URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 5212
[ Назад ]

Исходное сообщение
"Тематический каталог: Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domai..."

Отправлено auto_topic , 28-Фев-05 04:01 
Обсуждение статьи тематического каталога: Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)

Ссылка на текст статьи: http://www.opennet.me/base/net/win_domain_squid.txt.html


Содержание

Сообщения в этом обсуждении
"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено Admin , 28-Фев-05 04:01 
Ага, а теперь пробуем загрузить обновления с windowsupdate.microsoft.com с помощью windows xp sp2 + bits2 и получаем по лбу подарочным набором граблей. также засилие ошибок 407 в логах сквида очень разнообразит жизнь при использовании лог-парсеров сквида.
для более глубокого понимания читать сюда :)
http://devel.squid-cache.org/ntlm/

"Аутентификация пользователей в squid через доменные аккаунты..."
Отправлено pablo , 28-Фев-05 14:36 
Спасибо за комментарии.
Попробовал установить все обновления.
Устанавливалось с локального sus сервера недельной давности.
Честно говоря не заметил проблем. Что имелось в виду? Где воникают проблемы?
Да, ошибок 407 довольно большое количество, однако при использовании парсеров их тоже можно парсить. Хотя это напрягает, согласен.

>Ага, а теперь пробуем загрузить обновления с windowsupdate.microsoft.com с помощью windows xp
>sp2 + bits2 и получаем по лбу подарочным набором граблей. также
>засилие ошибок 407 в логах сквида очень разнообразит жизнь при использовании
>лог-парсеров сквида.
>для более глубокого понимания читать сюда :)
>http://devel.squid-cache.org/ntlm/



"Аутентификация пользователей в squid через доменные аккаунты..."
Отправлено Admin , 28-Фев-05 14:43 
Не путайте тёплое с мягким. SUS никоем образом не равен windowsupdate.microsoft.com. А новая, post-sp2 winxp служба передачи файлов - bits2, ведёт себя очень неадекватно при использовании именно такой схемы. В общем, она не посылает повторные запросы при получении отклика 407 и "замирает" навсегда, как результат - компьютер сидит без обновлений. Как я встречал в интернете, подобные проблемы возможны с некоторыми аплетами и т.д., т.е. с более тупыми клиентами кеша. Микрософт наличие "особенностей" признают, но, как это обычно бывает, им всё равно. Use MS ISA(TM).

"Аутентификация пользователей в squid через доменные аккаунты..."
Отправлено pablo , 01-Мрт-05 10:29 
А в чем отличие SUS от windowsupdate?
Сходил на microsoft.com в стоке поиска указал bits 2.0, скачал (файл WindowsXP-KB842773-v2-x86-rus.exe для русской WinXP). Перезагрузился... вроде все пучком... в логе сквида нормальные запросы... правда много 407 но после получения ее все нормально.
Просьба указать на то как можно достичь описанного эффекта. Внедрение проекта на носу, хотелось бы на все грабли наступить...

>Не путайте тёплое с мягким. SUS никоем образом не равен windowsupdate.microsoft.com. А
>новая, post-sp2 winxp служба передачи файлов - bits2, ведёт себя очень
>неадекватно при использовании именно такой схемы. В общем, она не посылает
>повторные запросы при получении отклика 407 и "замирает" навсегда, как результат
>- компьютер сидит без обновлений. Как я встречал в интернете, подобные
>проблемы возможны с некоторыми аплетами и т.д., т.е. с более тупыми
>клиентами кеша. Микрософт наличие "особенностей" признают, но, как это обычно бывает,
>им всё равно. Use MS ISA(TM).



"Аутентификация пользователей в squid через доменные аккаунты..."
Отправлено root , 02-Мрт-05 08:21 
>им всё равно. Use MS ISA(TM).
или use !IE



"Аутентификация пользователей в squid через доменные аккаунты..."
Отправлено Kapitan , 28-Сен-05 23:23 
Может я конечно и не прав и сужу с высоты полета своей компании. Но я считаю, что если в компании есть два сервера одна из которых домен контроллер, а вторая шлюз в ИНЕТ, то явно есть и сервера приложений и/или СУБД. Куда действительно приспокойно ставится СУС, который отлично ходит через прокси. Плюс экономия траяика. Через GPO в домене настраивается политика обновления - и даже ходить никуда не нужно.

"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено ds_shadof , 28-Фев-05 09:28 
И что теперь?

"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено ds_shadof , 28-Фев-05 09:32 
mozilla без каких либо проблем может использовать схему ntlmssp

"Аутентификация пользователей в squid через доменные аккаунты..."
Отправлено pablo , 28-Фев-05 14:24 
Спасибо за дополнение. Действительно mozilla и firefox прекрасно аутентифицируються и работают.

"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено Ivan512 , 02-Мрт-05 08:27 
Люди, обьясните в каких случая стоит ставить kerberos? Всегда работаю без неё.

"Тематический каталог: Аутентификация пользователей в squid ч..."
Отправлено Sem , 02-Мрт-05 11:56 
Да, это все хорошо, но вот если мне надо более гибкую схему проверки по группам?

С samba2 это все работало так:
external_acl_type NT_Group ttl=60 %LOGIN /usr/local/libexec/squid/wb_group
acl InInetGroup external NT_Group Group1
acl InInetGroup external NT_Group Group2
и т.д.

С samba3 такого не получается. Получается только задать жесткую привязку к одной группе, как это описано в статье.

Может я что-то пропустил?


"Тематический каталог: Аутентификация пользователей в squid ч..."
Отправлено Finch , 03-Мрт-05 09:57 
Люди, вопрос в тему
дошёл до вот этого момента: wbinfo -a user%passwd
Получаю вот что:

su-2.05b# /usr/local/samba/bin/wbinfo -a user%passwd
plaintext password authentication failed
error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
error messsage was: No such user
Could not authenticate user user%passwd with plaintext password
challenge/response password authentication succeeded

Кто с этим сталкивался? Как обходили?



"Тематический каталог: Аутентификация пользователей в squid ч..."
Отправлено nuHrBuH , 20-Апр-05 17:55 
Надо подставлять имя домена в юзернейм.
Должна получиться строка вида: wbinfo -a domain+user%password (или wbinfo -a domain\user%password). Тогда проходит авторизация.

"Тематический каталог: Аутентификация пользователей в squid ч..."
Отправлено CMEPTb , 27-Ноя-05 18:01 
>Люди, вопрос в тему
>дошёл до вот этого момента: wbinfo -a user%passwd
>Получаю вот что:
>
>su-2.05b# /usr/local/samba/bin/wbinfo -a user%passwd
>plaintext password authentication failed
>error code was NT_STATUS_NO_SUCH_USER (0xc0000064)
>error messsage was: No such user
>Could not authenticate user user%passwd with plaintext password
>challenge/response password authentication succeeded
>
>Кто с этим сталкивался? Как обходили?
Я с ентой фигней столкнулся. У тебя вероятно используется "winbind separator = \ ", попробуй поставить стандартный "+", мне во всяком случае ето помогло.



"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено Atomic , 03-Мрт-05 11:45 
Этот вопрос меня очень долго интересует с момента перехода на samba 3!!!!!

"Аутентификация пользователей в squid через доменные аккаунты..."
Отправлено Finch , 03-Мрт-05 17:21 
>Этот вопрос меня очень долго интересует с момента перехода на samba 3!!!!!
>

Ну а как авторизовываться то тогда????


"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено Atomic , 03-Мрт-05 19:43 
Меня скоро на шампур натянут на работе, если я не разобью по группам пользователей:)

"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено comatoz , 11-Мрт-05 17:48 
По группам получилось авторизовать вот так
#через группы домена
auth_param      ntlm    program /usr/local/libexec/squid/ntlm_auth board\\taid
auth_param      ntlm    children 5
auth_param      ntlm    max_challenge_reuses 0
auth_param      ntlm    max_challenge_lifetime 2 minutes
auth_param      basic   program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param      basic   children 10
auth_param      basic   realm Squid proxy-caching web server
auth_param      basic   credentialsttl 2 minutes
#auth_param     basic   credentialsttl 2 hours

# внешний хелпер для acl через группы
external_acl_type Domain_Group ttl=60 concurrency=5 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

# группа Inet1-acl
acl     Inet1-acl         external Domain_Group  Inet1
http_access allow Inet1-acl all

только пришлось напильником подравнять wbinfo_group.pl, т.к. он в качестве разделителя домена и пользователя понимает то что определенно в smb.conf, а ему подсовывают \, добавил строку
# заменяем \ на +
        $user=~ tr/\\/+/s;
в wbinfo_group.pl перед return.


"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено aleksandrk , 15-Май-05 16:03 
Esli server pod Win2003 so vsemi obnovlenijami, to  pomozet tol'ko posledniaja samba 3.0.14a

"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено Zhioorkie , 29-Май-05 14:11 
Hi! Check "proxycfg -u" under Windows XP for Windows update to work. BR, Zhioorkie

"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено ponka , 30-Май-05 18:24 
Всезнающие помогите, а то уже сил нет. RHEL 4.0 Samba 3.0.10, Squid 1.25. Самбу настроил, Winbind работает, в сквиде прописал аунтификацию. А он (squid) гад не пускает.

В логе появляется вот такая запись:

May 30 16:59:06 rhel kernel: audit(1117461546.224:0): avc:  denied  { create } for  pid=833 exe=/usr/sbin/winbindd name=winbindd.log scontext=root:system_r:winbind_t tcontext=root:object_r:samba_log_t tclass=file

Подскажите где капать.


"Аутентификация пользователей в squid через доменные аккаунты..."
Отправлено nuHrBuH , 17-Авг-05 12:08 
wbinfo -p и wbinfo -t что возвращают?
Машина в домен вошла нормально? KDC видит? Тикет получила?
wbinfo -a авторизацию проходит?..
Мало информации для помощи ;)

"Аутентификация пользователей в squid через доменные аккаунты..."
Отправлено nuHrBuH , 17-Авг-05 12:09 
И посмотри разрешению на папку, куда winbindd логи кладет. Похоже, просто не может создать лог-файл...

"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено Kapitan , 28-Сен-05 23:01 
Может кому пригодится. Я на счет слов:
> Пришлось указывать универсальный идентификатор группы в домене (SID).
Попробуйте так:
1) Если используется winbind separator = \ или просто не указывается в конфигурационном файле smb.conf, то --require-membership-of="Domain\\Group"
2) Если же winbind separator = + , то указвайте --require-membership-of="Domain\+Group"

В моем случае именно такой синтаксис уберег от прямого использования SID - все-таки так более нагляднее.
Система: FreeBSD 4.11, Samba 3.0.20,1, domain W2K3


"Аутентификация пользователей в squid через доменные аккаунты Windows (freebsd squid auth win domain samba)"
Отправлено Анатолий , 03-Дек-07 07:26 
В самбе 3.0.26a столкнулся с такой траблой:
не join'илась в домен до тех пор пока не прописал доменное имя своего хоста в /etc/hosts
После этого действия получил заново тикет и только потом приджойнился.
Так что имейте ввиду - есть такая трабла ;)