Здравствуйте все. Может кто с этим сталкивался, подскажите пожалуйста.
Есть squid (2.5.STABLE2), samba (2.2.7) и домен w2k. Настроил NTLM авторизацию по пользователям домена, работает. Попытался настроить по группам через wb_group. Вот какая фигня получилась. При добавлении и удалении юзеров из группы inets (группа, которой можно в инет ходить) winbind не синхронизируется. И wb_group продолжает упорно выдавать OK хотя юзера в группе уже нет, или наоборот. Причем в smb.conf есть "winbind cache time=10". Даже если это минуты, а не секунды, то все равно не работает. Юзер и через час из группы не уходит. Помогает только SIGHUP, тогда winbind синхронизируется.
Всё что было на форуме я прочитал, там такой проблемы не было - по-моему дело не в squide, потому что wb_group в тестовом режиме также работает.
В /etc/crontab
Занеси что нить типа killall -HUP winbindd
через каждые 5 минут.
>В /etc/crontab
>Занеси что нить типа killall -HUP winbindd
>через каждые 5 минут.Да я понимаю как это можно обойти, просто может этот глюк разрешим?
Все перепробовал на сто рядов, все работает, но - не синхронизируется, зараза!
я у себя эту проблему таким образом разрешил.#!/bin/sh
/usr/local/squid/sbin/squid -k reconfigure
/usr/bin/killall -HUP winbinddи в кронтаб этот скрипт :)
дальше заломало копаться :)
Посмотри похожая проблемма вроде разрешили
http://www.opennet.me/openforum/vsluhforumID12/227.html#31
>Посмотри похожая проблемма вроде разрешили
>http://www.opennet.me/openforum/vsluhforumID12/227.html#31Нет, не то. Читал. Там wb_group работал (то есть синхронизация была?) а сквид тормозил. Тут у меня в acl-ях всё указано. Я же говорю, сквид работает, стоит только winbind дернуть. Смотрел дебаги winbind-а, ну не хочет он почему-то на контроллер лезть.
то mrKRONSTEIN: Значит есть такая проблема?
А у меня и без "squid -k reconfigure" работает.
Ну дак и спроси у RedRatНовое сообщение от 'RedRat' <!redrat # mail.ru> в форуме 'Настройка Squid и других прокси серверов'
Тема: Аутентификация по группам из домена win2000У меня немного другая ситуация: аутентификация через wb_group работает
замечательно (кому надо - могу поделиться конфигами)
>Ну дак и спроси у RedRat
>
>Новое сообщение от 'RedRat' <!redrat # mail.ru> в форуме 'Настройка Squid и других прокси серверов'
>Тема: Аутентификация по группам из домена win2000
>
>У меня немного другая ситуация: аутентификация через wb_group работает
>замечательно (кому надо - могу поделиться конфигами)Да и у меня она работает! Да и какие там ещё конфиги? Чтобы wb_group прикрутить к squid-у надо всего 4 (четыре) строки. Вот они:
external_acl_type WIN_global_group ttl=60 \
%LOGIN /usr/local/squid/libexec/wb_group
acl UsersFromWinGroup external WIN_global_group inets
acl password proxy_auth REQUIRED
http_access allow password UsersFromWinGroupА от самбы только winbind и нужен.
Может кто сталкивался ИМЕННО с ТАКОЙ проблемой?
Хотя у RedRat все же спрошу.
8-))
>Хотя у RedRat все же спрошу.
>8-))Ладно уж, я сам отвечу... ;-)
В общем, очень похоже на то, что у тебя домен W2K работает
в native mode. При этом сервер по NTLM не отдаёт новый номер
базы данных аккаунтов, а меняет его только в LDAP. Попробуй
запустить winbindd с ключиком -n (не кэшировать), если всё
заработает - придётся ставить клиента openldap и перекомпилять
самбу с ключиком --with-winbind-ldap-hack.P.S. Если получится - дай знать, ОК?