не может подружиться с W2K доменом в режиме native. 4. Аутентификация NTLM не работает в случае если кэши работают в режиме "ёлки". Авторизацию NTLM over HTTP не работает через иерархию прокси. Это ФАКТ! Много вопоросов было как авторизовать опреленные группы из Wondows домена. Господин с ником "debosh2k" разъясняет: Для авторизации групп - --enable-external-acl-helpers="winbind_group" (это при компилировании SQUID) далее идем в $src/helpers/external_acl/winbind_group и читаем readme. Пишем три строки в конфге (SQUID) и тащимся. PS. Есть еще wbinfo_group тамже - враппер на перле.

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
 
  • 1.1, Денис (?), 08:57, 06/02/2003 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Очень мало информации (для новичка) ну неужели это все так просто.
     
  • 1.2, cr (?), 15:32, 24/02/2003 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Интересно и обстоятельно :)Уже начал все переделывать-пока работает :)
     
  • 1.3, Arthur (?), 19:23, 20/03/2003 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Сделал все так как описано. Не работает. Причины вижу 2:
    1) Домен в native mode
    2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется. Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси, точнее когда должно сработать разрешение, оно не срабатывает. Черт знает...
     
     
  • 2.52, logan (ok), 10:32, 13/10/2006 [^] [ответить]     [к модератору]
  • +/
    native mode здесь ни при чем Авторизация в прозрачном режиме НЕ-РА-БО-ТА-ЕТ ее... весь текст скрыт [показать]
     
  • 1.4, fduch (?), 13:11, 28/04/2003 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    У меня домен простроен на Samba-tng + LDAP. А как в этом случае присоеденить SAMBA-сервер к домену?
     
  • 1.5, gag (?), 13:28, 24/05/2003 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    1. Имеем сеть конторы ок 50 машин в домене вин2к
      которые авторизуются как было описано в статье.
          2. Сеть нескольких соседних контор тоже ок 50 машин которых в домен пускать не хочется по понятным причинам.
      Вопрос такого плана: если применять в добавление к winbind аутентификацию NCSA то как их подружить вместе? С какими оциями компилить сквида?


      Спасибо !!!

     
  • 1.6, Дмитрий (?), 16:16, 26/05/2003 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Столкнулся с проблемой: пользователи c русскими именами из домена не проходят авторизацию. Это можно как-то победить? С пользователи с латинскими буквами все без проблем.
     
  • 1.7, Алексей (?), 11:25, 16/07/2003 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Везде написано как сделать аутентификацию с помощью winbind, если PDC это одна машина, а Squid с Samba+winbind на другой. А у меня должно все работать на одной. Т.е. у меня Samba  должна работать в качестве PDC и в тоже время с winbind. Можно ли как-нибудь это сделать?
     
  • 1.8, alexus (?), 07:18, 08/10/2003 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Установил я самбу из портов во фрях 4.7
    И не обнаружил файлы wbinfo и smbpass
    Почему изх нет ???
     
     
  • 2.11, Maxim (?), 12:22, 10/10/2003 [^] [ответить]    [к модератору]  
  • +/
    >Установил я самбу из портов во фрях 4.7
    >И не обнаружил файлы wbinfo и smbpass
    >Почему изх нет ???

    smbpass - читай - net join

     
  • 1.9, kanat (?), 10:37, 08/10/2003 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    как открыть порты smtp и pop3 в squid.conf
     
  • 1.10, alexus (?), 06:18, 09/10/2003 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а разве можно почтовые программы настроить через прокси-сквид без дополнительных программ, которые перенаправляют пакеты на порт сквида?
     
     
  • 2.13, Дмитрий Ю. Карпов (?), 12:47, 27/11/2003 [^] [ответить]    [к модератору]  
  • +/
    -
     
  • 1.12, Piter Ring (?), 16:31, 25/11/2003 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А пробовал ктото привязать на Фрибсд5 Самбу3 плюс сквид3 с авторизацией в Вин2003сервер?
    Я пробовал увязать сие чудо, самба стала нормально и зарегистрилась в домене без проблем (ЛДАП не ставил) но стопорнулся на привязке авторизации свкида к самбе.
    Если кто сумел уложить это все в одну кучу - поделитесь плиз опытом.
     
     
  • 2.14, MF_FLIP (?), 10:32, 19/12/2003 [^] [ответить]     [к модератору]  
  • +/
    Supported Samba Releases Squid 2 5 uses an internal Samba interface to communica... весь текст скрыт [показать]
     
  • 2.16, inney (?), 14:05, 28/04/2004 [^] [ответить]    [к модератору]  
  • +/
    читай какой версии winbind юзается в squid'e $squid/include/samba

    у меня заработало всё только после того как вместо samba 3.0.2a я прикрутил к squid'у 2.5 samba2.2.7a

     
  • 1.15, Simba (?), 21:28, 25/04/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Mozilla поддерживает NTLM с 1.4, единственная серьёзная проблема с ней - удалось-ли кому-нибудь научить её не показывать окошко пароль/логин, а подставлять их от вошедшего пользователя? Если удалось - очень хотечется узнать как.
     
  • 1.17, vlad (??), 11:21, 08/06/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Маааленькое дополнение....
    Если PDC Win 2003 Server (по документации и w2k Advanced server, но я не проверял) при попытке выполнить /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator получаем "NT_STATUS_ACCESS_DENIED". Оказывается, сначала необходимо на PDC в Active directory добавить компьютер, на котором установлена samba, поставив галочку "назначить учетной записи статус пред-Windows 2000 компьютера". После этого - /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator. И все.
    Источник - http://sunportal.sunmanagers.org/pipermail/summaries/2003-June/003961.html
     
  • 1.18, gagus (??), 22:49, 10/07/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Проблема такая, при вводе команды

    net join -I 192.168.1.1 -r 192.168.1.1 -U user
    (адреса вместо имён стоят потому что имена самба не находит)
    получаю такое

    [2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)
      kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm
    [2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
      cli_nt_setup_creds: request challenge failed
    [2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
      cli_nt_setup_creds: request challenge failed
    [2004/07/11 00:30:18, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(319)
      Error domain join verification (reused connection): NT_STATUS_INVALID_COMPUTER_NAME

    Unable to join domain INFORM.

    что это значит ?

     
     
  • 2.23, GreatFoolDad (??), 15:29, 04/10/2004 [^] [ответить]     [к модератору]  
  • +/
    И что, решил ты эту проблему Ответов что-то не наблюдаю У меня что-то похожее ... весь текст скрыт [показать]
     
  • 2.25, Olegas (?), 21:19, 11/10/2004 [^] [ответить]     [к модератору]  
  • +/
    Вот это очень похоже на то что нет или неверный etc krb5 conf... весь текст скрыт [показать]
     
  • 1.19, maddog (?), 15:08, 12/07/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А как при использовании НТ авторизации замутить ограничение доступа, скажем по количеству скаченной инфы?
     
     
  • 2.20, alistro (?), 17:18, 13/07/2004 [^] [ответить]    [к модератору]  
  • +/
    меня тоже волнует этот вопрос
     
  • 1.21, NTLM пользователи вне домена (?), 14:50, 10/08/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Как быть если есть левые пользователи в не домена?
    Возможно ли использовать два типа авторизации?
    Завести для них отдельную базу?
     
  • 1.22, zmej (?), 11:41, 08/09/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    сделал все работает
    дистрибутив asp9
    samba-3.0.6 из RPM
    squid пришлось собирать вручную
    и не забудте дать права сквиду на каталог windindd'a /var/lib/samba/winbindd_privileged/
     
     
  • 2.24, Black_Dragon (ok), 14:56, 06/10/2004 [^] [ответить]    [к модератору]  
  • +/
    А если у меня winbindd лежит в /usr/sbin
    и прова на выполнение есть у всех,
    а wb_auth (при тестировании) его даже под рутом не видит
    (самба 3.0.6 сквид 2.5-стабле6)
     
  • 1.26, Olegas (?), 21:24, 11/10/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    FreeBSD 5.2
    Squid 2.5
    Samba 3.0.6
    DС's OS Win2003 server

    авторизация через ntlm_auth --helper-protocol=squid-2.5-ntlmssp
    В логе не "ДОМЕН\ЮЗЕР" а просто "Юзер" что делать?

    Настраивал тоже самое точно также в других доменах - в логах ДОМЕН\ЮЗЕР
    Может ли быть бага в версии самбы/каких-то настройках домена?


     
     
  • 2.27, nuz (??), 04:20, 18/10/2004 [^] [ответить]    [к модератору]  
  • +/
    в smb.conf параметр winbind use default domain = no и будет писать домен по умолчанию
     
  • 1.28, arruah (??), 07:49, 27/10/2004 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    у меня самба работает через openldap можно ли сделать так чтобы провера пароля проходила не через посредника (samba) а сразу на openldap ?
     
  • 1.29, Nichls (??), 16:12, 03/11/2004 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    GhjПроал все выше казанное В домен ввел - все ОК triton mount_smbfs -I srv1 ... весь текст скрыт [показать]
     
     
  • 2.30, Olegas (?), 00:50, 04/11/2004 [^] [ответить]     [к модератору]  
  • +/
    Вот это вот говорит о том, что прокси не принял авторизацию клиента X-Squid-Er... весь текст скрыт [показать]
     
     
  • 3.31, Nichls (??), 14:43, 05/11/2004 [^] [ответить]     [к модератору]  
  • +/
    Привет Спасибо, что откликнулся Начну по порядку 1 acl password proxy_auth R... весь текст скрыт [показать]
     
     
  • 4.32, Olegas (?), 15:01, 05/11/2004 [^] [ответить]     [к модератору]  
  • +/
    Начнем с конца Как узнал имя NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOC... весь текст скрыт [показать]
     
     
  • 5.33, Nichls (??), 18:55, 05/11/2004 [^] [ответить]     [к модератору]  
  • +/
    1 triton usr local samba bin wbinfo -p ping to winbindd succeeded triton 2... весь текст скрыт [показать]
     
     
  • 6.34, Olegas (?), 15:31, 08/11/2004 [^] [ответить]     [к модератору]  
  • +/
    К сожалению я все это проделывал на самбе 3 0 6,поэтому через wb_auth я это ниче... весь текст скрыт [показать]
     
     
  • 7.35, Nichls (ok), 19:59, 30/11/2004 [^] [ответить]    [к модератору]  
  • +/
    Привет.
    Поставил:
    samba 3.0.8
    squid-2.5.STABLE6

    На выходе все заработало, за исключением одного НО - IE спрашивает логин/пароль.

    Как это победить?

     
     
  • 8.36, Olegas (?), 21:23, 30/11/2004 [^] [ответить]    [к модератору]  
  • +/
    >Как это победить?

    1. Машина с IE в домене?
    2. Юзер в домене авторизовался?
    3. Машина со сквидом в домене?
    4. Самба корректно работает? Зашла в домен? Имеет доступ к PDC?
    ./winbindd -i -d 3
    и смотрим нет ли каких ошибок при запуске винбинда.


     
     
  • 9.37, Nichls (ok), 11:27, 02/12/2004 [^] [ответить]     [к модератору]  
  • +/
    Привет 1 Да 2 Да 3 Да 4 Думаю, что да По шарам на Win2K под логином пароле... весь текст скрыт [показать]
     
     
  • 10.38, Olegas (?), 11:38, 02/12/2004 [^] [ответить]    [к модератору]  
  • +/
    Судя по логам пока все ок.
    А что пишется в логах при попытке авторизации с виндовой машины?

    Еще вариант - у пользователя www (или под кем там сквид бежит?) нет доступа к пайпе winbind'a
    http://samba.rinet.ru/devel/docs/html/winbindd.8.html
    почитай вот тут, там, если дейтсвительно в этом проблема, описано у кого и на что должны быть права.

    Если проблема в этом то в логах винбинда при авторизации должны появляться строки типа "access denied" или что-то в этом роде. В общем он будет материцца что доступа нет к пайпе.

     
     
  • 11.39, Nichls (ok), 12:08, 02/12/2004 [^] [ответить]     [к модератору]  
  • +/
    Привет Начал логинится и вот что увидел piton usr local samba sbin winbindd ... весь текст скрыт [показать]
     
     
  • 12.40, Nichls (ok), 14:23, 02/12/2004 [^] [ответить]    [к модератору]  
  • +/
    Коментарий к:

    И еще вот лог winbind'a

    piton# tail -20 /usr/local/samba/var/log.winbindd
    [2004/11/22 21:00:11, 1] nsswitch/winbindd.c:main(865)
      winbindd version 3.0.8 started.
      Copyright The Samba Team 2000-2004
    [2004/11/22 21:00:16, 1] nsswitch/winbindd_util.c:init_domain_list(327)
      Could not fetch sid for our domain MYDOMAIN
    [2004/11/23 14:53:56, 1] nsswitch/winbindd.c:main(865)
      winbindd version 3.0.8 started.
      Copyright The Samba Team 2000-2004

    ========================== Тут торопился - не ту строку скопировал ==========================
    Не понятна фраза "Copyright The Samba Team 2000-2004".
    ========================== Тут торопился - не ту строку скопировал ==========================

    ========================== Вот так правильнее ==========================
    Не понятна фраза "Could not fetch sid for our domain MYDOMAIN".
    ========================== Вот так правильнее ==========================

    С Уважением, Александр.

    PS Извините за флуд.

     
     
  • 13.41, Nichls (ok), 18:55, 02/12/2004 [^] [ответить]     [к модератору]  
  • +/
    Вроде поборол Теперь при выходе в Интернет IE, если пользователь добавлен в опр... весь текст скрыт [показать]
     
  • 1.42, Pashka (??), 20:14, 15/02/2005 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    вроде запела песня эта хриплая... :)

    а как можно сделать, чтоб с части IP-ов можно было без авторизации выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне - проверяло бы.

    и всетаки... есть ли решение с учетными записаями на русском? оно вроде в винбинд юникод пихает если я правильно угадал из дебагмоды.

     
     
  • 2.43, Olegas (?), 22:19, 15/02/2005 [^] [ответить]    [к модератору]  
  • +/
    >вроде запела песня эта хриплая... :)
    >
    >а как можно сделать, чтоб с части IP-ов можно было без авторизации
    >выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
    >- проверяло бы.
    # эти товарищи пойдут без авторизации
    acl trusted src 192.168.17.1
    acl trusted src 192.168.18.0/24
    http_access allow trusted

    #а эти с авторизацией
    acl auth proxy_auth REQUIRED
    acl untrusted src 192.168.200.0/24
    http_access allow untrusted auth

    #кажется так, вроде не напутал

    http_access deny all

    >
    >и всетаки... есть ли решение с учетными записаями на русском? оно вроде
    >в винбинд юникод пихает если я правильно угадал из дебагмоды.

    Есть, в коях пишешь слудующие штуки (может быть можно и не в коях, все зависит от настроек самбы, у меня настроено на KOI8-R и работает с русскими именами)
    acl auth_vasya proxy_auth DOMAIN\Вася
    http_access allow auth_vasya

     
     
  • 3.47, vovan (??), 18:37, 04/05/2006 [^] [ответить]    [к модератору]  
  • +/
    >>вроде запела песня эта хриплая... :)
    >>
    >>а как можно сделать, чтоб с части IP-ов можно было без авторизации
    >>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
    >>- проверяло бы.
    ># эти товарищи пойдут без авторизации
    >acl trusted src 192.168.17.1
    >acl trusted src 192.168.18.0/24
    >http_access allow trusted
    >
    >#а эти с авторизацией
    >acl auth proxy_auth REQUIRED
    >acl untrusted src 192.168.200.0/24
    >http_access allow untrusted auth
    >
    >#кажется так, вроде не напутал
    >
    >http_access deny all
    >
    >>
    >>и всетаки... есть ли решение с учетными записаями на русском? оно вроде
    >>в винбинд юникод пихает если я правильно угадал из дебагмоды.
    >
    >Есть, в коях пишешь слудующие штуки (может быть можно и не в
    >коях, все зависит от настроек самбы, у меня настроено на KOI8-R
    >и работает с русскими именами)
    >acl auth_vasya proxy_auth DOMAIN\Вася
    >http_access allow auth_vasya


    а если у меня этих Вась мнооого?

     
     
  • 4.48, Olegas (?), 19:06, 04/05/2006 [^] [ответить]    [к модератору]  
  • +/
    Записываешь их всех. Или пишешь скрипт который зделает это за тебя

     
  • 1.45, uuu (?), 17:47, 26/01/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена?
    остается тока настроить pppoe сервер или поставить аппаратные и прописать ему юзеров с пассами из домена
     
     
  • 2.49, Nichls (ok), 19:37, 04/05/2006 [^] [ответить]    [к модератору]  
  • +/
    Спрашивается, а зачем вообще заводить пользователей с русскими логинами?

    PS
    Да и вообще, зачем их самому заводить 8)?
    Пусть это делает отдел кадров (такое подразделение есть практически в любой конторе), а мудрый скрипт все выгружает в АД. ИМХО.

     
     
  • 3.50, vovan (??), 10:10, 05/05/2006 [^] [ответить]    [к модератору]  
  • +/
    Да не я их заводил... в наследство досталось... вот и пытаюсь как-то подружить
     
  • 1.51, hash (??), 19:08, 11/10/2006 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А кто-нибудь после сквида смог накормить этим хозяйством SquidGuard'а? Т.е. резать не по аресу, а по имени полученному из AD? Если да, то поделитесь опытом плз.
     
     
  • 2.53, Артм (?), 17:22, 26/10/2006 [^] [ответить]    [к модератору]  
  • +/
    Вопрос:
           есть Домен,в нём есть группы iusers1 iusers2 iusers3
    как реализовать?:

    авторизация через winbindd
    так чтоб группа iusers1 соответствовала своему acl name'у, допустим usr1;а остальные группы соответственно usr2 и usr3

    ОГРОМНА ПРОСЬБА ПОМОГИТЕ !!!!

    ЗЫ: Напишите пример конфига !!!

     
     
  • 3.54, Shapelsa (?), 16:24, 28/10/2006 [^] [ответить]    [к модератору]  
  • +/
    Зачем winbindd ???
    Зачем samba ???

    http://group-ldap-auth.sourceforge.net/
    нашол тута http://www.squid-cache.org/related-software.html
    на оффсайти

     
  • 1.55, Squidnik (?), 17:10, 13/02/2007 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А если не группы, а пользоватлей раскидать по разным acl например так
    acl BOSS proxy_auth Admin BOSS
    acl Client proxy_auth User1 User 2 ...UserX
    acl Clients proxy_auth REQUIRED # dctостальные

    так сработает ?

     
  • 1.56, Bobre (??), 17:11, 28/08/2008 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    очепятки "паролю" а не "раолю"
     

    Ваш комментарий
    Имя:         
    E-Mail:      
    Заголовок:
    Текст:




      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor