The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Тематический каталог: Аутентификация пользователей в squid ч..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"Тематический каталог: Аутентификация пользователей в squid ч..."  
Сообщение от auto_topic (??) on 28-Фев-05, 04:01 
Обсуждение статьи тематического каталога: Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)

Ссылка на текст статьи: http://www.opennet.ru/base/net/win_domain_squid.txt.html

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Admin (??) on 28-Фев-05, 04:01 
Ага, а теперь пробуем загрузить обновления с windowsupdate.microsoft.com с помощью windows xp sp2 + bits2 и получаем по лбу подарочным набором граблей. также засилие ошибок 407 в логах сквида очень разнообразит жизнь при использовании лог-парсеров сквида.
для более глубокого понимания читать сюда :)
http://devel.squid-cache.org/ntlm/
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от pablo email(??) on 28-Фев-05, 14:36 
Спасибо за комментарии.
Попробовал установить все обновления.
Устанавливалось с локального sus сервера недельной давности.
Честно говоря не заметил проблем. Что имелось в виду? Где воникают проблемы?
Да, ошибок 407 довольно большое количество, однако при использовании парсеров их тоже можно парсить. Хотя это напрягает, согласен.

>Ага, а теперь пробуем загрузить обновления с windowsupdate.microsoft.com с помощью windows xp
>sp2 + bits2 и получаем по лбу подарочным набором граблей. также
>засилие ошибок 407 в логах сквида очень разнообразит жизнь при использовании
>лог-парсеров сквида.
>для более глубокого понимания читать сюда :)
>http://devel.squid-cache.org/ntlm/


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Admin (??) on 28-Фев-05, 14:43 
Не путайте тёплое с мягким. SUS никоем образом не равен windowsupdate.microsoft.com. А новая, post-sp2 winxp служба передачи файлов - bits2, ведёт себя очень неадекватно при использовании именно такой схемы. В общем, она не посылает повторные запросы при получении отклика 407 и "замирает" навсегда, как результат - компьютер сидит без обновлений. Как я встречал в интернете, подобные проблемы возможны с некоторыми аплетами и т.д., т.е. с более тупыми клиентами кеша. Микрософт наличие "особенностей" признают, но, как это обычно бывает, им всё равно. Use MS ISA(TM).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от pablo email(??) on 01-Мрт-05, 10:29 
А в чем отличие SUS от windowsupdate?
Сходил на microsoft.com в стоке поиска указал bits 2.0, скачал (файл WindowsXP-KB842773-v2-x86-rus.exe для русской WinXP). Перезагрузился... вроде все пучком... в логе сквида нормальные запросы... правда много 407 но после получения ее все нормально.
Просьба указать на то как можно достичь описанного эффекта. Внедрение проекта на носу, хотелось бы на все грабли наступить...

>Не путайте тёплое с мягким. SUS никоем образом не равен windowsupdate.microsoft.com. А
>новая, post-sp2 winxp служба передачи файлов - bits2, ведёт себя очень
>неадекватно при использовании именно такой схемы. В общем, она не посылает
>повторные запросы при получении отклика 407 и "замирает" навсегда, как результат
>- компьютер сидит без обновлений. Как я встречал в интернете, подобные
>проблемы возможны с некоторыми аплетами и т.д., т.е. с более тупыми
>клиентами кеша. Микрософт наличие "особенностей" признают, но, как это обычно бывает,
>им всё равно. Use MS ISA(TM).


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от root (??) on 02-Мрт-05, 08:21 
>им всё равно. Use MS ISA(TM).
или use !IE


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Kapitan email(??) on 28-Сен-05, 23:23 
Может я конечно и не прав и сужу с высоты полета своей компании. Но я считаю, что если в компании есть два сервера одна из которых домен контроллер, а вторая шлюз в ИНЕТ, то явно есть и сервера приложений и/или СУБД. Куда действительно приспокойно ставится СУС, который отлично ходит через прокси. Плюс экономия траяика. Через GPO в домене настраивается политика обновления - и даже ходить никуда не нужно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от ds_shadof email on 28-Фев-05, 09:28 
И что теперь?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от ds_shadof email on 28-Фев-05, 09:32 
mozilla без каких либо проблем может использовать схему ntlmssp
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от pablo email(??) on 28-Фев-05, 14:24 
Спасибо за дополнение. Действительно mozilla и firefox прекрасно аутентифицируються и работают.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Ivan512 on 02-Мрт-05, 08:27 
Люди, обьясните в каких случая стоит ставить kerberos? Всегда работаю без неё.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Тематический каталог: Аутентификация пользователей в squid ч..."  
Сообщение от Sem email(ok) on 02-Мрт-05, 11:56 
Да, это все хорошо, но вот если мне надо более гибкую схему проверки по группам?

С samba2 это все работало так:
external_acl_type NT_Group ttl=60 %LOGIN /usr/local/libexec/squid/wb_group
acl InInetGroup external NT_Group Group1
acl InInetGroup external NT_Group Group2
и т.д.

С samba3 такого не получается. Получается только задать жесткую привязку к одной группе, как это описано в статье.

Может я что-то пропустил?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Тематический каталог: Аутентификация пользователей в squid ч..."  
Сообщение от Finch email(??) on 03-Мрт-05, 09:57 
Люди, вопрос в тему
дошёл до вот этого момента: wbinfo -a user%passwd
Получаю вот что:

su-2.05b# /usr/local/samba/bin/wbinfo -a user%passwd
plaintext password authentication failed
error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
error messsage was: No such user
Could not authenticate user user%passwd with plaintext password
challenge/response password authentication succeeded

Кто с этим сталкивался? Как обходили?


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Тематический каталог: Аутентификация пользователей в squid ч..."  
Сообщение от nuHrBuH (??) on 20-Апр-05, 17:55 
Надо подставлять имя домена в юзернейм.
Должна получиться строка вида: wbinfo -a domain+user%password (или wbinfo -a domain\user%password). Тогда проходит авторизация.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Тематический каталог: Аутентификация пользователей в squid ч..."  
Сообщение от CMEPTb email on 27-Ноя-05, 18:01 
>Люди, вопрос в тему
>дошёл до вот этого момента: wbinfo -a user%passwd
>Получаю вот что:
>
>su-2.05b# /usr/local/samba/bin/wbinfo -a user%passwd
>plaintext password authentication failed
>error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
>error messsage was: No such user
>Could not authenticate user user%passwd with plaintext password
>challenge/response password authentication succeeded
>
>Кто с этим сталкивался? Как обходили?
Я с ентой фигней столкнулся. У тебя вероятно используется "winbind separator = \ ", попробуй поставить стандартный "+", мне во всяком случае ето помогло.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Atomic (??) on 03-Мрт-05, 11:45 
Этот вопрос меня очень долго интересует с момента перехода на samba 3!!!!!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Finch (??) on 03-Мрт-05, 17:21 
>Этот вопрос меня очень долго интересует с момента перехода на samba 3!!!!!
>

Ну а как авторизовываться то тогда????

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Atomic (??) on 03-Мрт-05, 19:43 
Меня скоро на шампур натянут на работе, если я не разобью по группам пользователей:)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от comatoz email(??) on 11-Мрт-05, 17:48 
По группам получилось авторизовать вот так
#через группы домена
auth_param      ntlm    program /usr/local/libexec/squid/ntlm_auth board\\taid
auth_param      ntlm    children 5
auth_param      ntlm    max_challenge_reuses 0
auth_param      ntlm    max_challenge_lifetime 2 minutes
auth_param      basic   program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param      basic   children 10
auth_param      basic   realm Squid proxy-caching web server
auth_param      basic   credentialsttl 2 minutes
#auth_param     basic   credentialsttl 2 hours

# внешний хелпер для acl через группы
external_acl_type Domain_Group ttl=60 concurrency=5 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

# группа Inet1-acl
acl     Inet1-acl         external Domain_Group  Inet1
http_access allow Inet1-acl all

только пришлось напильником подравнять wbinfo_group.pl, т.к. он в качестве разделителя домена и пользователя понимает то что определенно в smb.conf, а ему подсовывают \, добавил строку
# заменяем \ на +
        $user=~ tr/\\/+/s;
в wbinfo_group.pl перед return.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от aleksandrk (??) on 15-Май-05, 16:03 
Esli server pod Win2003 so vsemi obnovlenijami, to  pomozet tol'ko posledniaja samba 3.0.14a
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Zhioorkie email on 29-Май-05, 14:11 
Hi! Check "proxycfg -u" under Windows XP for Windows update to work. BR, Zhioorkie
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от ponka email on 30-Май-05, 18:24 
Всезнающие помогите, а то уже сил нет. RHEL 4.0 Samba 3.0.10, Squid 1.25. Самбу настроил, Winbind работает, в сквиде прописал аунтификацию. А он (squid) гад не пускает.

В логе появляется вот такая запись:

May 30 16:59:06 rhel kernel: audit(1117461546.224:0): avc:  denied  { create } for  pid=833 exe=/usr/sbin/winbindd name=winbindd.log scontext=root:system_r:winbind_t tcontext=root:object_r:samba_log_t tclass=file

Подскажите где капать.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от nuHrBuH (??) on 17-Авг-05, 12:08 
wbinfo -p и wbinfo -t что возвращают?
Машина в домен вошла нормально? KDC видит? Тикет получила?
wbinfo -a авторизацию проходит?..
Мало информации для помощи ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от nuHrBuH (??) on 17-Авг-05, 12:09 
И посмотри разрешению на папку, куда winbindd логи кладет. Похоже, просто не может создать лог-файл...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Kapitan email(??) on 28-Сен-05, 23:01 
Может кому пригодится. Я на счет слов:
> Пришлось указывать универсальный идентификатор группы в домене (SID).
Попробуйте так:
1) Если используется winbind separator = \ или просто не указывается в конфигурационном файле smb.conf, то --require-membership-of="Domain\\Group"
2) Если же winbind separator = + , то указвайте --require-membership-of="Domain\+Group"

В моем случае именно такой синтаксис уберег от прямого использования SID - все-таки так более нагляднее.
Система: FreeBSD 4.11, Samba 3.0.20,1, domain W2K3

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Аутентификация пользователей в squid через доменные аккаунты..."  
Сообщение от Анатолий (??) on 03-Дек-07, 07:26 
В самбе 3.0.26a столкнулся с такой траблой:
не join'илась в домен до тех пор пока не прописал доменное имя своего хоста в /etc/hosts
После этого действия получил заново тикет и только потом приджойнился.
Так что имейте ввиду - есть такая трабла ;)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру