URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 2305
[ Назад ]
Исходное сообщение
"Squid + AD group"
Отправлено Taks , 12-Июл-04 17:44 
Имеем Squid 2.5 + Samba 3 ADS Member + winbind
Squid авторизуется по ntlm_auth. Как бы сделать так, чтобы через сквид ходили только члены какой-нибудь группы, напр. DOMAIN+inetusers?

Следующие 3 попытки результата не принесли:
1. acl trustusers proxy_auth DOMAIN+inetusers
Выкидывалось окошко - логин+пароль+домен

2. auth_param ntlm program /.../ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of='DOMAIN+inetusers'
В логах что-то типа, что не может отрезольвить имя в SID

3.  auth_param ntlm program /.../ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of='S-1-5-21-4658365783....' (т.е. SID группы)
В логах соответственно, что не может отрезольвить SID в имя

Помогите плиз разобраться, а то каждого пользователя в acl как-то глупо прописывать.

Содержание
Сообщения в этом обсуждении
"Squid + AD group"
Отправлено Димарик , 12-Июл-04 23:53 
>Имеем Squid 2.5 + Samba 3 ADS Member + winbind
>Squid авторизуется по ntlm_auth. Как бы сделать так, чтобы через сквид ходили
>только члены какой-нибудь группы, напр. DOMAIN+inetusers?
http://www.opennet.me/base/net/win_squid.txt.html
Для авторизации групп - --enable-external-acl-helpers="winbind_group"
(это при компилировании SQUID) далее идем в
$src/helpers/external_acl/winbind_group и читаем readme. Пишем три
строки в конфге (SQUID) и тащимся.

"Squid + AD group"
Отправлено Taks , 13-Июл-04 10:42 
пересобрал squid с winbind_group, пробуем:
# wb_group -d
Ответ: "Can't contact winbindd. Dying"
При этом winbindd себя замечательно чувствует. Я подобные советы (с wb_group) видел для 2.5 самбы, однако нормально ее заставить работать в AD я не смог, а 3 самба сходу заработала. Может дело именно в непонимании сквидом winbind-а из 3 самбы?