The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов. (freebsd squid samba domain auth)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
Ключевые слова: freebsd, squid, samba, domain, auth,  (найти похожие документы)
From: Дмитрий Новиков <[email protected]> Newsgroups: http://www.artmagic.ru/labs/ Date: Mon, 4 Dec 2002 13:01:37 +0000 (UTC) Subject: Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов. Оригинал: http://www.artmagic.ru/labs/sqlandwin.shtml Авторизация доступа к Интернет на основе Windows NT' \ 2000 авторизации. Вступление Классическим решением сандарта предприятия для организации Интернет-сервисов является сервер под управлением UNIX. Практически всегда для Web и FTP трафика используют кеширующий сервер SQUID, который также является стандартом de facto. Стандартным способом предоставления доступа к SQUID-серверу является доступ на основе специалицированных списков доступа (Access Lists или ACL). В свою очередь списки доступа обычно строятся на основе IP-сетей, которым разрешен доступ к SQUID. Например, определим ACL, которая описывает сеть 10.128.0.0/16 (или с маской 255.255.0.0). и ACL, которая описывает вообще все адреса squid.conf: acl net10128 src 10.128.0.0/16 acl all src 0.0.0.0/0 а теперь разрешим ей доступ к Интернет ресурсам http_access allow net10128 а всем остальным - запретим: http_access deny all После этого, только компьютерам из заданной сети разрешен доступ к Интернет. При использовании Internet-ресурсов, в лог-файл squid записывается информация о конкретном адресе, запросившем конкретный Интернет-ресурс: acess.log: 1032862411.262 96 10.128.15.4 TCP_MEM_HIT/200 2581 GET http://www.ru/eng/images/ssilki.jpg board/sag NONE/- image/jpeg Здесь присутсвует дата, размер ресурса, IP-адрес станции, зпросившей ресурс, и сам ресурс. Из такого рода записей можно подсчитать трафик как по станции, так и по под-сети. Однако приведенная выше технология позволяет контролировать трафик по IP-адресу Интернет-пользователя. В большинстве случаев этот способ вполне подходит, однако при этом необходимо, чтобы за конретным компьютеров всегда работал конкретный человек. Это условие выполняется не всегда и тогда учет трафика нарушается. Вот типичные условия, при которых требуется другая схема авторизации в Интернете: * Различные пользователи работают на одном и том же рабочем месте (например, посменно) * Пользователи вообще не привязаны к конкретным компьютерам. * Пользователи работают в терминальных сессиях терминального сервера. Тогда вообще весь Интернет-трафик идет с IP-адреса сервера. Поэтому часто встает проблема учета трафика не на основе IP, а на основе другой информации. Авторизация на основе логина и пароля Логичным решением поставленной во вступлении проблемы является авторизация в SQUID по логину и раолю. Такая возможность в SQUID, естесвенно предусмотрена. В SQUID для этого разработана возможность авторизовать через внешнюю программу, которая просто "говорит" "да или "нет" на определенног о пользователя и пароль. Т.о. Можно производить авторизацию по учетной записи умеет производить авторизацию через учетные записи UNIX, через текстовые файлы и т.п. Например, для того чтобы пользователь авторизовался через файл /usr/local/squid/passwd формата Веб-авторизации (формат Apache), нужно скомпилировать squid вместе с этим модулем (--enable-auth="ncsa; подробнее см. документацию к SQUID). И в конфиг SQUID добавить ACL и разрешающее правило: Разрешает доступ пользователям dima petya vasya, пароли которых будут проверены через файл /usr/local/squid/passwd acl MYUSERS proxy_auth dima petya vasya http_access allow MYUSERS http_access deny all authenticate_program /usr/local/squid/bin/ncsa_auth /usr/local/squid/etc/passwd *) *) для версии 2.4 При этом, это решает поставленные в "Введении" проблемы, однако добавляет некоторые неудобства пользователям и администратору: * При первичном входе в Интернет пользователю нужно набратьв броузере логин\пароль для доступа к SQUID. И каждому пользователю необходимо помнить свои параметры. * Администратору необходимо вести базу логинов и паролей в файле. Авторизация через учетные записи Windows При работе в Windows-сетях каждый пользователь при входе в сеть проходит авторизацию в NT(2000)-домене. Было бы здорово использовать эти данные для авторизации SQUID. Тогда решаются проблемы ведения в SQUID отдельной базы данных пользователей и, как оказалось, можно решить проблему запроса логина\пароля в броузере при входе в Интернет. Главная проблема при решении авторизации через Windows-домен - найти и настроить программу для авторизации заданного пользователя в Windows-домене. Команда SQUID рекомендует пользоваться программой winbindd, которая является частью проекта SAMBA (реализация Windows сервера и клиента под UNIX), SQUID, начиная с версии 2.5 поддерживает различные схемы авторизации по логину\паролю, включая basic и NTLM (NT Lan Manager). Basic-схема предназначена для авторизации через ввод логина\пароля в броузере, а NTLM-схема предназначена для автоматического приема броузером логина, пароля и домена, под которыми пользователь зарегистрировался в Windows-домене. Т.о. с помощью NTLM-авторизации можно автоматически регистрироваться в SQUID без ручного подтверждения логина и пароля. Практическое решение построения системы авторизации через Windows домен. Практическое решение проблемы было найдено опытным путем и может быть не самым изящным и правильным. Но прелесть его в том, что оно доделано да конца и работает. Исходные данные 1.Компьютер, подключенный к Интернет с установленной ОС: FreeBSD 4.4 (версия и сама ОС не имеют принципиального значения) 2.Сеть, содержащая около 200 Windows-станций, включая терминальные серверы и клиенты 3.Около 250 аккаунтов в домене под управлением Windows 2000 Advanced сервер (домен WORK и 4 доверительных домена). Задача. Обеспечить авторизацию пользователей на SQUID через учетные записи Windowы наиболее удобным способом. План действий 1.Установка и конфигурация SAMBA. * Итак первое, что надо сделать - установить SAMBA для того,чтобы уметь авторизоваться в Windows-домене. Я установил версию 2.2.6pre2. Причем, важно скомпилировать SAMBA с поддержкой winbind, т.е. С параметрами --with-winbind --with-winbind-auth-challenge Примечание: В FreeBSD SAMBA была собрана из портов (ports) и оказалось, что с текущей версией не собирается библиотека CUPS. Поэтому SAMBA была собрана без нее (--without_cups). * После установки, SAMBA нужно настроить на домен Windows сети и на использование winbind: [global] workgroup = WORK - Имя нашего Windows-домена netbios name = vGATE - Имя сервера (необязательно) server string = vGate hosts allow = 10.128. 127. - Для безопасности. winbind separator = + winbind use default domain = yes winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes template homedir = /home/winnt/%D/%U template shell = /bin/bash max log size = 50 security = domain password server = Primary Exch - серверы паролей (PDC, BDC) encrypt passwords = yes Следует обратить внимание на 2 вещи: 1. Сначала в параметре password server был указан только PDC (Primary) и winbind не смог найти контроллер домена. Все заработало когда был добавлен BDC (Exch). 2. Оба имени - это NetBIOS имена и для того, чтобы они равильно интерпретировались в IP я прописал их в /usr/local/etc/lmhosts 10.128.1.40 Primary 10.128.1.34 Exch * После этого необходимо заригестрировать SAMBA в домене Windows. Для этого нужэно набрать команду: /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator После этого, следует ввести пароль админиcтратора домена. Наблюдались проблемы с samba 2.2.4 и регистрацией в нашем ломене - именно поэтому была поставлена версия 2.2.6 из портов. Далее можно запустить nmbd (/usr/local/sbin/nmbd -D) лучше с включенным дебагом (-d9) и посмотреть в лог-файл, что сеть нормально видна. * Далее можно смело пускать winbindd (/usr/local/sbin/winbindd -d9) - тоже с дебагом и посмотреть как он себя "чувствует" в нашей сети. Спустя примерно секунд 10, можно проверить а запустился ли winbind и функционирует ли он. * Для взаимодействия с winbind служит команда wbinfo. Проверить "видит" ли она winbindd вообще можно командой wbinfio -p. Если она ответит: 'ping' to winbindd succeeded, то значит все в порядке. Иначе надо смотреть в лог-файл winbindd и понимать почему он не запустился. (На самом деле запускается он всегда, да вот на запросы отвечает только если правильно видит сеть). Далее можно попробовать проверить а видит ли winbindd сервер с паролями пользователей (wbinfo -t). Сервер должен сказать "Secret is good". Если получен ответ "Secrets is bad" то скорее всего проблемы с библиотеками winbindd. 1. Остановите smbd и winbindd 2. Удалите файлы secrets.tdb и MACHINE.SID (последнего может и не быть) 3. На PDC удалите запись о компьютере и одождите удаления его из кэша (примерно 10 минут) 4. cp nsswitch/libnss_winbind.so /libln 5. ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.1 6. ln -s /lib/libnss_winbind.so /lib/libnss_winbind.so.2 7. В файле /etc/nsswitch.conf должен содержать стро вида passwd: files winbind group: files winbind 8. Запустите smbd 9. Запустите winbindd 10. Добавте машину в домен, как указано выше. 11. Проверьте правильность работы командой wbinfo -t Если выдержать нужный интервал в пункте 3, то всё должно заработать. И, наконец, можно попробовать авторизоваться из UNIX в Wondows домен: wbinfo -a пользователеь_домена%пароль. Если пользователь авторизовался, будет выдано: plaintext password authentication succeeded error code was NT_STATUS_OK (0x0) challenge/response password authentication succeeded error code was NT_STATUS_OK (0x0) Если неправильный пароль, то error code was NT_STATUS_WRONG_PASSWORD (0xc000006a) Could not authenticate user dmn%doct with plaintext password challenge/response password authentication faile error code was NT_STATUS_WRONG_PASSWORD (0xc000006a) Could not authenticate user dmn with challenge/response Все это значит, что модуль wbinfo наконец настроен и правильно функционирует. Можно приступать к настройке SQUID. 2.Теперь нужно настроить SQUID. * Для начала, нужно отметить, что NTLM схему поддерживает SQUID, начиная с версии 2.5. Поэтому я скачал версию 2.5.PRE13. * Далее, SQUID нужно скомпилировать с поддержкой схем авторизации и модулем winbind../configure -enable-auth="ntlm,basic" \ --enable-basic-auth-helpers="winbind"\ --enable-ntlm-auth-helpers="winbind" * Теперь можно проверить а понимает ли SQUID-овский авторизатор winbind. Для этого нужно запустить: /usr/local/squid/libexec/wb_auth -d И ввести вручную имя пароль (через пробел). Если все работает корректно, то программа выдаст /wb_auth[91945](wb_basic_auth.c:129): Got 'dmn XXXXX' from squid (length: 10). /wb_auth[91945](wb_basic_auth.c:55): winbindd result: 0 /wb_auth[91945](wb_basic_auth.c:58): sending 'OK' to squid * После этого, нужно настроить squid, чтобы он корректно работал на основе IP-авторизации (см введение). * Теперь осталось подключить авторизацию к SQUID. Для этого в конфиге SQUID нужно описать в схемы авторизации через winbind auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutesauth_param basic program /usr/local/squid/libexec/wb_auth auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours Причем важно чтобы NTLM авторизация шла первой, иначе будет применяться авторизация basic и IE будет спрашивать пароль. * Дальше нужно сделать соответсвующую ACL и параметр доступа. Важно, чтобы это шло после описания авторизаций. acl myusers proxy_auth REQUIRED http_access allow myusers http_access deny all Теперь остается запустить SQUID и все проверить. Что должно быть * Если пользователь авторизовался в домене, то IE не спросит пароль, а пойдетт сразу в Интернет. Причем, в лог-файле SQUID будет бесценная информация, а кто это был: 1032943720.839 180 10.128.36.5 TCP_CLIENT_REFRESH_MISS/200 1280 GET http://www.ru/eng/images/demos.jpg work\dmn DIRECT/194.87.0.50 image/jpeg Т.е. Это был пользователь dmn из домена work. * Если пользователь не авторизовался в домене - его спросят логин и пароль. Если он введет логин\пароль такой же, как при входе в домен, то его пустят в Интернет. * Если пользователь пользуется не IE (например, Mozilla, Netscape, Opera), он будет должен набрать свой логин и пароль для авторизации в Windows. * Если аккаунт в Windows-домене закрыт, то и доступ в Интернет будет закрыт. Примечания * Winbind корректно авторизует не только в заданном домене, но и в Trust-доменах, TRUST-домены можно посмотреть командой wbinfo -m * Вообще у команды wbinfo есть масса полезных функций, подробнее их можно узнать wbinfo -h * По умолчанию для FreeBSD 4.4 из портов устанавливается версия SQUID 2.4. Она не подходит. Пакет нужно качать с сайта www.squid-cache.org. * Пути к программам для различных ОС могут быть разными Ссылки * Документация по SQUID: http://www.squid-cache.org * FAQ по SQUID как надо настраивать WinBIND авторизацию: http://www.squid-cache.org/Doc/FAQ/FAQ-23.html * Документация по SAMBA: www.samba.org * Поиск по группам новостей через http://www.google.com по поисковым словам squid winbind wb_auth ntlm Отзывы и дополнения присылайте Дмитрию Новикову на адрес [email protected] Дополнения после публикации на http://www.linux.org.ru Господин с ником "and3008" дополняет и разъясняет: 1. Авторизация при прозрачном кэшировании НЕВОЗМОЖНА! 2. Про безопасность: NTLM действительно является не безопасной штукой. По крайней мере версия 1.0 В WinNT 4.0 с SP3 и выше и Win2000 используется NTLM версии 2.0 В Самбе он так же используется по умолчанию (с версии 2.2.0 кажись). plain-text используется когда клиент (браузер) не умеет авторизоваться по NTLM. На сегодняшний день это умеет делать только IE 4.X и выше. Пароль при plain-text авторизации все же не передается в чистом виде. Применяется кодирование base64. Так что школьники-кулхацкеры вероятно отдохнут. :) 3. Лирическое отступление по поводу паролей. Более-менее надежной является аутентификация через Kerberos, но дядя Билл сделал в W2K свою реализацию Kerberos и таперича его низя использовать из других (отличных от Windows) систем. В связи с этим Самба доселе не может подружиться с W2K доменом в режиме native. 4. Аутентификация NTLM не работает в случае если кэши работают в режиме "ёлки". Авторизацию NTLM over HTTP не работает через иерархию прокси. Это ФАКТ! Много вопоросов было как авторизовать опреленные группы из Wondows домена. Господин с ником "debosh2k" разъясняет: Для авторизации групп - --enable-external-acl-helpers="winbind_group" (это при компилировании SQUID) далее идем в $src/helpers/external_acl/winbind_group и читаем readme. Пишем три строки в конфге (SQUID) и тащимся. PS. Есть еще wbinfo_group тамже - враппер на перле.

<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, Денис (?), 08:57, 06/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень мало информации (для новичка) ну неужели это все так просто.
     
  • 1.2, cr (?), 15:32, 24/02/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно и обстоятельно :)Уже начал все переделывать-пока работает :)
     
  • 1.3, Arthur (?), 19:23, 20/03/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сделал все так как описано. Не работает. Причины вижу 2:
    1) Домен в native mode
    2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется. Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси, точнее когда должно сработать разрешение, оно не срабатывает. Черт знает...
     
     
  • 2.52, logan (ok), 10:32, 13/10/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Сделал все так как описано. Не работает. Причины вижу 2:
    >1) Домен в native mode
    >2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется.
    >Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси,
    >точнее когда должно сработать разрешение, оно не срабатывает. Черт знает...


    native mode здесь ни при чем. Авторизация в прозрачном режиме НЕ-РА-БО-ТА-ЕТ! ее можно включить, вручную отредактировав код сквида, но это developer-only фишка. Обещают к 3-му ее сделать

     

  • 1.4, fduch (?), 13:11, 28/04/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У меня домен простроен на Samba-tng + LDAP. А как в этом случае присоеденить SAMBA-сервер к домену?
     
  • 1.5, gag (?), 13:28, 24/05/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. Имеем сеть конторы ок 50 машин в домене вин2к
      которые авторизуются как было описано в статье.
          2. Сеть нескольких соседних контор тоже ок 50 машин которых в домен пускать не хочется по понятным причинам.
      Вопрос такого плана: если применять в добавление к winbind аутентификацию NCSA то как их подружить вместе? С какими оциями компилить сквида?


      Спасибо !!!

     
  • 1.6, Дмитрий (?), 16:16, 26/05/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Столкнулся с проблемой: пользователи c русскими именами из домена не проходят авторизацию. Это можно как-то победить? С пользователи с латинскими буквами все без проблем.
     
  • 1.7, Алексей (?), 11:25, 16/07/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Везде написано как сделать аутентификацию с помощью winbind, если PDC это одна машина, а Squid с Samba+winbind на другой. А у меня должно все работать на одной. Т.е. у меня Samba  должна работать в качестве PDC и в тоже время с winbind. Можно ли как-нибудь это сделать?
     
  • 1.8, alexus (?), 07:18, 08/10/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Установил я самбу из портов во фрях 4.7
    И не обнаружил файлы wbinfo и smbpass
    Почему изх нет ???
     
     
  • 2.11, Maxim (?), 12:22, 10/10/2003 [^] [^^] [^^^] [ответить]  
  • +/
    >Установил я самбу из портов во фрях 4.7
    >И не обнаружил файлы wbinfo и smbpass
    >Почему изх нет ???

    smbpass - читай - net join

     

  • 1.9, kanat (?), 10:37, 08/10/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    как открыть порты smtp и pop3 в squid.conf
     
  • 1.10, alexus (?), 06:18, 09/10/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а разве можно почтовые программы настроить через прокси-сквид без дополнительных программ, которые перенаправляют пакеты на порт сквида?
     
     
  • 2.13, Дмитрий Ю. Карпов (?), 12:47, 27/11/2003 [^] [^^] [^^^] [ответить]  
  • +/
    -
     

  • 1.12, Piter Ring (?), 16:31, 25/11/2003 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А пробовал ктото привязать на Фрибсд5 Самбу3 плюс сквид3 с авторизацией в Вин2003сервер?
    Я пробовал увязать сие чудо, самба стала нормально и зарегистрилась в домене без проблем (ЛДАП не ставил) но стопорнулся на привязке авторизации свкида к самбе.
    Если кто сумел уложить это все в одну кучу - поделитесь плиз опытом.
     
     
  • 2.14, MF_FLIP (?), 10:32, 19/12/2003 [^] [^^] [^^^] [ответить]  
  • +/
    Supported Samba Releases
    Squid 2.5 uses an internal Samba interface to communicate with the winbindd daemon. It is therefore sensitive to any changes the Samba team may make to the interface.


    The winbind helpers shipped with Squid-2.5.STABLE2 supports Samba-2.2.6 to Samba-2.2.7a and hopefully later Samba-2.X versions. To use Squid-2.5.STABLE2 with Samba versions 2.2.5 or ealier the new --with-samba-sources=... configure option is required. This may also be the case with Samba-2.2.X versions later than 2.2.7a or if you have applied any winbind related patches to your Samba tree.


    Squid-2.5.STABLE1 supported Samba 2.2.4 or 2.2.5 only. Use of Squid-2.5.STABLE2 or later recommended with current Samba-2.X releases.


    For Samba-3.X the winbind helpers shipped with Squid should not be used (and won't work if your attempt to do so), instead the ntlm_auth helper shipped as part of the Samba-3 distribution should be used. This helper supports all versions of Squid and both the ntlm and basic authentication schemes. For details on how to use this Samba helper see the Samba documentation. For group membership lookups the wbinfo_group helper shipped with Squid can be used (this is just a wrapper around the samba wbinfo program and works with all versions of Samba)


    http://www.squid-cache.org/Doc/FAQ/FAQ-23.html

     
  • 2.16, inney (?), 14:05, 28/04/2004 [^] [^^] [^^^] [ответить]  
  • +/
    читай какой версии winbind юзается в squid'e $squid/include/samba

    у меня заработало всё только после того как вместо samba 3.0.2a я прикрутил к squid'у 2.5 samba2.2.7a

     

  • 1.15, Simba (?), 21:28, 25/04/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Mozilla поддерживает NTLM с 1.4, единственная серьёзная проблема с ней - удалось-ли кому-нибудь научить её не показывать окошко пароль/логин, а подставлять их от вошедшего пользователя? Если удалось - очень хотечется узнать как.
     
  • 1.17, vlad (??), 11:21, 08/06/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Маааленькое дополнение....
    Если PDC Win 2003 Server (по документации и w2k Advanced server, но я не проверял) при попытке выполнить /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator получаем "NT_STATUS_ACCESS_DENIED". Оказывается, сначала необходимо на PDC в Active directory добавить компьютер, на котором установлена samba, поставив галочку "назначить учетной записи статус пред-Windows 2000 компьютера". После этого - /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator. И все.
    Источник - http://sunportal.sunmanagers.org/pipermail/summaries/2003-June/003961.html
     
  • 1.18, gagus (??), 22:49, 10/07/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Проблема такая, при вводе команды

    net join -I 192.168.1.1 -r 192.168.1.1 -U user
    (адреса вместо имён стоят потому что имена самба не находит)
    получаю такое

    [2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)
      kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm
    [2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
      cli_nt_setup_creds: request challenge failed
    [2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
      cli_nt_setup_creds: request challenge failed
    [2004/07/11 00:30:18, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(319)
      Error domain join verification (reused connection): NT_STATUS_INVALID_COMPUTER_NAME

    Unable to join domain INFORM.

    что это значит ?

     
     
  • 2.23, GreatFoolDad (??), 15:29, 04/10/2004 [^] [^^] [^^^] [ответить]  
  • +/
    И что, решил ты эту проблему?
    Ответов что-то не наблюдаю.
    У меня что-то похожее.
    Правда с SAMBA (Linux RH).
    Когда пытаюсь засунуть машину в NT-шный домен (net join -I xxx.xxx.xxx.xxx -w domain_name -U domain_admin), получаю именно такую ругачку - nt_status_invalid_computer_name
    еще что-то насчет allow trusted domain пишет.
    И в домен, соответственно, не пускает. Хотя машина с RH на NT-вом сервере появляется в списке серверов. Но посмотреть какие-либо св-ва машины с RH я не могу.
    Что-то нигде не могу найти ответа - в чем прикол.
    Если решил эту проблему, скажи, что сделал - попробую как-то у себя приспособить.....
     
  • 2.25, Olegas (?), 21:19, 11/10/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >[2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)
    >  kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm
    Вот это очень похоже на то что нет или неверный /etc/krb5.conf
     

  • 1.19, maddog (?), 15:08, 12/07/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А как при использовании НТ авторизации замутить ограничение доступа, скажем по количеству скаченной инфы?
     
     
  • 2.20, alistro (?), 17:18, 13/07/2004 [^] [^^] [^^^] [ответить]  
  • +/
    меня тоже волнует этот вопрос
     

  • 1.21, NTLM пользователи вне домена (?), 14:50, 10/08/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Как быть если есть левые пользователи в не домена?
    Возможно ли использовать два типа авторизации?
    Завести для них отдельную базу?
     
  • 1.22, zmej (?), 11:41, 08/09/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    сделал все работает
    дистрибутив asp9
    samba-3.0.6 из RPM
    squid пришлось собирать вручную
    и не забудте дать права сквиду на каталог windindd'a /var/lib/samba/winbindd_privileged/
     
     
  • 2.24, Black_Dragon (ok), 14:56, 06/10/2004 [^] [^^] [^^^] [ответить]  
  • +/
    А если у меня winbindd лежит в /usr/sbin
    и прова на выполнение есть у всех,
    а wb_auth (при тестировании) его даже под рутом не видит
    (самба 3.0.6 сквид 2.5-стабле6)
     

  • 1.26, Olegas (?), 21:24, 11/10/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    FreeBSD 5.2
    Squid 2.5
    Samba 3.0.6
    DС's OS Win2003 server

    авторизация через ntlm_auth --helper-protocol=squid-2.5-ntlmssp
    В логе не "ДОМЕН\ЮЗЕР" а просто "Юзер" что делать?

    Настраивал тоже самое точно также в других доменах - в логах ДОМЕН\ЮЗЕР
    Может ли быть бага в версии самбы/каких-то настройках домена?


     
     
  • 2.27, nuz (??), 04:20, 18/10/2004 [^] [^^] [^^^] [ответить]  
  • +/
    в smb.conf параметр winbind use default domain = no и будет писать домен по умолчанию
     

  • 1.28, arruah (??), 07:49, 27/10/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    у меня самба работает через openldap можно ли сделать так чтобы провера пароля проходила не через посредника (samba) а сразу на openldap ?
     
  • 1.29, Nichls (??), 16:12, 03/11/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    GhjПроал все выше казанное В домен ввел - все ОК triton mount_smbfs -I srv1 ... большой текст свёрнут, показать
     
     
  • 2.30, Olegas (?), 00:50, 04/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >[HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004
    >13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED
    >0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]

    Вот это вот говорит о том, что прокси не принял авторизацию клиента.
    (X-Squid-Error: ERR_CACHE_ACCESS_DENIED
    Proxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=)
    Также это говорит о том что браузер все-таки что-то послал в прокси для авторизации (NTLM фафли-туфли)
    Судя по соджержимому пакета NTLM там есть имя юзера и что-то похожее на домен (к сожалоению не в кусре как у вас домен называется но то что юзер nikolaev заходил это видно :) )

    Возможные причины и направления копать.
    1. Как прописан доступ в конфиге прокси? (proxy_auth REQUIRED или proxy_auth vasya, proxy_auth sveta, etc...)
    2. Если прописан для определенных пользователей то прописан ли в именах имя домена? (proxy_auth vasya или proxy_auth SUPA_DUPA_DOMAIN\vasya)
    3. Каково значение параметров самбы winbind use default domain и winbind separator.


     
     
  • 3.31, Nichls (??), 14:43, 05/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Привет Спасибо, что откликнулся Начну по порядку 1 acl password proxy_auth R... большой текст свёрнут, показать
     
     
  • 4.32, Olegas (?), 15:01, 05/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Начнем с конца...
    Как узнал имя...
    NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
    Строчки такого вида в пакетах - это NTLM обмен прокси и браузера. Строка закодирована base64. Раскодируем - получаем пакет. В нем челендж и инфа о юзере. Имя, домен и еще что-то. Оттуда и узнал :) а что правильно? :)))
    >1. acl password proxy_auth REQUIRED
    >далее
    >http_access allow password
    >http_access deny all
    Тут все ок. Идут в нет те кто прошел авторизацию, независимо от имени. Остальные - лесом.

    >2. Пользователи не указаны - их, как я понял, должен домен проверять.
    Да. точно. Я имел ввиду случай где разрешаем достпу только определенным логинам.

    >3. Конфиг Самбы
    >triton# cat /usr/local/etc/smb.conf
    >[global]
    >workgroup = BANK
    >netbios name = triton
    >server string = DomainController
    >hosts allow = 10. 127.
    Вот здесь могут быть варианты... Данная строка пускает на самбу только юзеров с сетей 10.0.0.0/8 и 127.0.0.0/8
    Не знаю влияет ли это на winbindd но проверить стоит.

    Решаем траблу дальше... Что дают команды
    1. wbinfo -p ?
    2. wbinfo -t ?
    3. wbinfo -a логин_пользователя_домена%его_пароль_в_домене
    4. ntlm_auth --username=логин_пользователя_домена
    вышеуказанным проверим работоспособность системе авторизации
    далее
    5. squid вижу что 2.5 но не вижу версию самбы. Это вобщем то основное :)

     
     
  • 5.33, Nichls (??), 18:55, 05/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    1 triton usr local samba bin wbinfo -p ping to winbindd succeeded triton 2... большой текст свёрнут, показать
     
     
  • 6.34, Olegas (?), 15:31, 08/11/2004 [^] [^^] [^^^] [ответить]  
  • +/

    >5. samba-2.2.6pre2
    >
    К сожалению я все это проделывал на самбе 3.0.6,поэтому через wb_auth я это ничего не делал а делал именно через ntlm_auth причем не из сквида а из самбы
    Вот, почитай всю это статейку, там все подробно расписано, я по ней отлаживал конфигурацию
    http://www.squid-cache.org/Doc/FAQ/FAQ-23.html

    >PS Паралельная просьба. Расскажи (или укажи, где почитать) про, цетирую "...Строка закодирована
    >base64. Раскодируем - получаем пакет..."

    base64 алгоритм, кодирующий любые бинарные данные в тектовые. Например для передачи по почте. При кодировании объем возрастает на 33%. Это не шифрование а именно кодирвоание. Для более удобной передачи. Более подробно о действии алгоритма спроси у яндекса :)

    Если хоцца поиграцца, на PHP есть функции base64_encode и base64_decode
    (первая кодирует, вторая раскодирует в обратно) посмотри что они выдают при работе, покорми их строчками из логов :)


     
     
  • 7.35, Nichls (ok), 19:59, 30/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Привет.
    Поставил:
    samba 3.0.8
    squid-2.5.STABLE6

    На выходе все заработало, за исключением одного НО - IE спрашивает логин/пароль.

    Как это победить?

     
     
  • 8.36, Olegas (?), 21:23, 30/11/2004 [^] [^^] [^^^] [ответить]  
  • +/
    1 Машина с IE в домене 2 Юзер в домене авторизовался 3 Машина со сквидом в ... текст свёрнут, показать
     
     
  • 9.37, Nichls (ok), 11:27, 02/12/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Привет 1 Да 2 Да 3 Да 4 Думаю, что да По шарам на Win2K под логином пароле... большой текст свёрнут, показать
     
     
  • 10.38, Olegas (?), 11:38, 02/12/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Судя по логам пока все ок А что пишется в логах при попытке авторизации с виндо... текст свёрнут, показать
     
     
  • 11.39, Nichls (ok), 12:08, 02/12/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Привет Начал логинится и вот что увидел piton usr local samba sbin winbindd ... большой текст свёрнут, показать
     
     
  • 12.40, Nichls (ok), 14:23, 02/12/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Коментарий к И еще вот лог winbind a piton tail -20 usr local samba var log w... текст свёрнут, показать
     
     
  • 13.41, Nichls (ok), 18:55, 02/12/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Вроде поборол Теперь при выходе в Интернет IE, если пользователь добавлен в опр... большой текст свёрнут, показать
     

  • 1.42, Pashka (??), 20:14, 15/02/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вроде запела песня эта хриплая... :)

    а как можно сделать, чтоб с части IP-ов можно было без авторизации выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне - проверяло бы.

    и всетаки... есть ли решение с учетными записаями на русском? оно вроде в винбинд юникод пихает если я правильно угадал из дебагмоды.

     
     
  • 2.43, Olegas (?), 22:19, 15/02/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >вроде запела песня эта хриплая... :)
    >
    >а как можно сделать, чтоб с части IP-ов можно было без авторизации
    >выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
    >- проверяло бы.
    # эти товарищи пойдут без авторизации
    acl trusted src 192.168.17.1
    acl trusted src 192.168.18.0/24
    http_access allow trusted

    #а эти с авторизацией
    acl auth proxy_auth REQUIRED
    acl untrusted src 192.168.200.0/24
    http_access allow untrusted auth

    #кажется так, вроде не напутал

    http_access deny all

    >
    >и всетаки... есть ли решение с учетными записаями на русском? оно вроде
    >в винбинд юникод пихает если я правильно угадал из дебагмоды.

    Есть, в коях пишешь слудующие штуки (может быть можно и не в коях, все зависит от настроек самбы, у меня настроено на KOI8-R и работает с русскими именами)
    acl auth_vasya proxy_auth DOMAIN\Вася
    http_access allow auth_vasya

     
     
  • 3.47, vovan (??), 18:37, 04/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >>вроде запела песня эта хриплая... :)
    >>
    >>а как можно сделать, чтоб с части IP-ов можно было без авторизации
    >>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
    >>- проверяло бы.
    ># эти товарищи пойдут без авторизации
    >acl trusted src 192.168.17.1
    >acl trusted src 192.168.18.0/24
    >http_access allow trusted
    >
    >#а эти с авторизацией
    >acl auth proxy_auth REQUIRED
    >acl untrusted src 192.168.200.0/24
    >http_access allow untrusted auth
    >
    >#кажется так, вроде не напутал
    >
    >http_access deny all
    >
    >>
    >>и всетаки... есть ли решение с учетными записаями на русском? оно вроде
    >>в винбинд юникод пихает если я правильно угадал из дебагмоды.
    >
    >Есть, в коях пишешь слудующие штуки (может быть можно и не в
    >коях, все зависит от настроек самбы, у меня настроено на KOI8-R
    >и работает с русскими именами)
    >acl auth_vasya proxy_auth DOMAIN\Вася
    >http_access allow auth_vasya


    а если у меня этих Вась мнооого?

     
     
  • 4.48, Olegas (?), 19:06, 04/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Записываешь их всех. Или пишешь скрипт который зделает это за тебя

     

  • 1.45, uuu (?), 17:47, 26/01/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена?
    остается тока настроить pppoe сервер или поставить аппаратные и прописать ему юзеров с пассами из домена
     
     
  • 2.49, Nichls (ok), 19:37, 04/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Спрашивается, а зачем вообще заводить пользователей с русскими логинами?

    PS
    Да и вообще, зачем их самому заводить 8)?
    Пусть это делает отдел кадров (такое подразделение есть практически в любой конторе), а мудрый скрипт все выгружает в АД. ИМХО.

     
     
  • 3.50, vovan (??), 10:10, 05/05/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Да не я их заводил... в наследство досталось... вот и пытаюсь как-то подружить
     

  • 1.51, hash (??), 19:08, 11/10/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто-нибудь после сквида смог накормить этим хозяйством SquidGuard'а? Т.е. резать не по аресу, а по имени полученному из AD? Если да, то поделитесь опытом плз.
     
     
  • 2.53, Артм (?), 17:22, 26/10/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Вопрос:
           есть Домен,в нём есть группы iusers1 iusers2 iusers3
    как реализовать?:

    авторизация через winbindd
    так чтоб группа iusers1 соответствовала своему acl name'у, допустим usr1;а остальные группы соответственно usr2 и usr3

    ОГРОМНА ПРОСЬБА ПОМОГИТЕ !!!!

    ЗЫ: Напишите пример конфига !!!

     
     
  • 3.54, Shapelsa (?), 16:24, 28/10/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем winbindd ???
    Зачем samba ???

    http://group-ldap-auth.sourceforge.net/
    нашол тута http://www.squid-cache.org/related-software.html
    на оффсайти

     

  • 1.55, Squidnik (?), 17:10, 13/02/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если не группы, а пользоватлей раскидать по разным acl например так
    acl BOSS proxy_auth Admin BOSS
    acl Client proxy_auth User1 User 2 ...UserX
    acl Clients proxy_auth REQUIRED # dctостальные

    так сработает ?

     
  • 1.56, Bobre (??), 17:11, 28/08/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    очепятки "паролю" а не "раолю"
     

    игнорирование участников | лог модерирования

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру