URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 4251
[ Назад ]

Исходное сообщение
"Squid авторизация в AD Win2000 Server"

Отправлено solomonico , 01-Авг-06 17:44 
Доброго времени суток.
Помогите разрешить такую проблему (борюсь уже 2-3 дня)
Решил сделать авторизацию в squid-e в AD но столкнулся с такой проблемой !
во первых по команде

net ads join -U username%password

выдает следующее :

Using short domain name -- <Домен>
Connection failed: NT_STATUS_ACCESS_DENIED
Failed to verify membership in domain!

при том что машинка на контролере (AD) домена появляется
содержание того что косается авторизации squid.conf

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain='<Домен>' --require-membership-of='+InternetUsers' -s /usr/local/etc/smb.conf
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic -s  /usr/local/etc/smb.conf --domain='<Домен>' --require-membership-of='+InternetUsers'
auth_param basic children 5
auth_param basic realm
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

в логах при попытке авторизации пишет

[2006/07/31 14:52:18, 0] utils/ntlm_auth.c:get_require_membership_sid(237)
  Winbindd lookupname failed to resolve '+InternetUsers' into a SID!
при том что я в ручную запускал команду от имени пользователя squid
/usr/local/bin/ntlm_auth --domain='<Домен>' --require-membership-of='+InternetUsers' -s /usr/local/etc/smb.conf -u user

всё работает !
в чём может быть проблема ??
только не говорите мол гугль лучшее лекарство потому что оно не помогло
права на папку winbindd_privileged 750 root:squid  я ставил не помогло
да ещё
листинг /etc/nsswitch.conf

group: files winbind
hosts: files dns
networks: files dns
passwd: files winbind
shadow: files winbind
shells: files

версии ПО :
squid - 2.5.STABLE14
samba - 3.0.23a


ПОМОГИТЕ ПЛИЗЗЗЗЗЗЗЗ


Содержание

Сообщения в этом обсуждении
"Squid авторизация в AD Win2000 Server"
Отправлено alfss , 02-Авг-06 13:19 
>Доброго времени суток.
>Помогите разрешить такую проблему (борюсь уже 2-3 дня)
>Решил сделать авторизацию в squid-e в AD но столкнулся с такой проблемой
>!
>во первых по команде
>
>net ads join -U username%password
>
>выдает следующее :
>
>Using short domain name -- <Домен>
>Connection failed: NT_STATUS_ACCESS_DENIED
>Failed to verify membership in domain!
>
>при том что машинка на контролере (AD) домена появляется
>содержание того что косается авторизации squid.conf
>
>auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain='<Домен>' --require-membership-of='+InternetUsers' -s /usr/local/etc/smb.conf
>auth_param ntlm children 5
>auth_param ntlm max_challenge_reuses 0
>auth_param ntlm max_challenge_lifetime 2 minutes
>auth_param ntlm use_ntlm_negotiate off
>auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic -s  /usr/local/etc/smb.conf --domain='<Домен>' --require-membership-of='+InternetUsers'
>auth_param basic children 5
>auth_param basic realm
>auth_param basic credentialsttl 2 hours
>auth_param basic casesensitive off
>
>в логах при попытке авторизации пишет
>
>[2006/07/31 14:52:18, 0] utils/ntlm_auth.c:get_require_membership_sid(237)
>  Winbindd lookupname failed to resolve '+InternetUsers' into a SID!
>при том что я в ручную запускал команду от имени пользователя squid
>
>/usr/local/bin/ntlm_auth --domain='<Домен>' --require-membership-of='+InternetUsers' -s /usr/local/etc/smb.conf -u user
>
>всё работает !
>в чём может быть проблема ??
>только не говорите мол гугль лучшее лекарство потому что оно не помогло
>
>права на папку winbindd_privileged 750 root:squid  я ставил не помогло
>да ещё
>листинг /etc/nsswitch.conf
>
>group: files winbind
>hosts: files dns
>networks: files dns
>passwd: files winbind
>shadow: files winbind
>shells: files
>
>версии ПО :
>squid - 2.5.STABLE14
>samba - 3.0.23a
>
>
>ПОМОГИТЕ ПЛИЗЗЗЗЗЗЗЗ

конфги smb угадать надо??
что в lmhosts
попробуй просто net join -U admin (естественно заводить из под рута)
я именно так в домен заводил
вот что в /etc/nsswitch.conf
passwd: files winbind
group: files winbind

после как заведеш в домен smb перезапусти
посматри все ли процесы
после wbinfo -u



"Squid авторизация в AD Win2000 Server"
Отправлено solomonico , 07-Авг-06 13:43 
workgroup = <Домен>
   server string = <Имя машинки>
   netbios name = <Имя машинки>
   security = ads
   hosts allow = 10.235.10. 10.234.10. 127.
   load printers = no
   passdb backend = tdbsam
   local master = no
   domain master = no
   preferred master = no
   domain logons = no
   os level = 0
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866
   encrypt passwords = yes
   realm = <AD Server>
   password server = <AD server>
   winbind separator = +
   winbind use default domain = yes
   winbind uid = 10000-15000
   winbind gid = 10000-15000
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum users =yes
   winbind enum groups = yes


Да еще по поводу самбы
Я самбу не запускаю я запускаю только ВинБинд , который помоему для этого только и надо



"Squid авторизация в AD Win2000 Server"
Отправлено Dunedain , 05-Окт-06 11:41 
У меня похожая ситуация. Вот что получаеся - когда даешь просто домен, БЕЗ указания группы - все прекрасно! В логах вижу что авторизовался под доменным аккаунтом. Судя по всему вопрос как писать группу. Кстати, обратите внимание - wbinfo даст имена групп без прописных (заглавных) букв! Вопрос пока для меня открыт.

"Squid авторизация в AD Win2000 Server"
Отправлено alexbit , 18-Окт-06 14:58 
>У меня похожая ситуация. Вот что получаеся - когда даешь просто домен,
>БЕЗ указания группы - все прекрасно! В логах вижу что авторизовался
>под доменным аккаунтом. Судя по всему вопрос как писать группу. Кстати,
>обратите внимание - wbinfo даст имена групп без прописных (заглавных) букв!
>Вопрос пока для меня открыт.

для меня тоже актуально, если нашел выход кинь инфу сюда