Обсуждение статьи тематического каталога: Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов. (freebsd squid samba domain auth)Ссылка на текст статьи: http://www.opennet.me/base/net/win_squid.txt.html
Очень мало информации (для новичка) ну неужели это все так просто.
Интересно и обстоятельно :)Уже начал все переделывать-пока работает :)
Сделал все так как описано. Не работает. Причины вижу 2:
1) Домен в native mode
2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется. Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси, точнее когда должно сработать разрешение, оно не срабатывает. Черт знает...
>Сделал все так как описано. Не работает. Причины вижу 2:
>1) Домен в native mode
>2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется.
>Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси,
>точнее когда должно сработать разрешение, оно не срабатывает. Черт знает...
native mode здесь ни при чем. Авторизация в прозрачном режиме НЕ-РА-БО-ТА-ЕТ! ее можно включить, вручную отредактировав код сквида, но это developer-only фишка. Обещают к 3-му ее сделать
У меня домен простроен на Samba-tng + LDAP. А как в этом случае присоеденить SAMBA-сервер к домену?
1. Имеем сеть конторы ок 50 машин в домене вин2к
которые авторизуются как было описано в статье.
2. Сеть нескольких соседних контор тоже ок 50 машин которых в домен пускать не хочется по понятным причинам.
Вопрос такого плана: если применять в добавление к winbind аутентификацию NCSA то как их подружить вместе? С какими оциями компилить сквида?
Спасибо !!!
Столкнулся с проблемой: пользователи c русскими именами из домена не проходят авторизацию. Это можно как-то победить? С пользователи с латинскими буквами все без проблем.
Везде написано как сделать аутентификацию с помощью winbind, если PDC это одна машина, а Squid с Samba+winbind на другой. А у меня должно все работать на одной. Т.е. у меня Samba должна работать в качестве PDC и в тоже время с winbind. Можно ли как-нибудь это сделать?
Установил я самбу из портов во фрях 4.7
И не обнаружил файлы wbinfo и smbpass
Почему изх нет ???
>Установил я самбу из портов во фрях 4.7
>И не обнаружил файлы wbinfo и smbpass
>Почему изх нет ???smbpass - читай - net join
как открыть порты smtp и pop3 в squid.conf
а разве можно почтовые программы настроить через прокси-сквид без дополнительных программ, которые перенаправляют пакеты на порт сквида?
-
А пробовал ктото привязать на Фрибсд5 Самбу3 плюс сквид3 с авторизацией в Вин2003сервер?
Я пробовал увязать сие чудо, самба стала нормально и зарегистрилась в домене без проблем (ЛДАП не ставил) но стопорнулся на привязке авторизации свкида к самбе.
Если кто сумел уложить это все в одну кучу - поделитесь плиз опытом.
Supported Samba Releases
Squid 2.5 uses an internal Samba interface to communicate with the winbindd daemon. It is therefore sensitive to any changes the Samba team may make to the interface.
The winbind helpers shipped with Squid-2.5.STABLE2 supports Samba-2.2.6 to Samba-2.2.7a and hopefully later Samba-2.X versions. To use Squid-2.5.STABLE2 with Samba versions 2.2.5 or ealier the new --with-samba-sources=... configure option is required. This may also be the case with Samba-2.2.X versions later than 2.2.7a or if you have applied any winbind related patches to your Samba tree.
Squid-2.5.STABLE1 supported Samba 2.2.4 or 2.2.5 only. Use of Squid-2.5.STABLE2 or later recommended with current Samba-2.X releases.
For Samba-3.X the winbind helpers shipped with Squid should not be used (and won't work if your attempt to do so), instead the ntlm_auth helper shipped as part of the Samba-3 distribution should be used. This helper supports all versions of Squid and both the ntlm and basic authentication schemes. For details on how to use this Samba helper see the Samba documentation. For group membership lookups the wbinfo_group helper shipped with Squid can be used (this is just a wrapper around the samba wbinfo program and works with all versions of Samba)
читай какой версии winbind юзается в squid'e $squid/include/sambaу меня заработало всё только после того как вместо samba 3.0.2a я прикрутил к squid'у 2.5 samba2.2.7a
Mozilla поддерживает NTLM с 1.4, единственная серьёзная проблема с ней - удалось-ли кому-нибудь научить её не показывать окошко пароль/логин, а подставлять их от вошедшего пользователя? Если удалось - очень хотечется узнать как.
Маааленькое дополнение....
Если PDC Win 2003 Server (по документации и w2k Advanced server, но я не проверял) при попытке выполнить /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator получаем "NT_STATUS_ACCESS_DENIED". Оказывается, сначала необходимо на PDC в Active directory добавить компьютер, на котором установлена samba, поставив галочку "назначить учетной записи статус пред-Windows 2000 компьютера". После этого - /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator. И все.
Источник - http://sunportal.sunmanagers.org/pipermail/summaries/2003-Ju...
Проблема такая, при вводе командыnet join -I 192.168.1.1 -r 192.168.1.1 -U user
(адреса вместо имён стоят потому что имена самба не находит)
получаю такое[2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)
kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm
[2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
cli_nt_setup_creds: request challenge failed
[2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
cli_nt_setup_creds: request challenge failed
[2004/07/11 00:30:18, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(319)
Error domain join verification (reused connection): NT_STATUS_INVALID_COMPUTER_NAMEUnable to join domain INFORM.
что это значит ?
И что, решил ты эту проблему?
Ответов что-то не наблюдаю.
У меня что-то похожее.
Правда с SAMBA (Linux RH).
Когда пытаюсь засунуть машину в NT-шный домен (net join -I xxx.xxx.xxx.xxx -w domain_name -U domain_admin), получаю именно такую ругачку - nt_status_invalid_computer_name
еще что-то насчет allow trusted domain пишет.
И в домен, соответственно, не пускает. Хотя машина с RH на NT-вом сервере появляется в списке серверов. Но посмотреть какие-либо св-ва машины с RH я не могу.
Что-то нигде не могу найти ответа - в чем прикол.
Если решил эту проблему, скажи, что сделал - попробую как-то у себя приспособить.....
>[2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)
> kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm
Вот это очень похоже на то что нет или неверный /etc/krb5.conf
А как при использовании НТ авторизации замутить ограничение доступа, скажем по количеству скаченной инфы?
меня тоже волнует этот вопрос
Как быть если есть левые пользователи в не домена?
Возможно ли использовать два типа авторизации?
Завести для них отдельную базу?
сделал все работает
дистрибутив asp9
samba-3.0.6 из RPM
squid пришлось собирать вручную
и не забудте дать права сквиду на каталог windindd'a /var/lib/samba/winbindd_privileged/
А если у меня winbindd лежит в /usr/sbin
и прова на выполнение есть у всех,
а wb_auth (при тестировании) его даже под рутом не видит
(самба 3.0.6 сквид 2.5-стабле6)
FreeBSD 5.2
Squid 2.5
Samba 3.0.6
DС's OS Win2003 serverавторизация через ntlm_auth --helper-protocol=squid-2.5-ntlmssp
В логе не "ДОМЕН\ЮЗЕР" а просто "Юзер" что делать?Настраивал тоже самое точно также в других доменах - в логах ДОМЕН\ЮЗЕР
Может ли быть бага в версии самбы/каких-то настройках домена?
в smb.conf параметр winbind use default domain = no и будет писать домен по умолчанию
у меня самба работает через openldap можно ли сделать так чтобы провера пароля проходила не через посредника (samba) а сразу на openldap ?
GhjПроал все выше казанное.
В домен ввел - все ОК.triton# mount_smbfs -I srv1 //username@srv1/src /mnt/src/
Password:
triton# ls /mnt/src/
AntiVir Microsoft
Arc NetSoft
BankApp Win32App
DO_NOT_REMOVE_NtFrs_PreInstall_Directory develop
DRIVERS dos
Lotus
triton#Все пашет.
Начинаю ставить сквид. Так же как и описано выше.
И тут начинаются траблы.Не мог бы кто-нибудь подробно разъяснить пункт
4. Аутентификация NTLM не работает в случае если кэши работают в
режиме "ёлки". Авторизацию NTLM over HTTP не работает через иерархию
прокси. Это ФАКТ!Что это значить? У меня в сети имеется два прокси: через один ходят сервера и там не никаких ограничений и эта машина напрямую соеденена с Интернетом; есть вторая машина - proxy.mydomen.com, через корорую ходят все пользователи и на коротой стоит резалка. Все выше описанное я проверяю на третей машине (тестовой).
При попытке выйти в интернет через тестовую машину в логах получаю следующее:
1099488128.601 5 10.66.64.166 TCP_DENIED/407 1724 GET http://www.altlinux.ru/ - NONE/- text/html [Host: www.altlinux.ru\r\nUser-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7b) Gecko/20040316\r\nAccept: application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,image/jpeg,image/gif;q=0.2,*/*;q=0.1\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Encoding: gzip,deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 300\r\nProxy-Connection: keep-alive\r\nProxy-Authorization: NTLM TlRMTVNTUAADAAAAGAAYAFYAAAAYABgAbgAAAAAAAABAAAAACgAKAEAAAAAMAAwASgAAAAAAAAAAAAAAAoIAAG5pa29sYWV2YWFjZC0xMjVhLW5pY2uME+GzxF1a+NEjgl5KwIek42QWZVRYpURyrjgHMK+g37ra146VV4c7vQYJXpVzvvc=\r\n] [HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004 13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED 0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
Система - FreeBSD 4.10
Если кто знает, скажите, куда копать? И не связано ли все это с п. 4?
>[HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004
>13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED
>0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]Вот это вот говорит о том, что прокси не принял авторизацию клиента.
(X-Squid-Error: ERR_CACHE_ACCESS_DENIED
Proxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=)
Также это говорит о том что браузер все-таки что-то послал в прокси для авторизации (NTLM фафли-туфли)
Судя по соджержимому пакета NTLM там есть имя юзера и что-то похожее на домен (к сожалоению не в кусре как у вас домен называется но то что юзер nikolaev заходил это видно :) )Возможные причины и направления копать.
1. Как прописан доступ в конфиге прокси? (proxy_auth REQUIRED или proxy_auth vasya, proxy_auth sveta, etc...)
2. Если прописан для определенных пользователей то прописан ли в именах имя домена? (proxy_auth vasya или proxy_auth SUPA_DUPA_DOMAIN\vasya)
3. Каково значение параметров самбы winbind use default domain и winbind separator.
>>[HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004
>>13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED
>>0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
>
>Вот это вот говорит о том, что прокси не принял авторизацию клиента.
>
>(X-Squid-Error: ERR_CACHE_ACCESS_DENIED
>Proxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=)
>Также это говорит о том что браузер все-таки что-то послал в прокси
>для авторизации (NTLM фафли-туфли)
>Судя по соджержимому пакета NTLM там есть имя юзера и что-то похожее
>на домен (к сожалоению не в кусре как у вас домен
>называется но то что юзер nikolaev заходил это видно :) )
>
>
>Возможные причины и направления копать.
>1. Как прописан доступ в конфиге прокси? (proxy_auth REQUIRED или proxy_auth vasya,
>proxy_auth sveta, etc...)
>2. Если прописан для определенных пользователей то прописан ли в именах имя
>домена? (proxy_auth vasya или proxy_auth SUPA_DUPA_DOMAIN\vasya)
>3. Каково значение параметров самбы winbind use default domain и winbind separator.
>
Привет. Спасибо, что откликнулся.Начну по порядку.
1. acl password proxy_auth REQUIRED
далее
http_access allow password
http_access deny all2. Пользователи не указаны - их, как я понял, должен домен проверять.
3. Конфиг Самбы
triton# cat /usr/local/etc/smb.conf
[global]
workgroup = BANK
netbios name = triton
server string = DomainController
hosts allow = 10. 127.
winbind separator = /
winbind use default domain = True
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/sh
max log size = 50
security = domain
password server = srv1 srv3
encrypt passwords = yes
triton#PS А как ты узнал имя пользователя?
С Уважением, Александр.
Начнем с конца...
Как узнал имя...
NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
Строчки такого вида в пакетах - это NTLM обмен прокси и браузера. Строка закодирована base64. Раскодируем - получаем пакет. В нем челендж и инфа о юзере. Имя, домен и еще что-то. Оттуда и узнал :) а что правильно? :)))
>1. acl password proxy_auth REQUIRED
>далее
>http_access allow password
>http_access deny all
Тут все ок. Идут в нет те кто прошел авторизацию, независимо от имени. Остальные - лесом.>2. Пользователи не указаны - их, как я понял, должен домен проверять.
Да. точно. Я имел ввиду случай где разрешаем достпу только определенным логинам.>3. Конфиг Самбы
>triton# cat /usr/local/etc/smb.conf
>[global]
>workgroup = BANK
>netbios name = triton
>server string = DomainController
>hosts allow = 10. 127.
Вот здесь могут быть варианты... Данная строка пускает на самбу только юзеров с сетей 10.0.0.0/8 и 127.0.0.0/8
Не знаю влияет ли это на winbindd но проверить стоит.Решаем траблу дальше... Что дают команды
1. wbinfo -p ?
2. wbinfo -t ?
3. wbinfo -a логин_пользователя_домена%его_пароль_в_домене
4. ntlm_auth --username=логин_пользователя_домена
вышеуказанным проверим работоспособность системе авторизации
далее
5. squid вижу что 2.5 но не вижу версию самбы. Это вобщем то основное :)
>Начнем с конца...
>Как узнал имя...
>NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
>Строчки такого вида в пакетах - это NTLM обмен прокси и браузера.
>Строка закодирована base64. Раскодируем - получаем пакет. В нем челендж и
>инфа о юзере. Имя, домен и еще что-то. Оттуда и узнал
>:) а что правильно? :)))
>>1. acl password proxy_auth REQUIRED
>>далее
>>http_access allow password
>>http_access deny all
>Тут все ок. Идут в нет те кто прошел авторизацию, независимо от
>имени. Остальные - лесом.
>
>>2. Пользователи не указаны - их, как я понял, должен домен проверять.
>Да. точно. Я имел ввиду случай где разрешаем достпу только определенным логинам.
>
>
>>3. Конфиг Самбы
>>triton# cat /usr/local/etc/smb.conf
>>[global]
>>workgroup = BANK
>>netbios name = triton
>>server string = DomainController
>>hosts allow = 10. 127.
>Вот здесь могут быть варианты... Данная строка пускает на самбу только юзеров
>с сетей 10.0.0.0/8 и 127.0.0.0/8
>Не знаю влияет ли это на winbindd но проверить стоит.
>
>Решаем траблу дальше... Что дают команды
>1. wbinfo -p ?
>2. wbinfo -t ?
>3. wbinfo -a логин_пользователя_домена%его_пароль_в_домене
>4. ntlm_auth --username=логин_пользователя_домена
>вышеуказанным проверим работоспособность системе авторизации
>далее
>5. squid вижу что 2.5 но не вижу версию самбы. Это вобщем
>то основное :)
1. triton# /usr/local/samba/bin/wbinfo -p
'ping' to winbindd succeeded
triton#2. triton# /usr/local/samba/bin/wbinfo -t
Secret is good
triton#3. triton# /usr/local/samba/bin/wbinfo -a nikolaevaa%user_password
plaintext password authentication succeeded
error code was NT_STATUS_OK (0x0)
challenge/response password authentication succeeded
error code was NT_STATUS_OK (0x0)
triton#4. Насколько я понял, то нужно сделать вот так:
triton# /usr/local/squid/libexec/wb_ntlmauth --username=nikolaevaa
wb_ntlmauth[703](wb_ntlm_auth.c:352): target domain is NAME_DOMAINE
enter_user_password
BH illegal request received
wb_ntlmauth[703](wb_ntlm_auth.c:297): Illegal request received: 'user_password'Не нашел я на своей машине ntlm_auth, нашел каталог /root/soft/squid-2.5.STABLE6/helpers/ntlm_auth в rокорый заходил и делал следующее:
make
make install5. samba-2.2.6pre2
PS Паралельная просьба. Расскажи (или укажи, где почитать) про, цетирую "...Строка закодирована base64. Раскодируем - получаем пакет..."
Имя пользователя почти угадал :) nikolaevaa
Помоги разобраться со всем этим.
>5. samba-2.2.6pre2
>
К сожалению я все это проделывал на самбе 3.0.6,поэтому через wb_auth я это ничего не делал а делал именно через ntlm_auth причем не из сквида а из самбы
Вот, почитай всю это статейку, там все подробно расписано, я по ней отлаживал конфигурацию
http://www.squid-cache.org/Doc/FAQ/FAQ-23.html>PS Паралельная просьба. Расскажи (или укажи, где почитать) про, цетирую "...Строка закодирована
>base64. Раскодируем - получаем пакет..."base64 алгоритм, кодирующий любые бинарные данные в тектовые. Например для передачи по почте. При кодировании объем возрастает на 33%. Это не шифрование а именно кодирвоание. Для более удобной передачи. Более подробно о действии алгоритма спроси у яндекса :)
Если хоцца поиграцца, на PHP есть функции base64_encode и base64_decode
(первая кодирует, вторая раскодирует в обратно) посмотри что они выдают при работе, покорми их строчками из логов :)
Привет.
Поставил:
samba 3.0.8
squid-2.5.STABLE6На выходе все заработало, за исключением одного НО - IE спрашивает логин/пароль.
Как это победить?
>Как это победить?1. Машина с IE в домене?
2. Юзер в домене авторизовался?
3. Машина со сквидом в домене?
4. Самба корректно работает? Зашла в домен? Имеет доступ к PDC?
./winbindd -i -d 3
и смотрим нет ли каких ошибок при запуске винбинда.
Привет.1. Да
2. Да
3. Да
4. Думаю, что да. По шарам на Win2K под логином\паролем юзера из домена пускает и позволяет маунтить шары на Linux-машину.Вывод /usr/local/samba/sbin/winbindd -i -d 3
winbindd version 3.0.8 started.
Copyright The Samba Team 2000-2004
lp_load: refreshing parameters
Initialising global parameters
params.c:pm_process() - Processing configuration file "/usr/local/samba/lib/smb.conf"
Processing section "[global]"
adding IPC service
adding IPC service
added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0
added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
add_trusted_domain: MYDOMAINE is an NT4 domain
Added domain MYDOMAINE S-0-0
resolve_lmhosts: Attempting lmhosts lookup for name srv1<0x20>
resolve_wins: Attempting wins lookup for name srv1<0x20>
resolve_wins: WINS server resolution selected and no WINS servers listed.
resolve_hosts: Attempting host lookup for name srv1<0x20>
resolve_lmhosts: Attempting lmhosts lookup for name srv3<0x20>
resolve_wins: Attempting wins lookup for name srv3<0x20>
resolve_wins: WINS server resolution selected and no WINS servers listed.
resolve_hosts: Attempting host lookup for name srv3<0x20>
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAINE
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
lsa_io_sec_qos: length c does not match size 8
rpc: trusted_domains
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAINE
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
add_trusted_domain: CARD is an NT4 domain
Added domain CARD S-1-5-21-790525478-1677128483-839522115
add_trusted_domain: BUILTIN is an NT4 domain
Added domain BUILTIN S-1-5-32
add_trusted_domain: TRITON is an NT4 domain
Added domain TRITON S-1-5-21-4040133165-2314538755-1376563790
rpc: trusted_domainsДальше просто горит постоянно "rpc: trusted_domains"
Что дальше делать?
С Уважением, Александр.
Судя по логам пока все ок.
А что пишется в логах при попытке авторизации с виндовой машины?Еще вариант - у пользователя www (или под кем там сквид бежит?) нет доступа к пайпе winbind'a
http://samba.rinet.ru/devel/docs/html/winbindd.8.html
почитай вот тут, там, если дейтсвительно в этом проблема, описано у кого и на что должны быть права.Если проблема в этом то в логах винбинда при авторизации должны появляться строки типа "access denied" или что-то в этом роде. В общем он будет материцца что доступа нет к пайпе.
Привет.Начал логинится и вот что увидел:
piton# /usr/local/samba/sbin/winbindd -i -d 3
winbindd version 3.0.8 started.
Copyright The Samba Team 2000-2004
lp_load: refreshing parameters
Initialising global parameters
params.c:pm_process() - Processing configuration file "/usr/local/samba/lib/smb.conf"
Processing section "[global]"
adding IPC service
adding IPC service
added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0
added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
add_trusted_domain: MYDOMAIN is an NT4 domain
Added domain MYDOMAIN S-0-0
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAIN
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
lsa_io_sec_qos: length c does not match size 8
rpc: trusted_domains
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAIN
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
add_trusted_domain: CARD is an NT4 domain
Added domain CARD S-1-5-21-790525478-1677128483-839522115
add_trusted_domain: BUILTIN is an NT4 domain
Added domain BUILTIN S-1-5-32
add_trusted_domain: TRITON is an NT4 domain
Added domain TRITON S-1-5-21-4040133165-2314538755-1376563790
rpc: trusted_domains
[11986]: request interface version
[11986]: request location of privileged pipe
[11986]: pam auth nikolaevaa
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAIN
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
[11994]: request interface version
[11994]: request location of privileged pipe
[11994]: ping
[11994]: gid to sid 65534
[11995]: request interface version
[11995]: request location of privileged pipe
[11995]: ping
[11995]: gid to sid 65534
rpc: trusted_domains
[11986]: pam auth pupkinvvСудя по вот этому "pam auth pupkinvv" и "pam auth nikolaevaa" идет не NTLM аутентификация, а PAM, так? Или я не правльно понял?
И если так, то как это побороть?И еще вот лог winbind'a
piton# tail -20 /usr/local/samba/var/log.winbindd
[2004/11/22 21:00:11, 1] nsswitch/winbindd.c:main(865)
winbindd version 3.0.8 started.
Copyright The Samba Team 2000-2004
[2004/11/22 21:00:16, 1] nsswitch/winbindd_util.c:init_domain_list(327)
Could not fetch sid for our domain MYDOMAIN
[2004/11/23 14:53:56, 1] nsswitch/winbindd.c:main(865)
winbindd version 3.0.8 started.
Copyright The Samba Team 2000-2004Не понятна фраза "Copyright The Samba Team 2000-2004".
С Уважением, Александр.
Коментарий к:И еще вот лог winbind'a
piton# tail -20 /usr/local/samba/var/log.winbindd
[2004/11/22 21:00:11, 1] nsswitch/winbindd.c:main(865)
winbindd version 3.0.8 started.
Copyright The Samba Team 2000-2004
[2004/11/22 21:00:16, 1] nsswitch/winbindd_util.c:init_domain_list(327)
Could not fetch sid for our domain MYDOMAIN
[2004/11/23 14:53:56, 1] nsswitch/winbindd.c:main(865)
winbindd version 3.0.8 started.
Copyright The Samba Team 2000-2004========================== Тут торопился - не ту строку скопировал ==========================
Не понятна фраза "Copyright The Samba Team 2000-2004".
========================== Тут торопился - не ту строку скопировал ==================================================== Вот так правильнее ==========================
Не понятна фраза "Could not fetch sid for our domain MYDOMAIN".
========================== Вот так правильнее ==========================С Уважением, Александр.
PS Извините за флуд.
Вроде поборол.Теперь при выходе в Интернет IE, если пользователь добавлен в определенную группу, есть выход в Сеть, в противном случае - отказ.
Вот мой конфиг:
squid.conf
#============================================== VARIANT WITH GROUP ======================================
auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMAIN\\proxy-users"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MYDOMAIN\\proxy-users"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
#============================================== VARIANT WITH GROUP ======================================#============================================== VARIANT WITH GROUP ======================================
acl NTLMauth proxy_auth REQUIRED
http_access allow NTLMauth
#============================================== VARIANT WITH GROUP ======================================smb.conf
[global]
workgroup = MYDOMAIN
netbios name = piton
server string = piton.mydomain.ru
hosts allow = 10. 127.
# winbind separator=+
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/bash
max log size = 50
security = domain
password server = srv1 srv3
encrypt passwords = yessquid собирался с опциями:
./configure --enable-auth="basic ntlm" --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind" --with-external-acl-helpers="wbinfo_group"samba - как указано в начале статьи http://www.opennet.me/base/net/squid_win200_auth.txt.html.
(Именно ее и использовал для настройки всего этого)FreeBSD 4.10
samba-3.0.8
squid-2.5.STABLE6Единственное, что осталось не понятно, так почему в access.log squid'a, если доступ запрещен, не пишется имя пользователя (только IP машины), который ломился в интернет:
1102000944.430 8 10.66.64.230 TCP_DENIED/407 1699 GET http://mail.ru/ - NONE/- text/html
вроде запела песня эта хриплая... :)а как можно сделать, чтоб с части IP-ов можно было без авторизации выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне - проверяло бы.
и всетаки... есть ли решение с учетными записаями на русском? оно вроде в винбинд юникод пихает если я правильно угадал из дебагмоды.
>вроде запела песня эта хриплая... :)
>
>а как можно сделать, чтоб с части IP-ов можно было без авторизации
>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
>- проверяло бы.
# эти товарищи пойдут без авторизации
acl trusted src 192.168.17.1
acl trusted src 192.168.18.0/24
http_access allow trusted#а эти с авторизацией
acl auth proxy_auth REQUIRED
acl untrusted src 192.168.200.0/24
http_access allow untrusted auth#кажется так, вроде не напутал
http_access deny all
>
>и всетаки... есть ли решение с учетными записаями на русском? оно вроде
>в винбинд юникод пихает если я правильно угадал из дебагмоды.Есть, в коях пишешь слудующие штуки (может быть можно и не в коях, все зависит от настроек самбы, у меня настроено на KOI8-R и работает с русскими именами)
acl auth_vasya proxy_auth DOMAIN\Вася
http_access allow auth_vasya
>>вроде запела песня эта хриплая... :)
>>
>>а как можно сделать, чтоб с части IP-ов можно было без авторизации
>>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
>>- проверяло бы.
># эти товарищи пойдут без авторизации
>acl trusted src 192.168.17.1
>acl trusted src 192.168.18.0/24
>http_access allow trusted
>
>#а эти с авторизацией
>acl auth proxy_auth REQUIRED
>acl untrusted src 192.168.200.0/24
>http_access allow untrusted auth
>
>#кажется так, вроде не напутал
>
>http_access deny all
>
>>
>>и всетаки... есть ли решение с учетными записаями на русском? оно вроде
>>в винбинд юникод пихает если я правильно угадал из дебагмоды.
>
>Есть, в коях пишешь слудующие штуки (может быть можно и не в
>коях, все зависит от настроек самбы, у меня настроено на KOI8-R
>и работает с русскими именами)
>acl auth_vasya proxy_auth DOMAIN\Вася
>http_access allow auth_vasya
а если у меня этих Вась мнооого?
Записываешь их всех. Или пишешь скрипт который зделает это за тебя
а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена?
остается тока настроить pppoe сервер или поставить аппаратные и прописать ему юзеров с пассами из домена
Спрашивается, а зачем вообще заводить пользователей с русскими логинами?PS
Да и вообще, зачем их самому заводить 8)?
Пусть это делает отдел кадров (такое подразделение есть практически в любой конторе), а мудрый скрипт все выгружает в АД. ИМХО.
Да не я их заводил... в наследство досталось... вот и пытаюсь как-то подружить
А кто-нибудь после сквида смог накормить этим хозяйством SquidGuard'а? Т.е. резать не по аресу, а по имени полученному из AD? Если да, то поделитесь опытом плз.
Вопрос:
есть Домен,в нём есть группы iusers1 iusers2 iusers3
как реализовать?:авторизация через winbindd
так чтоб группа iusers1 соответствовала своему acl name`у, допустим usr1;а остальные группы соответственно usr2 и usr3ОГРОМНА ПРОСЬБА ПОМОГИТЕ !!!!
ЗЫ: Напишите пример конфига !!!
Зачем winbindd ???
Зачем samba ???http://group-ldap-auth.sourceforge.net/
нашол тута http://www.squid-cache.org/related-software.html
на оффсайти
А если не группы, а пользоватлей раскидать по разным acl например так
acl BOSS proxy_auth Admin BOSS
acl Client proxy_auth User1 User 2 ...UserX
acl Clients proxy_auth REQUIRED # dctостальныетак сработает ?
очепятки "паролю" а не "раолю"