Misha Volodko описал как можно аутентифицировать пользователей в squid на основе доменных аккаунтов.URL: http://www.opennet.me/base/net/win_domain_squid.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=5122
Да сколько же можно???
Не нравится, не читай
если домен на самбе поднят?
Корректно работающая связка samba 3 + ldap backend не хочет отдавать имена через winbindd
Домен выбран неудачный :( Как это пива нет? А в целом нормальная статья.
tadmin, ну и что? У меня тоже winbindd в такой связке ничего не показывает. На суть описанного это не влияет.
ntlm_auth не может брать учетные записи прямо из ldap, ему нужен работающий winbindd, которому, в свою очередь, нужно установленные trust relationship с контроллером домена.Если у тебя работает в локальной связке, то не мог бы ты показать:
содержимое /etc/nsswithc.conf
#wbinfo -t
#wbinfo -u
[root@forlan bin]# ./wbinfo -t
checking the trust secret via RPC calls succeeded
[root@forlan bin]# ./wbinfo -u
Error looking up domain users
Но падла авторизирует :)
[root@forlan bin]# ./wbinfo -a ds_shadof%pass_here
plaintext password authentication succeeded
challenge/response password authentication succeeded
Кусочек который тебя интересует от nsswitch.conf
passwd: files ldap
shadow: files ldap
group: files ldap
Так же предвижу вопроc о содержимом ldap.conf
host 127.0.0.1
base dc=liin,dc=org
binddn cn=Manager,dc=liin,dc=org
bindpw parol'_tut
#rootbinddn cn=Manager,dc=liin,dc=org
pam_password exop
nss_base_passwd ou=people,dc=liin,dc=org?one
nss_base_shadow ou=people,dc=liin,dc=org?one
nss_base_group ou=groups,dc=liin,dc=org?one
Хорошая статья, спасибо!
А домен действительно выбран неудачный :) Тем более, что домен действительно существует - это вполне такой себе серьёзный хостинг-провайдер. См. http://www.piva.net/ :)
># Да сколько же можно???
Да столько сколько нужно, тебе парень написАли о том как использовать авторизацию Windows и Active Directory. Т.е. фактически показано как увязать FreeBSD и AD.
А может проще перетащить всех доменных пользователей в NIS и забить на весь этот бардак.
Что ни прога - тут же учим ее авторизоваться в АД. Самостоятельно.
NIS - хуже. Через роутеры без бубна не бегает, секурити - грустно молчу, итд.итп ...
Хотя и предложенное - не мед :(
Как это через роутеры не бегает???? Оно же 111/tcp 111/udp.
Какая секурити??? Та что хэши паролей по сети скачут? Если да, то я ведь не говорил, что и авторизоваться тоже через NIS. Авторизоваться можно как угодно.
Собираем к примеру, файл паролей /var/yp/passwd_NIS из сточек вида:
user1:x:1001:2001:user1:/no_home:/no_shell
Аналогично /var/yp/group_NISНастраиваем pam куда угодно (winbind, smb_auth, kerberos, etc...)
И все. Пользователи - доменные, группы и членство в них - доменные, авторизация - доменная.Что полохого?
PS. при этом все это добро можно сколь угодно раздавать на другие юниксы, uid-ы и gid-ы то одинаковые.
Внимательно гугляем на тему NIS и секьюрити и понимаем что NIS это не просто дыра а отрытые двери с плакатом добро пожаловать.
Может быть почтеннейший не сочтет за труд ткнуть носом в конкретные проблемы?
А возможно ли это внедрить сразу через опенлдап?
К примеру у меня учетки хранятся в openldap. Самба привязана к лдап. Так вот если делать Аутентификация пользователей squid через доменные аккаунты Windows ;) то получает не нужный посредник Samba. Или без Самбы все таки не обойтись ?
Доброе время суток,
делал как написано. Всё нормально работало, IE не спрашивал, mozzila спрашивала, вообщем всё работало....
Но через час работы, начал спрашивать опять логин и пароль, и ни один не стал проходить....
Начал делать всё заново как тут написано.... Теперь не могу получить билет от Kerberos'а.
Говорит логин и пароль не правильные, хотя всё нормально....
bash-2.05b# kinit -p finch@domain.ru
finch@domain.ru's Password:
kinit: Password incorrectВот что про kerberos в /var/log/messages
Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar 5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar 5 13:55:27 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar 5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar 5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/
Вот что squid пишет в cache.log:2005/03/04 14:19:34| Starting Squid Cache version 2.5.STABLE8 for i386-unknown-freebsd5.3...
2005/03/04 14:19:34| Process ID 583
2005/03/04 14:19:34| With 11072 file descriptors available
2005/03/04 14:19:34| Performing DNS Tests...
2005/03/04 14:19:34| Successful DNS name lookup tests...
2005/03/04 14:19:34| DNS Socket created at 0.0.0.0, port 49338, FD 5
2005/03/04 14:19:34| /etc/resolv.conf: (13) Permission denied
2005/03/04 14:19:34| Warning: Could not find any nameservers. Trying to use localhost
2005/03/04 14:19:34| Please check your /etc/resolv.conf file
2005/03/04 14:19:34| or use the 'dns_nameservers' option in squid.conf.2005/03/04 14:19:34| helperStatefulOpenServers: Starti
ng 30 'ntlm_auth' processes
2005/03/04 14:19:35| helperOpenServers: Starting 10 'ntlm_auth' processes
2005/03/04 14:19:35| Unlinkd pipe opened on FD 50
2005/03/04 14:19:35| Swap maxSize 102400 KB, estimated 7876 objects
2005/03/04 14:19:35| Target number of buckets: 393
2005/03/04 14:19:35| Using 8192 Store buckets
2005/03/04 14:19:35| Max Mem size: 8192 KB
2005/03/04 14:19:35| Max Swap size: 102400 KB
2005/03/04 14:19:35| Rebuilding storage in /usr/local/squid/var/cache (DIRTY)
2005/03/04 14:19:35| Using Least Load store dir selection
2005/03/04 14:19:35| Set Current Directory to /usr/local/squid/var/cache
2005/03/04 14:19:35| Loaded Icons.
2005/03/04 14:19:36| Accepting HTTP connections at 192.168.0.11, port 3128, FD 52.
2005/03/04 14:19:36| Accepting ICP messages at 0.0.0.0, port 3130, FD 53.
2005/03/04 14:19:36| WCCP Disabled.
2005/03/04 14:19:36| Ready to serve requests.
2005/03/04 14:19:36| Done reading /usr/local/squid/var/cache swaplog (193 entries)
2005/03/04 14:19:36| Finished rebuilding storage from disk.
2005/03/04 14:19:36| 190 Entries scanned
2005/03/04 14:19:36| 0 Invalid entries.
2005/03/04 14:19:36| 0 With invalid flags.
2005/03/04 14:19:36| 190 Objects loaded.
2005/03/04 14:19:36| 0 Objects expired.
2005/03/04 14:19:36| 0 Objects cancelled.
2005/03/04 14:19:36| 3 Duplicate URLs purged.
2005/03/04 14:19:36| 0 Swapfile clashes avoided.
2005/03/04 14:19:36| Took 0.5 seconds ( 347.7 objects/sec).
2005/03/04 14:19:36| Beginning Validation Procedure
2005/03/04 14:19:36| Completed Validation Procedure
2005/03/04 14:19:36| Validated 187 Entries
2005/03/04 14:19:36| store_swap_size = 886k
2005/03/04 14:19:36| storeLateRelease: released 0 objects
2005/03/04 15:49:13| WARNING: ntlmauthenticator #1 (FD 7) exited
Вот мой лог кербероса,bash-2.05b# cat /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5/libs.log
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.RU
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true[realms]
MGUS.RU = {
kdc = Dc.domain.ru:88
default_domain = Dc.domain.ru
}[domain_realm]
.mgus.ru = DOMAIN.RU
mgus.ru = DOMAIN.RU
[kdc]
profile = /var/kerberos/kdc.conf
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
>Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar 5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar 5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar 5 13:55:27 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar 5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar 5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar 5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar 5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar 5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar 5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
>Mar 5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
>Mar 5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
>Mar 5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/В настройках зоны в DNS поставь check-names ignore; с ним нормально обрабатываются имена с символом _.