Здравствуйте.
Задача состоит в том, чтобы с помощью связки самба+squid и внешнего хелпера wbinfo_groups.pl разрешать пользователям в группе домен контроллера на win2003 server доступ в интернет. Причем сделать это прозрачно, т.е. чтобы пользователь не вводил никаких паролей. Самба и сквид стоят последние и собраны с поддержкой wb_group, wbinfo_groups и т.д. После редактирования перловского скрипта он стал работать как и нужно сквиду, т.е. читает из STDIN username и DC_group и отдает результат в виде OK или ERR. В конфиге сквида я убрал все ntlm и basic auth_*, пытаюсь добавить external_acl и меня постигает неудача. Есть ли возможность прозрачно подключить внешний хелпер wbinfo_groups.pl без использования ntlm и basic авторизаций? Что и где я делаю не так?

P.S. В инете перерыл и родные самба форумы и сквидовские, что помогло правильно пропатчить сам перловый скрипт. А вот как его подключть... Ума не приложу.

P.S.S. В яндексе, гугле на запрос по wbinfo_groups.pl в одной из статей написано:

"Много вопоросов было как авторизовать опреленные группы из Wondows домена. Господин с ником "debosh2k" разъясняет:

Для авторизации групп - --enable-external-acl-helpers="winbind_group" (это при компилировании SQUID) далее идем в $src/helpers/external_acl/winbind_group и читаем readme. Пишем три строки в конфге (SQUID) и тащимся.
PS. Есть еще wbinfo_group тамже - враппер на перле. "

Так а где же взять эти три строки? Ведь у сквида я не нашел заветного readme для хелпера.

• squid 2.5 stable7 и wbinfo_groups.pl,Black_Dragon, 13:38 , 22-Окт-04
  • squid 2.5 stable7 и wbinfo_groups.pl,muha, 18:51 , 22-Окт-04
    • squid 2.5 stable7 и wbinfo_groups.pl,muha, 17:43 , 25-Окт-04
      • squid 2.5 stable7 и wbinfo_groups.pl,Konstantin, 12:00 , 30-Ноя-04

Вот кусок

(-enable-external-acl-helpers=wbinfo_group)

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 20
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

ntlm_auth это не от сквида а от самбы

external_acl_type NT_GROUP %LOGIN /usr/lib/squid/wbinfo_group.pl

acl Inet_ports port 80        # http
acl Inet_ports port 21        # ftp
acl Inet_ports port 443 563    # https, snews
acl Inet_ports port 70        # gopher
acl Inet_ports port 210        # wais
acl Inet_ports port 280        # http-mgmt
acl Inet_ports port 488        # gss-http
acl Inet_ports port 591        # filemaker
acl Inet_ports port 777        # multiling http
acl Inet_port port 28805    # WinXP Games

acl admins external NT_GROUP DOMAIN\ISA-UNLIMITED
acl isa-internet external NT_GROUP DOMAIN\ISA-INTERNET

http_access allow admins
http_access allow Inet_ports isa-internet
http_access deny all

Спасибо.
Теперь я понял, что проблема была в том, что я не использовал ntlm и basic параметров. Сделал так, как у вас. Вылетает окно для аутентификации, но ntlm_auth вместо OK или ERR выдает BH. Если в конфиге squid'a оставить только basic - работает, выскакивает окно для ввода имени и пароля, и если все ок, т.е. юзер в моей группе, - он в инете.

Не подскажете, по каким причинам может вылетать BH? Компилировал последний kerberos, сама самба с параметрами --with-ads --with-ldap --with-winbind --with-krb5 --with-ldapsam --with-acl-support (два последних на будущее).

А что самое интересное, так это то, что скомпилированая самба с
--with-all работает на ура. Так что как я понял, проблема в отсутствии какого-то ключа при сборке.

>А что самое интересное, так это то, что скомпилированая самба с
>--with-all работает на ура. Так что как я понял, проблема в отсутствии
>какого-то ключа при сборке.

слушай, у меня тоже самое, но даже с with-all не проходит
у тебя какая самба?