Проблема следущая. Домен W2K, Samba_3.0.14 с winbind, Squid_2.5.9. Winbind работает нормально, все пользователи домена видны, авторизация squid через ntlm_auth. Авториазия работает, но почему-то некоторых пользователей пускать не хочет, хотя winbind их видит, на Sambу доступ нормальный. Ничем эти пользователи от других не отличаются, но выход в инет для них закрыт. Где искать подвох?
>Проблема следущая. Домен W2K, Samba_3.0.14 с winbind, Squid_2.5.9. Winbind работает нормально, все
>пользователи домена видны, авторизация squid через ntlm_auth. Авториазия работает, но почему-то
>некоторых пользователей пускать не хочет, хотя winbind их видит, на Sambу
>доступ нормальный. Ничем эти пользователи от других не отличаются, но выход
>в инет для них закрыт. Где искать подвох?Для начала посмотрите на логи winbind. Там довольно подробно пишется в чем проблема.
Посмотрите как эти пользователи заносятся в access.log
Попробуйте авторизовать пользователя так, как он записан в access.log:
wbinfo -a [домен+]пользователь_домена%парольПроблема бывает в том, что squid пытается авторизовать юзера как user+domain, а контроллер домена хочет его получать как, например, DOMAIN+user или domain+USER. Вариантов много.
Поиграйте с wbinfo -a,
посмотрите форум программы sams (sams.perm.ru) - там это неоднократно обсуждалось, проблема известная.
Разобрался сам. Фишка вот в чём: мной было отключено сохраненме LM Hash паролей на сервере W2K (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\NoLMHash), после этого для всех устанавливаемых пользователей сохранялись только NT Hash паролей, вот ntlm_auth и ругался... Пришлось удалить этот подраздел реестра (т.е. опять включить LM Hash паролей), после этого всё заработало (естественно после правки реестра необходимо перегрузить сервер W2K и сменить пароли пользователей, которых не Squid не пускал в Инет).