URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 1290
[ Назад ]

Исходное сообщение
"Авторизация в Squid, wb_group, winbind, синхронизация"

Отправлено Sd , 15-Сен-03 13:39 
Здравствуйте все. Может кто с этим сталкивался, подскажите пожалуйста.
Есть squid (2.5.STABLE2), samba (2.2.7) и домен w2k. Настроил NTLM авторизацию по пользователям домена, работает. Попытался настроить по группам через wb_group. Вот какая фигня получилась. При добавлении и удалении юзеров из группы inets (группа, которой можно в инет ходить) winbind не синхронизируется. И wb_group продолжает упорно выдавать OK хотя юзера в группе уже нет, или наоборот. Причем в smb.conf есть "winbind cache time=10". Даже если это минуты, а не секунды, то все равно не работает. Юзер и через час из группы не уходит. Помогает только SIGHUP, тогда winbind синхронизируется.
Всё что было на форуме я прочитал, там такой проблемы не было - по-моему дело не в squide, потому что wb_group в тестовом режиме также работает.

Содержание

Сообщения в этом обсуждении
"Авторизация в Squid, wb_group, winbind, синхронизация"
Отправлено mrKRONSTEIN , 15-Сен-03 13:45 
В /etc/crontab
Занеси что нить типа killall -HUP winbindd
через каждые 5 минут.

"Авторизация в Squid, wb_group, winbind, синхронизация"
Отправлено Sd , 15-Сен-03 14:00 
>В /etc/crontab
>Занеси что нить типа killall -HUP winbindd
>через каждые 5 минут.

Да я понимаю как это можно обойти, просто может этот глюк разрешим?
Все перепробовал на сто рядов, все работает, но - не синхронизируется, зараза!


"Авторизация в Squid, wb_group, winbind, синхронизация"
Отправлено mrKRONSTEIN , 15-Сен-03 14:03 
я у себя эту проблему таким образом разрешил.

#!/bin/sh                                  
/usr/local/squid/sbin/squid -k reconfigure
/usr/bin/killall -HUP winbindd            

и в кронтаб этот скрипт :)
дальше заломало копаться :)


"Авторизация в Squid, wb_group, winbind, синхронизация"
Отправлено dve , 15-Сен-03 14:04 
Посмотри похожая проблемма вроде разрешили
http://www.opennet.me/openforum/vsluhforumID12/227.html#31

"Авторизация в Squid, wb_group, winbind, синхронизация"
Отправлено Sd , 15-Сен-03 14:33 
>Посмотри похожая проблемма вроде разрешили
>http://www.opennet.me/openforum/vsluhforumID12/227.html#31

Нет, не то. Читал. Там wb_group работал (то есть синхронизация была?) а сквид тормозил. Тут у меня в acl-ях всё указано. Я же говорю, сквид работает, стоит только winbind дернуть. Смотрел дебаги winbind-а, ну не хочет он почему-то на контроллер лезть.

то mrKRONSTEIN: Значит есть такая проблема?
А у меня и без "squid -k reconfigure" работает.


"Авторизация в Squid, wb_group, winbind, синхронизация"
Отправлено dve , 15-Сен-03 14:38 
Ну дак и спроси у RedRat

Новое сообщение от 'RedRat' <!redrat # mail.ru> в форуме 'Настройка Squid и других прокси серверов'
Тема: Аутентификация по группам из домена win2000

У меня немного другая ситуация: аутентификация через wb_group работает
замечательно (кому надо - могу поделиться конфигами)


"Авторизация в Squid, wb_group, winbind, синхронизация"
Отправлено Sd , 15-Сен-03 14:50 
>Ну дак и спроси у RedRat
>
>Новое сообщение от 'RedRat' <!redrat # mail.ru> в форуме 'Настройка Squid и других прокси серверов'
>Тема: Аутентификация по группам из домена win2000
>
>У меня немного другая ситуация: аутентификация через wb_group работает
>замечательно (кому надо - могу поделиться конфигами)

Да и у меня она работает! Да и какие там ещё конфиги? Чтобы wb_group прикрутить к squid-у надо всего 4 (четыре) строки. Вот они:

external_acl_type WIN_global_group ttl=60 \
%LOGIN /usr/local/squid/libexec/wb_group
acl UsersFromWinGroup external WIN_global_group inets
acl password proxy_auth REQUIRED
http_access allow password UsersFromWinGroup

А от самбы только winbind и нужен.
Может кто сталкивался ИМЕННО с ТАКОЙ проблемой?


"Авторизация в Squid, wb_group, winbind, синхронизация"
Отправлено Sd , 15-Сен-03 14:54 
Хотя у RedRat все же спрошу.
8-))

"Авторизация в Squid, wb_group, winbind, синхронизация"
Отправлено RedRat , 16-Сен-03 09:34 
>Хотя у RedRat все же спрошу.
>8-))

Ладно уж, я сам отвечу... ;-)

В общем, очень похоже на то, что у тебя домен W2K работает
в native mode. При этом сервер по NTLM не отдаёт новый номер
базы данных аккаунтов, а меняет его только в LDAP. Попробуй
запустить winbindd с ключиком -n (не кэшировать), если всё
заработает - придётся ставить клиента openldap и перекомпилять
самбу с ключиком --with-winbind-ldap-hack.

P.S. Если получится - дай знать, ОК?