Люди помогите пожайлуста настроить NTLM аутентификацию для Squida - всё болит ничего не помогает.

Ситуация следующая есть рабочая группа, сервак на FreeBSD с Samba и Squid. Хотелось бы чтобы юзеры по НТЛМу авторизовывались (на данный момент через ncsa_auth).
При попытке открыть какую-нибудь станичку в бродилке спрашивает логин\пароль (как и в ncsa_auth), только в логине имя машины добавилось: COMP/my_user. Насколько я понимаю по идее он должен был бы определить имя WORKGROUP, но что-то пока не получилось. При этом ругаеся winbindd: Possible deadlock: Trying to lookup SID S-1-5-2 with passdb backend

Подскажите пожалуйста куда копать.

Конфиг:

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 4
auth_param ntlm keep_alive on

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic children auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive off

Конфиг Самбы:

[global]
    prefered master = yes
    hosts allow = 192.168.3. 127.0.0.
    time server = Yes
    passwd program = /usr/bin/passwd %u
    dns proxy = No
    netbios name = boby
    local master = yes
    workgroup = zao-oim
    os level = 65
    security = user
    max log size = 100
    log level = 0
    log file = /var/log/samba/log.%m
    load printers = no
    guest account = nobody
    socket options = TCP_NODELAY
    client ntlmv2 auth = yes
    logon drive = Z:
    username map = /usr/local/etc/samba/user.map
    domain master = yes
    interfaces = 192.168.3.1/24
    map to guest = Bad User
    encrypt passwords = yes
    wins proxy = Yes
    wins support = Yes
    server string = Samba Local File Server
    bind interfaces only = yes

    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind enum users = yes
    winbind enum groups = yes
        winbind use default domain = yes

#============================ Share Definitions ==============================

• NTLM аутентификация, как?!,bassmaster, 20:51 , 22-Дек-08
  • NTLM аутентификация, как?!,Сергей, 10:09 , 23-Дек-08
    • NTLM аутентификация, как?!,bassmaster, 21:38 , 23-Дек-08
• NTLM аутентификация, как?!,zersaa, 15:05 , 04-Сен-09
  • NTLM аутентификация, как?!,raider, 21:04 , 05-Сен-09
  • NTLM аутентификация, как?!,bassmaster, 15:55 , 06-Сен-09
    • NTLM аутентификация, как?!,Serg, 10:57 , 19-Ноя-09
      • NTLM аутентификация, как?!,DogEater, 22:55 , 19-Ноя-09
        • NTLM аутентификация, как?!,vivi, 14:38 , 15-Дек-09

>Люди помогите пожайлуста настроить NTLM аутентификацию для Squida - всё болит ничего
>не помогает.
>
>Ситуация следующая есть рабочая группа, сервак на FreeBSD с Samba и Squid.
>Хотелось бы чтобы юзеры по НТЛМу авторизовывались (на данный момент через
>ncsa_auth).
>При попытке открыть какую-нибудь станичку в бродилке спрашивает логин\пароль (как и в
>ncsa_auth), только в логине имя машины добавилось: COMP/my_user. Насколько я понимаю
>по идее он должен был бы определить имя WORKGROUP, но что-то
>пока не получилось. При этом ругаеся

winbindd: Possible deadlock: Trying to
>[оверквотинг удален]
> server string = Samba Local File Server
> bind interfaces only = yes
>
> winbind uid = 10000-20000
> winbind gid = 10000-20000
> winbind enum users = yes
> winbind enum groups = yes
> winbind use default domain = yes
>
>#============================ Share Definitions ==============================

Ещё в логах нарыл:

Dec 22 19:18:24 boby (ntlm_auth): [2008/12/22 19:18:24, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:24 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:24 boby (ntlm_auth): [2008/12/22 19:18:24, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:24 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Dec 22 19:18:44 boby (ntlm_auth): [2008/12/22 19:18:44, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:44 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:44 boby (ntlm_auth): [2008/12/22 19:18:44, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:44 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Dec 22 19:18:52 boby (ntlm_auth): [2008/12/22 19:18:52, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:52 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:52 boby (ntlm_auth): [2008/12/22 19:18:52, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:52 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Dec 22 19:18:54 boby (ntlm_auth): [2008/12/22 19:18:54, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:54 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:54 boby (ntlm_auth): [2008/12/22 19:18:54, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:54 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED

Проверь, сам winbindd висит в процессах, права надо дать пользователю от которого работает squid на var/db/samba/winbindd_privileged...

> Проверь, сам winbindd висит в процессах, права надо дать пользователю от
>которого работает squid на var/db/samba/winbindd_privileged...

winbindd в процессах есть, но при этом постоянно ругается:

Dec 23 21:24:09 boby winbindd[935]: [2008/12/23 21:24:09, 0] nsswitch/winbindd_passdb.c:sid_to_name(130)
Dec 23 21:24:09 boby winbindd[935]:   Possible deadlock: Trying to lookup SID S-1-1-0 with passdb backend
Dec 23 21:24:09 boby winbindd[935]: [2008/12/23 21:24:09, 0] nsswitch/winbindd_passdb.c:sid_to_name(130)
Dec 23 21:24:09 boby winbindd[935]:   Possible deadlock: Trying to lookup SID S-1-5-2 with passdb backend

Но вот, что привлекло моё внимание, так это сам ntlm_auth работает, пишет логи, да и сами пользователи определяются при попытке аутентификации, но следующим образом:

имя_сервера\локальный_пользоватеьл_компа
Сама авторизация не проходит - домена то нет. У меня рабочая группа..............

Если получилось - напишите, пожалуйста, как?

ОБОГЕ!

Да как можно заставить работать NTLM-аутернификацию в браузере на Squid+Samba без домена? Начните с того, что такое SSO в Windows-сети.

Такая схема и аутентификация НИКОГДА работать не будет. Машине не в домене!!!

---
Удачи.

>Если получилось - напишите, пожалуйста, как?

Не получилось - задача сошла на нет. С тех пор (декабрь 2008) никаких телодвижений в эту сторону больше не делал. На данный момент ожидается похожая задача, единственное ислючение машины пользователей будут в домене.

>ожидается похожая задача, единственное ислючение машины пользователей будут в домене.

Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене, не проходит аунтефикацию прокси...что интерестно без прокси пашет....

>>ожидается похожая задача, единственное ислючение машины пользователей будут в домене.
>
>Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене,
>не проходит аунтефикацию прокси...что интерестно без прокси пашет....

поищите про отключенный ntlm2 в висте и выше. ЕМНИП дело в нём...

>>>ожидается похожая задача, единственное ислючение машины пользователей будут в домене.
>>
>>Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене,
>>не проходит аунтефикацию прокси...что интерестно без прокси пашет....
>
>поищите про отключенный ntlm2 в висте и выше. ЕМНИП дело в нём...
>

Дело в том что у ие7 и выше уже методом авторизации является не ntml а kerberos. Настраивайте авторизацию и для него тоже.