Здравствуйте!ОС - Debian Lenny.
Поставил samba, squid, winbind. Комп включил в домен (Windows 2003 Server).
wbinfo отрабатывает нормально. Настроил Squid для аутентификации доменных пользователей.Основная задача - раздать права на инет на основе принадлежности пользователей к определенной группе в AD.
Проблема заключается в следующем: при добавлении пользователя в определенную группу, squid никак не реагирует на изменившиеся права. Реакция наступает если принудительно дать команду:
wbinfo -a user1%user1
или
wbinfo -K user1%user1Помогите решить проблему.
squid.conf:
http_port 3128
icp_port 3130auth_param ntlm program /usr/lib/squid/ntlm_auth -b DOMAIN\\DC1
auth_param ntlm children 3external_acl_type nt_group %LOGIN /usr/lib/squid/wbinfo_group.pl
cache_mem 32 MB
cache_swap_low 80
cache_swap_high 95
maximum_object_size 102400 KB
minimum_object_size 0 KBcache_dir ufs /var/spool/squid 10240 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log noneacl all src 0.0.0.0/0.0.0.0
acl Internet_U external nt_group Internet_Users
acl Domain_U proxy_auth REQUIREDnever_direct allow all
cache_peer 192.168.2.100 parent 3128 3130 no-queryhttp_access allow Internet_U
visible_hostname Proxy
krb5.conf:debian5:/usr/bin# cat /etc/krb5.conf
[libdefaults]
default_realm = DOMAIN.LOCAL# kdc_timesync = 1
# ccache_type = 4
forwardable = false
proxiable = false
max_lifetime = 86400
renew_lifetime = 1s
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true[realms]
DOMAIN.LOCAL = {
kdc = 192.168.100.10
admin_server = 192.168.100.10
}[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL[login]
krb4_convert = true
krb4_get_tickets = false[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log
В smb.conf попробуйте добавить параметр winbind cache time = ...
>В smb.conf попробуйте добавить параметр winbind cache time = ...Данный параметр не исправил положения дел.
приведу конфиг samba:[global]
workgroup = DOMAIN
netbios name = Debian
security = ADS
preferred master = no
disable spoolss = Yes
show add printer wizard = No
idmap uid = 15000-20000
idmap gid = 15000-20000
winbind separator = +
winbind use default domain = Yes
template shell = /bin/bash
use sendfile = Yes
realm = domain.local
winbind cache time = 10
Пример работы скрипта wbinfo_group.pl:debian5:~# echo user1 internet_users | /usr/lib/squid/wbinfo_group.pl
ERR
debian5:~# wbinfo -a user1%user1
plaintext password authentication succeeded
challenge/response password authentication succeeded
debian5:~# echo user1 internet_users | /usr/lib/squid/wbinfo_group.pl
OK
debian5:~#
1Помощь 2Сохрани3Блок 4Замена 5Копия 6Перемес7Поиск 8Удалить9МенюMC 10Выход
Ну все правильно по wbinfo -a у вас данные попадют в кеш, после чего wbinfo_group.pl берет их их кеша...
> Ну все правильно по wbinfo -a у вас данные попадют в
>кеш, после чего wbinfo_group.pl берет их их кеша...А возможно сделать так, чтобы данные обнлвлялись сами через определенный период, скажем, 1 минуту, без вмешательства.
>> Ну все правильно по wbinfo -a у вас данные попадют в
>>кеш, после чего wbinfo_group.pl берет их их кеша...
>
>А возможно сделать так, чтобы данные обнлвлялись сами через определенный период, скажем,
>1 минуту, без вмешательства.Замените в squid.conf
http_access allow Internet_U
на
http_access allow Domain_U Internet_Uпри проверке аутенфикации пользователя winbind сходит к AD, т.е. примерно сделает wbinfo -a ...