| 1.1, Денис (?), 08:57, 06/02/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Очень мало информации (для новичка) ну неужели это все так просто. | | |
| 1.2, cr (?), 15:32, 24/02/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Интересно и обстоятельно :)Уже начал все переделывать-пока работает :) | | |
| 1.3, Arthur (?), 19:23, 20/03/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Сделал все так как описано. Не работает. Причины вижу 2:
1) Домен в native mode
2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется. Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси, точнее когда должно сработать разрешение, оно не срабатывает. Черт знает... | | |
| |
| 2.52, logan (ok), 10:32, 13/10/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Сделал все так как описано. Не работает. Причины вижу 2:
>1) Домен в native mode
>2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется.
>Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси,
>точнее когда должно сработать разрешение, оно не срабатывает. Черт знает...
native mode здесь ни при чем. Авторизация в прозрачном режиме НЕ-РА-БО-ТА-ЕТ! ее можно включить, вручную отредактировав код сквида, но это developer-only фишка. Обещают к 3-му ее сделать | | |
|
| 1.4, fduch (?), 13:11, 28/04/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 У меня домен простроен на Samba-tng + LDAP. А как в этом случае присоеденить SAMBA-сервер к домену? | | |
| 1.5, gag (?), 13:28, 24/05/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 1. Имеем сеть конторы ок 50 машин в домене вин2к
которые авторизуются как было описано в статье.
2. Сеть нескольких соседних контор тоже ок 50 машин которых в домен пускать не хочется по понятным причинам.
Вопрос такого плана: если применять в добавление к winbind аутентификацию NCSA то как их подружить вместе? С какими оциями компилить сквида?
Спасибо !!! | | |
| 1.6, Дмитрий (?), 16:16, 26/05/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Столкнулся с проблемой: пользователи c русскими именами из домена не проходят авторизацию. Это можно как-то победить? С пользователи с латинскими буквами все без проблем. | | |
| 1.7, Алексей (?), 11:25, 16/07/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Везде написано как сделать аутентификацию с помощью winbind, если PDC это одна машина, а Squid с Samba+winbind на другой. А у меня должно все работать на одной. Т.е. у меня Samba должна работать в качестве PDC и в тоже время с winbind. Можно ли как-нибудь это сделать? | | |
| 1.8, alexus (?), 07:18, 08/10/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Установил я самбу из портов во фрях 4.7
И не обнаружил файлы wbinfo и smbpass
Почему изх нет ??? | | |
| |
| 2.11, Maxim (?), 12:22, 10/10/2003 [^] [^^] [^^^] [ответить]
| +/– |
 >Установил я самбу из портов во фрях 4.7
>И не обнаружил файлы wbinfo и smbpass
>Почему изх нет ???
smbpass - читай - net join
| | |
|
| 1.10, alexus (?), 06:18, 09/10/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
а разве можно почтовые программы настроить через прокси-сквид без дополнительных программ, которые перенаправляют пакеты на порт сквида? | | |
| 1.12, Piter Ring (?), 16:31, 25/11/2003 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А пробовал ктото привязать на Фрибсд5 Самбу3 плюс сквид3 с авторизацией в Вин2003сервер?
Я пробовал увязать сие чудо, самба стала нормально и зарегистрилась в домене без проблем (ЛДАП не ставил) но стопорнулся на привязке авторизации свкида к самбе.
Если кто сумел уложить это все в одну кучу - поделитесь плиз опытом.
| | |
| |
| 2.14, MF_FLIP (?), 10:32, 19/12/2003 [^] [^^] [^^^] [ответить]
| +/– |
 Supported Samba Releases
Squid 2.5 uses an internal Samba interface to communicate with the winbindd daemon. It is therefore sensitive to any changes the Samba team may make to the interface.
The winbind helpers shipped with Squid-2.5.STABLE2 supports Samba-2.2.6 to Samba-2.2.7a and hopefully later Samba-2.X versions. To use Squid-2.5.STABLE2 with Samba versions 2.2.5 or ealier the new --with-samba-sources=... configure option is required. This may also be the case with Samba-2.2.X versions later than 2.2.7a or if you have applied any winbind related patches to your Samba tree.
Squid-2.5.STABLE1 supported Samba 2.2.4 or 2.2.5 only. Use of Squid-2.5.STABLE2 or later recommended with current Samba-2.X releases.
For Samba-3.X the winbind helpers shipped with Squid should not be used (and won't work if your attempt to do so), instead the ntlm_auth helper shipped as part of the Samba-3 distribution should be used. This helper supports all versions of Squid and both the ntlm and basic authentication schemes. For details on how to use this Samba helper see the Samba documentation. For group membership lookups the wbinfo_group helper shipped with Squid can be used (this is just a wrapper around the samba wbinfo program and works with all versions of Samba)
http://www.squid-cache.org/Doc/FAQ/FAQ-23.html
| | |
| 2.16, inney (?), 14:05, 28/04/2004 [^] [^^] [^^^] [ответить]
| +/– | |
читай какой версии winbind юзается в squid'e $squid/include/samba
у меня заработало всё только после того как вместо samba 3.0.2a я прикрутил к squid'у 2.5 samba2.2.7a | | |
|
| 1.15, Simba (?), 21:28, 25/04/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Mozilla поддерживает NTLM с 1.4, единственная серьёзная проблема с ней - удалось-ли кому-нибудь научить её не показывать окошко пароль/логин, а подставлять их от вошедшего пользователя? Если удалось - очень хотечется узнать как. | | |
| 1.17, vlad (??), 11:21, 08/06/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Маааленькое дополнение....
Если PDC Win 2003 Server (по документации и w2k Advanced server, но я не проверял) при попытке выполнить /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator получаем "NT_STATUS_ACCESS_DENIED". Оказывается, сначала необходимо на PDC в Active directory добавить компьютер, на котором установлена samba, поставив галочку "назначить учетной записи статус пред-Windows 2000 компьютера". После этого - /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator. И все.
Источник - http://sunportal.sunmanagers.org/pipermail/summaries/2003-June/003961.html | | |
| 1.18, gagus (??), 22:49, 10/07/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 Проблема такая, при вводе команды
net join -I 192.168.1.1 -r 192.168.1.1 -U user
(адреса вместо имён стоят потому что имена самба не находит)
получаю такое
[2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)
kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm
[2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
cli_nt_setup_creds: request challenge failed
[2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
cli_nt_setup_creds: request challenge failed
[2004/07/11 00:30:18, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(319)
Error domain join verification (reused connection): NT_STATUS_INVALID_COMPUTER_NAME
Unable to join domain INFORM.
что это значит ? | | |
| |
| 2.23, GreatFoolDad (??), 15:29, 04/10/2004 [^] [^^] [^^^] [ответить]
| +/– |
 И что, решил ты эту проблему?
Ответов что-то не наблюдаю.
У меня что-то похожее.
Правда с SAMBA (Linux RH).
Когда пытаюсь засунуть машину в NT-шный домен (net join -I xxx.xxx.xxx.xxx -w domain_name -U domain_admin), получаю именно такую ругачку - nt_status_invalid_computer_name
еще что-то насчет allow trusted domain пишет.
И в домен, соответственно, не пускает. Хотя машина с RH на NT-вом сервере появляется в списке серверов. Но посмотреть какие-либо св-ва машины с RH я не могу.
Что-то нигде не могу найти ответа - в чем прикол.
Если решил эту проблему, скажи, что сделал - попробую как-то у себя приспособить..... | | |
| 2.25, Olegas (?), 21:19, 11/10/2004 [^] [^^] [^^^] [ответить]
| +/– |
 >[2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)
> kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm
Вот это очень похоже на то что нет или неверный /etc/krb5.conf | | |
|
| 1.19, maddog (?), 15:08, 12/07/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А как при использовании НТ авторизации замутить ограничение доступа, скажем по количеству скаченной инфы? | | |
| 1.22, zmej (?), 11:41, 08/09/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 сделал все работает
дистрибутив asp9
samba-3.0.6 из RPM
squid пришлось собирать вручную
и не забудте дать права сквиду на каталог windindd'a /var/lib/samba/winbindd_privileged/ | | |
| |
| 2.24, Black_Dragon (ok), 14:56, 06/10/2004 [^] [^^] [^^^] [ответить]
| +/– |
А если у меня winbindd лежит в /usr/sbin
и прова на выполнение есть у всех,
а wb_auth (при тестировании) его даже под рутом не видит
(самба 3.0.6 сквид 2.5-стабле6) | | |
|
| 1.26, Olegas (?), 21:24, 11/10/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
FreeBSD 5.2
Squid 2.5
Samba 3.0.6
DС's OS Win2003 server
авторизация через ntlm_auth --helper-protocol=squid-2.5-ntlmssp
В логе не "ДОМЕН\ЮЗЕР" а просто "Юзер" что делать?
Настраивал тоже самое точно также в других доменах - в логах ДОМЕН\ЮЗЕР
Может ли быть бага в версии самбы/каких-то настройках домена?
| | |
| |
| 2.27, nuz (??), 04:20, 18/10/2004 [^] [^^] [^^^] [ответить]
| +/– |
 в smb.conf параметр winbind use default domain = no и будет писать домен по умолчанию | | |
|
| 1.28, arruah (??), 07:49, 27/10/2004 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 у меня самба работает через openldap можно ли сделать так чтобы провера пароля проходила не через посредника (samba) а сразу на openldap ? | | |
| |
| 2.30, Olegas (?), 00:50, 04/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>[HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004
>13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED
>0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
Вот это вот говорит о том, что прокси не принял авторизацию клиента.
(X-Squid-Error: ERR_CACHE_ACCESS_DENIED
Proxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=)
Также это говорит о том что браузер все-таки что-то послал в прокси для авторизации (NTLM фафли-туфли)
Судя по соджержимому пакета NTLM там есть имя юзера и что-то похожее на домен (к сожалоению не в кусре как у вас домен называется но то что юзер nikolaev заходил это видно :) )
Возможные причины и направления копать.
1. Как прописан доступ в конфиге прокси? (proxy_auth REQUIRED или proxy_auth vasya, proxy_auth sveta, etc...)
2. Если прописан для определенных пользователей то прописан ли в именах имя домена? (proxy_auth vasya или proxy_auth SUPA_DUPA_DOMAIN\vasya)
3. Каково значение параметров самбы winbind use default domain и winbind separator.
| | |
| |
| 3.31, Nichls (??), 14:43, 05/11/2004 [^] [^^] [^^^] [ответить] | +/– |  Привет Спасибо, что откликнулся Начну по порядку 1 acl password proxy_auth R... большой текст свёрнут, показать | | |
| |
| 4.32, Olegas (?), 15:01, 05/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
 Начнем с конца...
Как узнал имя...
NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
Строчки такого вида в пакетах - это NTLM обмен прокси и браузера. Строка закодирована base64. Раскодируем - получаем пакет. В нем челендж и инфа о юзере. Имя, домен и еще что-то. Оттуда и узнал :) а что правильно? :)))
>1. acl password proxy_auth REQUIRED
>далее
>http_access allow password
>http_access deny all
Тут все ок. Идут в нет те кто прошел авторизацию, независимо от имени. Остальные - лесом.
>2. Пользователи не указаны - их, как я понял, должен домен проверять.
Да. точно. Я имел ввиду случай где разрешаем достпу только определенным логинам.
>3. Конфиг Самбы
>triton# cat /usr/local/etc/smb.conf
>[global]
>workgroup = BANK
>netbios name = triton
>server string = DomainController
>hosts allow = 10. 127.
Вот здесь могут быть варианты... Данная строка пускает на самбу только юзеров с сетей 10.0.0.0/8 и 127.0.0.0/8
Не знаю влияет ли это на winbindd но проверить стоит.
Решаем траблу дальше... Что дают команды
1. wbinfo -p ?
2. wbinfo -t ?
3. wbinfo -a логин_пользователя_домена%его_пароль_в_домене
4. ntlm_auth --username=логин_пользователя_домена
вышеуказанным проверим работоспособность системе авторизации
далее
5. squid вижу что 2.5 но не вижу версию самбы. Это вобщем то основное :)
| | |
| |
| 5.33, Nichls (??), 18:55, 05/11/2004 [^] [^^] [^^^] [ответить] | +/– | 1 triton usr local samba bin wbinfo -p ping to winbindd succeeded triton 2... большой текст свёрнут, показать | | |
| |
| 6.34, Olegas (?), 15:31, 08/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
>5. samba-2.2.6pre2
>
К сожалению я все это проделывал на самбе 3.0.6,поэтому через wb_auth я это ничего не делал а делал именно через ntlm_auth причем не из сквида а из самбы
Вот, почитай всю это статейку, там все подробно расписано, я по ней отлаживал конфигурацию
http://www.squid-cache.org/Doc/FAQ/FAQ-23.html
>PS Паралельная просьба. Расскажи (или укажи, где почитать) про, цетирую "...Строка закодирована
>base64. Раскодируем - получаем пакет..."
base64 алгоритм, кодирующий любые бинарные данные в тектовые. Например для передачи по почте. При кодировании объем возрастает на 33%. Это не шифрование а именно кодирвоание. Для более удобной передачи. Более подробно о действии алгоритма спроси у яндекса :)
Если хоцца поиграцца, на PHP есть функции base64_encode и base64_decode
(первая кодирует, вторая раскодирует в обратно) посмотри что они выдают при работе, покорми их строчками из логов :)
| | |
| |
| 7.35, Nichls (ok), 19:59, 30/11/2004 [^] [^^] [^^^] [ответить]
| +/– |
Привет.
Поставил:
samba 3.0.8
squid-2.5.STABLE6
На выходе все заработало, за исключением одного НО - IE спрашивает логин/пароль.
Как это победить? | | |
| |
| |
| 9.37, Nichls (ok), 11:27, 02/12/2004 [^] [^^] [^^^] [ответить] | +/– | Привет 1 Да 2 Да 3 Да 4 Думаю, что да По шарам на Win2K под логином пароле... большой текст свёрнут, показать | | |
| |
| |
| 11.39, Nichls (ok), 12:08, 02/12/2004 [^] [^^] [^^^] [ответить] | +/– | Привет Начал логинится и вот что увидел piton usr local samba sbin winbindd ... большой текст свёрнут, показать | | |
| |
| |
| 13.41, Nichls (ok), 18:55, 02/12/2004 [^] [^^] [^^^] [ответить] | +/– | Вроде поборол Теперь при выходе в Интернет IE, если пользователь добавлен в опр... большой текст свёрнут, показать | | |
|
|
|
|
|
|
|
|
|
|
|
|
| 1.42, Pashka (??), 20:14, 15/02/2005 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
вроде запела песня эта хриплая... :)
а как можно сделать, чтоб с части IP-ов можно было без авторизации выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне - проверяло бы.
и всетаки... есть ли решение с учетными записаями на русском? оно вроде в винбинд юникод пихает если я правильно угадал из дебагмоды. | | |
| |
| 2.43, Olegas (?), 22:19, 15/02/2005 [^] [^^] [^^^] [ответить]
| +/– |
>вроде запела песня эта хриплая... :)
>
>а как можно сделать, чтоб с части IP-ов можно было без авторизации
>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
>- проверяло бы.
# эти товарищи пойдут без авторизации
acl trusted src 192.168.17.1
acl trusted src 192.168.18.0/24
http_access allow trusted
#а эти с авторизацией
acl auth proxy_auth REQUIRED
acl untrusted src 192.168.200.0/24
http_access allow untrusted auth
#кажется так, вроде не напутал
http_access deny all
>
>и всетаки... есть ли решение с учетными записаями на русском? оно вроде
>в винбинд юникод пихает если я правильно угадал из дебагмоды.
Есть, в коях пишешь слудующие штуки (может быть можно и не в коях, все зависит от настроек самбы, у меня настроено на KOI8-R и работает с русскими именами)
acl auth_vasya proxy_auth DOMAIN\Вася
http_access allow auth_vasya
| | |
| |
| 3.47, vovan (??), 18:37, 04/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
 >>вроде запела песня эта хриплая... :)
>>
>>а как можно сделать, чтоб с части IP-ов можно было без авторизации
>>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
>>- проверяло бы.
># эти товарищи пойдут без авторизации
>acl trusted src 192.168.17.1
>acl trusted src 192.168.18.0/24
>http_access allow trusted
>
>#а эти с авторизацией
>acl auth proxy_auth REQUIRED
>acl untrusted src 192.168.200.0/24
>http_access allow untrusted auth
>
>#кажется так, вроде не напутал
>
>http_access deny all
>
>>
>>и всетаки... есть ли решение с учетными записаями на русском? оно вроде
>>в винбинд юникод пихает если я правильно угадал из дебагмоды.
>
>Есть, в коях пишешь слудующие штуки (может быть можно и не в
>коях, все зависит от настроек самбы, у меня настроено на KOI8-R
>и работает с русскими именами)
>acl auth_vasya proxy_auth DOMAIN\Вася
>http_access allow auth_vasya
а если у меня этих Вась мнооого? | | |
| |
| 4.48, Olegas (?), 19:06, 04/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Записываешь их всех. Или пишешь скрипт который зделает это за тебя
| | |
|
|
|
| 1.45, uuu (?), 17:47, 26/01/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена?
остается тока настроить pppoe сервер или поставить аппаратные и прописать ему юзеров с пассами из домена
| | |
| |
| 2.49, Nichls (ok), 19:37, 04/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Спрашивается, а зачем вообще заводить пользователей с русскими логинами?
PS
Да и вообще, зачем их самому заводить 8)?
Пусть это делает отдел кадров (такое подразделение есть практически в любой конторе), а мудрый скрипт все выгружает в АД. ИМХО. | | |
| |
| 3.50, vovan (??), 10:10, 05/05/2006 [^] [^^] [^^^] [ответить]
| +/– | |
Да не я их заводил... в наследство досталось... вот и пытаюсь как-то подружить | | |
|
|
| 1.51, hash (??), 19:08, 11/10/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А кто-нибудь после сквида смог накормить этим хозяйством SquidGuard'а? Т.е. резать не по аресу, а по имени полученному из AD? Если да, то поделитесь опытом плз. | | |
| |
| 2.53, Артм (?), 17:22, 26/10/2006 [^] [^^] [^^^] [ответить]
| +/– |
 Вопрос:
есть Домен,в нём есть группы iusers1 iusers2 iusers3
как реализовать?:
авторизация через winbindd
так чтоб группа iusers1 соответствовала своему acl name'у, допустим usr1;а остальные группы соответственно usr2 и usr3
ОГРОМНА ПРОСЬБА ПОМОГИТЕ !!!!
ЗЫ: Напишите пример конфига !!! | | |
|
| 1.55, Squidnik (?), 17:10, 13/02/2007 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 А если не группы, а пользоватлей раскидать по разным acl например так
acl BOSS proxy_auth Admin BOSS
acl Client proxy_auth User1 User 2 ...UserX
acl Clients proxy_auth REQUIRED # dctостальные
так сработает ? | | |
|
