URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 61270
[ Назад ]
Исходное сообщение
"Проблеммы с squid и авторизацией в по группам в NT домене"
Отправлено vitaly , 27-Окт-05 07:42 
Есть сервер Win NT. Squid 2.5 - STABLE12

Необходимо сделать авторизацию по группе в домене win nt. Если учетная запись в домене есть в соответствующей группе - пускаем в Инет , нет - не пускаем.

Завел в домене NT группу ProxyUsers.

squid скомпилировал с опциями
--enable-auth="ntlm,basic" \
--enable-basic-auth-helpers="winbind" \
--enable-ntlm-auth-helpers="winbind" \
--enable-external-acl-helpers="winbind_group" \
--enable-external-acl-helpers="wbinfo_group" \

в squid.conf прописал строки из readmy по wb_group

external_acl_type NT_global_group %LOGIN /usr/lib/squid/wb_group
acl ProxyUsers external NT_global_group ProxyUsers              
                                                                
acl password proxy_auth REQUIRED                                

разрешаю доступ только тем , кто в группе
http_access allow password ProxyUsers

схемы аутентификации описаны так

auth_param basic program /usr/lib/squid/wb_auth      
auth_param basic children 5                          
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours              
auth_param ntlm program /usr/lib/squid/wb_ntlmauth  
auth_param ntlm children 5                          
auth_param ntlm max_challenge_reuses 0              
auth_param ntlm max_challenge_lifetime 2 minutes    

winbindd поднят и настроен , по крайней мере
wbinfo -a user%passwd
plaintext password authentication succeeded

тестирую
[root@]# /usr/lib/squid/wb_auth
user passwd                                      
OK                                                    
т.е. вроде как пароли в NT домене видит и пользователя авторизует                                                      
[root@]# /usr/lib/squid/wb_group
user ProxyUsers                                      
ERR                                                  
добавляю себя в группу в NT домене, пробую еще раз
user ProxyUsers                        
OK                  
т.е вроде в группе он меня видит

Вот только все вместе это не работает. Запускаю squid , при попытке достучатся до какой либо страницы он запрашивает имя пользователя/пароль , а после ввода сразу пускает и не смотрит на то , есть ли данный пользователь в группе ProxyUsers или нет.
Авторизация по пользователю/паролю работает , а по группам не работает и не могу понять почему.

Подскажите , куда копать.

Спасибо.

Содержание
Сообщения в этом обсуждении
"Проблеммы с squid и авторизацией в по группам в NT домене"
Отправлено vitaly , 28-Окт-05 04:57 
up
"Проблеммы с squid и авторизацией в по группам в NT домене"
Отправлено magr , 28-Окт-05 11:46 

>Подскажите , куда копать.
>

С 3-й самбой, работает без проблем, там несколько другая настройка.
со 2-й не пробовал.

http://www.opennet.me/base/net/win_squid.txt.html -- в самом конце несколько замечаний для вашего случая.

P.S. cекции auth_param ntlm и auth_param basic имеет смысл поменять местами.