Обсуждение статьи тематического каталога: Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)Ссылка на текст статьи: http://www.opennet.ru/base/net/win_domain_squid.txt.html
Ага, а теперь пробуем загрузить обновления с windowsupdate.microsoft.com с помощью windows xp sp2 + bits2 и получаем по лбу подарочным набором граблей. также засилие ошибок 407 в логах сквида очень разнообразит жизнь при использовании лог-парсеров сквида.
для более глубокого понимания читать сюда :)
http://devel.squid-cache.org/ntlm/
Спасибо за комментарии.
Попробовал установить все обновления.
Устанавливалось с локального sus сервера недельной давности.
Честно говоря не заметил проблем. Что имелось в виду? Где воникают проблемы?
Да, ошибок 407 довольно большое количество, однако при использовании парсеров их тоже можно парсить. Хотя это напрягает, согласен.>Ага, а теперь пробуем загрузить обновления с windowsupdate.microsoft.com с помощью windows xp
>sp2 + bits2 и получаем по лбу подарочным набором граблей. также
>засилие ошибок 407 в логах сквида очень разнообразит жизнь при использовании
>лог-парсеров сквида.
>для более глубокого понимания читать сюда :)
>http://devel.squid-cache.org/ntlm/
Не путайте тёплое с мягким. SUS никоем образом не равен windowsupdate.microsoft.com. А новая, post-sp2 winxp служба передачи файлов - bits2, ведёт себя очень неадекватно при использовании именно такой схемы. В общем, она не посылает повторные запросы при получении отклика 407 и "замирает" навсегда, как результат - компьютер сидит без обновлений. Как я встречал в интернете, подобные проблемы возможны с некоторыми аплетами и т.д., т.е. с более тупыми клиентами кеша. Микрософт наличие "особенностей" признают, но, как это обычно бывает, им всё равно. Use MS ISA(TM).
А в чем отличие SUS от windowsupdate?
Сходил на microsoft.com в стоке поиска указал bits 2.0, скачал (файл WindowsXP-KB842773-v2-x86-rus.exe для русской WinXP). Перезагрузился... вроде все пучком... в логе сквида нормальные запросы... правда много 407 но после получения ее все нормально.
Просьба указать на то как можно достичь описанного эффекта. Внедрение проекта на носу, хотелось бы на все грабли наступить...>Не путайте тёплое с мягким. SUS никоем образом не равен windowsupdate.microsoft.com. А
>новая, post-sp2 winxp служба передачи файлов - bits2, ведёт себя очень
>неадекватно при использовании именно такой схемы. В общем, она не посылает
>повторные запросы при получении отклика 407 и "замирает" навсегда, как результат
>- компьютер сидит без обновлений. Как я встречал в интернете, подобные
>проблемы возможны с некоторыми аплетами и т.д., т.е. с более тупыми
>клиентами кеша. Микрософт наличие "особенностей" признают, но, как это обычно бывает,
>им всё равно. Use MS ISA(TM).
>им всё равно. Use MS ISA(TM).
или use !IE
Может я конечно и не прав и сужу с высоты полета своей компании. Но я считаю, что если в компании есть два сервера одна из которых домен контроллер, а вторая шлюз в ИНЕТ, то явно есть и сервера приложений и/или СУБД. Куда действительно приспокойно ставится СУС, который отлично ходит через прокси. Плюс экономия траяика. Через GPO в домене настраивается политика обновления - и даже ходить никуда не нужно.
И что теперь?
mozilla без каких либо проблем может использовать схему ntlmssp
Спасибо за дополнение. Действительно mozilla и firefox прекрасно аутентифицируються и работают.
Люди, обьясните в каких случая стоит ставить kerberos? Всегда работаю без неё.
Да, это все хорошо, но вот если мне надо более гибкую схему проверки по группам?С samba2 это все работало так:
external_acl_type NT_Group ttl=60 %LOGIN /usr/local/libexec/squid/wb_group
acl InInetGroup external NT_Group Group1
acl InInetGroup external NT_Group Group2
и т.д.С samba3 такого не получается. Получается только задать жесткую привязку к одной группе, как это описано в статье.
Может я что-то пропустил?
Люди, вопрос в тему
дошёл до вот этого момента: wbinfo -a user%passwd
Получаю вот что:su-2.05b# /usr/local/samba/bin/wbinfo -a user%passwd
plaintext password authentication failed
error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
error messsage was: No such user
Could not authenticate user user%passwd with plaintext password
challenge/response password authentication succeededКто с этим сталкивался? Как обходили?
Надо подставлять имя домена в юзернейм.
Должна получиться строка вида: wbinfo -a domain+user%password (или wbinfo -a domain\user%password). Тогда проходит авторизация.
>Люди, вопрос в тему
>дошёл до вот этого момента: wbinfo -a user%passwd
>Получаю вот что:
>
>su-2.05b# /usr/local/samba/bin/wbinfo -a user%passwd
>plaintext password authentication failed
>error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
>error messsage was: No such user
>Could not authenticate user user%passwd with plaintext password
>challenge/response password authentication succeeded
>
>Кто с этим сталкивался? Как обходили?
Я с ентой фигней столкнулся. У тебя вероятно используется "winbind separator = \ ", попробуй поставить стандартный "+", мне во всяком случае ето помогло.
Этот вопрос меня очень долго интересует с момента перехода на samba 3!!!!!
>Этот вопрос меня очень долго интересует с момента перехода на samba 3!!!!!
>Ну а как авторизовываться то тогда????
Меня скоро на шампур натянут на работе, если я не разобью по группам пользователей:)
По группам получилось авторизовать вот так
#через группы домена
auth_param ntlm program /usr/local/libexec/squid/ntlm_auth board\\taid
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 10
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 minutes
#auth_param basic credentialsttl 2 hours# внешний хелпер для acl через группы
external_acl_type Domain_Group ttl=60 concurrency=5 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl# группа Inet1-acl
acl Inet1-acl external Domain_Group Inet1
http_access allow Inet1-acl allтолько пришлось напильником подравнять wbinfo_group.pl, т.к. он в качестве разделителя домена и пользователя понимает то что определенно в smb.conf, а ему подсовывают \, добавил строку
# заменяем \ на +
$user=~ tr/\\/+/s;
в wbinfo_group.pl перед return.
Esli server pod Win2003 so vsemi obnovlenijami, to pomozet tol'ko posledniaja samba 3.0.14a
Hi! Check "proxycfg -u" under Windows XP for Windows update to work. BR, Zhioorkie
Всезнающие помогите, а то уже сил нет. RHEL 4.0 Samba 3.0.10, Squid 1.25. Самбу настроил, Winbind работает, в сквиде прописал аунтификацию. А он (squid) гад не пускает.В логе появляется вот такая запись:
May 30 16:59:06 rhel kernel: audit(1117461546.224:0): avc: denied { create } for pid=833 exe=/usr/sbin/winbindd name=winbindd.log scontext=root:system_r:winbind_t tcontext=root:object_r:samba_log_t tclass=fileПодскажите где капать.
wbinfo -p и wbinfo -t что возвращают?
Машина в домен вошла нормально? KDC видит? Тикет получила?
wbinfo -a авторизацию проходит?..
Мало информации для помощи ;)
И посмотри разрешению на папку, куда winbindd логи кладет. Похоже, просто не может создать лог-файл...
Может кому пригодится. Я на счет слов:
> Пришлось указывать универсальный идентификатор группы в домене (SID).
Попробуйте так:
1) Если используется winbind separator = \ или просто не указывается в конфигурационном файле smb.conf, то --require-membership-of="Domain\\Group"
2) Если же winbind separator = + , то указвайте --require-membership-of="Domain\+Group"В моем случае именно такой синтаксис уберег от прямого использования SID - все-таки так более нагляднее.
Система: FreeBSD 4.11, Samba 3.0.20,1, domain W2K3
В самбе 3.0.26a столкнулся с такой траблой:
не join'илась в домен до тех пор пока не прописал доменное имя своего хоста в /etc/hosts
После этого действия получил заново тикет и только потом приджойнился.
Так что имейте ввиду - есть такая трабла ;)