Добрго времени суток!
Настроен прокси с авторизацией в АД. Суть проблемы: при внесении изменений в АД(перевод пльзователя из группы internetallow в internetdeny), странно себя ведет winbind, а именно
wbinfo -r username выдает что пользователь остался в internetallow.
id username - то же самое.
getent group "internetallow" - что пользователя username нет в группе.
getent group "internetdeny" - username тут./etc/init.d/winbind restart/reload не помогают.
Причем winbind игнорит параметр конфига idmap cache time = 900 (файл /var/lib/samba/winbindd_idmap.tdb не изменяется)
Может кто сталкивался с такой проблемой....Пожалуйста подскажите решение!!!!!
Готов выслушать советы по всей связке!PS:
для аутентификации по группам в squid использую wbinfo_group.pl.Может кто предложит более оптимальное решение.Заранее благодарен!имеем:
CentOS release 6.2
Linux2.6.32-220.17.1.el6.x86_64
samba-3.5.10-116.el6_2.x86_64
samba-winbind-3.5.10-116.el6_2.x86_64
squid-3.1.10-1.el6_2.4.x86_64Конфиг кербероса.
##############################krb5.conf#########################################
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log[libdefaults]
default_realm = DOMAIN.RU
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
DOMAIN.RU = {
kdc = 192.168.1.1
admin_server = 192.168.1.1
default domain = domain.ru
}
[domain_realm]
.domain.ru = DOMAIN.RU
############################################################################
smb.conf[global]
workgroup = DOMAIN
realm = DOMAIN.RU
server string =squid_proxy_sever
netbios name = proxy
winbind use default domain = yes
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes
winbind nested groups =yes
winbind cache time = 300
idmap cache time = 900
log level = idmap:10 winbind:10
log file = /var/log/samba/log.%m
max log size = 50
security = ADS
[homes]
comment = Home Directories
browseable = no
writable = yes
#####################################################################
squid.conf
visible_hostname proxy.DOMAIN.RU
coredump_dir /var/spool/squid
http_port 192.168.1.2:3130
hierarchy_stoplist cgi-bin ?
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm keep_alive off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param ntlm children 20
auth_param basic realm Ssquid proxy
external_acl_type nt_group ttl=60 %LOGIN /usr/lib64/squid/wbinfo_group.pl
acl AuthorizedUsers proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.146.0.0/16 # RFC 4193 local private network range
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl inet_users external nt_group "/etc/squid/groups/internet_allow"
acl inet_deny external nt_group "/etc/squid/groups/internet_deny"
acl access_denied_domain dstdom_regex '/etc/squid/lists/access_denied'
acl CONNECT method CONNECT
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
http_access allow manager localhost
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny access_denied_domain
http_access deny inet_deny all
http_access allow inet_users
http_access deny all
#######################################################################################
nsswitch.confpasswd: files winbind
group: files winbind
наткнулся на описание бага в самбе 3.2.X.(ссылка к сожалению на работе.) Там сказано, что кэш обновляется на 100% только при выполнении wbinfo -a username%passwd, а так же что это не бага а фича))))) Попробовал - получилось. Кэш обновился. Думаю в wbinfo_group.pl дописать эту команду.....как временное решение сойдет, но ИМХО это костыли. Буду искать более правильный выход. Тема не закрыта.Все еще нуждаюсь в помощи!
вот ссылка на баг http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=454670