Новые ответы

squid + ad(не проходит авторизация),

osipen, 09-Дек-08, 11:32 [смотреть все]

Всем привет!
Не проходит авторизация в домене.
в squid.conf:
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="TEST\\internet"
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="TEST\\internet"
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl internet proxy_auth REQUIRED
http_access allow internet
[root@centos ~]# wbinfo -u
TEST\администратор
TEST\гость
TEST\support_388945a0
TEST\krbtgt
TEST\test
[root@centos ~]# wbinfo -g
BUILTIN\administrators
BUILTIN\users
TEST\компьютеры домена
TEST\контроллеры домена
TEST\администраторы схемы
TEST\администраторы предприятия
TEST\администраторы домена
TEST\пользователи домена
TEST\гости домена
TEST\владельцы-создатели групповой политики
TEST\dnsupdateproxy
TEST\internet
[root@centos ~]#

в access.log:
1228810733.445      1 192.168.252.129 TCP_DENIED/407 1778 GET http://ya.ru/ - NONE/- text/html
в ceche.log:
[2008/12/09 11:15:19, 0] utils/ntlm_auth.c:get_winbind_domain(146)
  could not obtain winbind domain name!
[2008/12/09 11:15:19, 0] utils/ntlm_auth.c:get_winbind_domain(146)
  could not obtain winbind domain name!

Ответить | Сообщить модератору

squid + ad(не проходит авторизация), Alex, 12:08 , 09-Дек-08 (1)

squid + ad(не проходит авторизация), osipen, 13:00 , 09-Дек-08 (2)
>вместо "TEST\\internet" поставь его sid
[root@centos ~]# wbinfo -n internet
S-1-5-21-467374765-1553341467-3494682542-1142 Domain Group (2)
[root@centos ~]#
в squid.conf
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="S-1-5-21-467374765-1553341467-3494682542-1142"
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="S-1-5-21-467374765-1553341467-3494682542-1142"
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl internet proxy_auth REQUIRED
http_access allow internet
в access.log
1228816530.215      1 192.168.252.129 TCP_DENIED/407 1787 GET http://google.ru/ - NONE/- text/html
1228816530.246      7 192.168.252.129 TCP_DENIED/407 1855 GET http://google.ru/ - NONE/- text/html
1228816530.262     16 192.168.252.129 TCP_DENIED/403 1435 GET http://google.ru/ TEST\test NONE/- text/html
Ответить | Сообщить модератору

squid + ad(не проходит авторизация), Сергей, 14:13 , 09-Дек-08 (3)

squid + ad(не проходит авторизация), osipen, 14:44 , 09-Дек-08 (4)
>Права на winbindd_privileged, ну вообщем в var\db\samba, там найдешь, надо дать squid'у.
>
> При этом без разницы по sid или напрямую по группе будешь
>проверять
Если изменить права то winbind не хочет стартовать
drwxr-x--- 2 root squid 4096 Дек 9 14:41 winbindd_privileged

Ответить | Сообщить модератору

squid + ad(не проходит авторизация), Alex, 15:02 , 09-Дек-08 (5)

squid + ad(не проходит авторизация), osipen, 15:12 , 09-Дек-08 (6)
>Сделай drwxr-xr--
сделал winbind не стартует.
Ответить | Сообщить модератору

squid + ad(не проходит авторизация), Alex, 15:17 , 09-Дек-08 (7)

squid + ad(не проходит авторизация), Kliver, 15:53 , 09-Дек-08 (8)

squid + ad(не проходит авторизация), osipen, 16:17 , 09-Дек-08 (9)

smb.conf:
[global]
workgroup = TEST
netbios name = centos
server string = Samba Server 3.0
security = ads
realm = TEST.LOCAL
password server = 192.168.252.129
#только что добавил ради того что бы убрать netbios имя TEST. TEST\test
winbind separator = +
winbind use default domain = yes
encrypt passwords = yes
printcap name = /etc/printcap
load printers = yes
printing = cups
log file = /var/log/samba/%m.log
max log size = 0
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
local master = no
domain master = no
preferred master = no
dns proxy = no
В squid.conf (покажу целиком).
http_port 192.168.252.130:3128
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /etc/squid/cache 200 32 384
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_swap_log /var/log/squid/swap.log
cache_store_log none
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl all src 192.168.252.100
acl internet proxy_auth REQUIRED
http_access allow internet
http_access allow all
cache_effective_user squid
cache_effective_group squid
В логах:
1228828525.215      4 192.168.252.129 TCP_DENIED/407 1799 GET http://www.google.ru/ - NONE/- text/html
1228828525.236     12 192.168.252.129 TCP_DENIED/407 1867 GET http://www.google.ru/ - NONE/- text/html
1228828525.568    331 192.168.252.129 TCP_DENIED/403 1428 GET http://www.google.ru/ test DIRECT/64.233.183.103 text/html
Ответить | Сообщить модератору

squid + ad(не проходит авторизация), Сергей, 17:09 , 09-Дек-08 (10)

squid + ad(не проходит авторизация), osipen, 17:52 , 09-Дек-08 (11)
> Я бы убрал сепаратор + из smb.conf, заставил бы нормально стартануть
>winbind и еще?
>я helper брал из поставки samba и не из поставки сквида, у
>меня FreeBSD7, т.е. из /usr/local/bin/ntlm_auth
Дружище тебе повезло, что тебе можно ставить серваки на FreeBSD. У меня корпоративный стандарт CentOS, я ненавижу поднимать на Linux сервера. Короче с инета качнул rpm squid 3.0
и все заработало.
вот правда немного конфиг подредактировал.
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="TEST+internet"
auth_param ntlm children 30
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="TEST+internet"
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl internet proxy_auth REQUIRED
http_access allow internet
Ответить | Сообщить модератору

squid + ad(не проходит авторизация), Sparrow, 10:26 , 10-Дек-08 (12)

squid + ad(не проходит авторизация), serga370, 17:27 , 26-Сен-12 (13)

squid + ad(не проходит авторизация), Роман, 09:39 , 14-Фев-14 (14)

squid + ad(не проходит авторизация), Роман, 10:00 , 14-Фев-14 (15)