URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2535
[ Назад ]

Исходное сообщение
"не обновляется кэш winbind"

Отправлено bakomchik , 20-Июн-12 15:23 
Добрго времени суток!
Настроен прокси с авторизацией в АД. Суть проблемы: при внесении изменений в АД(перевод пльзователя из группы internetallow в internetdeny), странно себя ведет winbind, а именно
wbinfo -r username выдает что пользователь остался в internetallow.
id username - то же самое.
getent group "internetallow" - что пользователя username нет в группе.
getent group "internetdeny" - username тут.

/etc/init.d/winbind restart/reload не помогают.

Причем winbind игнорит параметр конфига idmap cache time = 900 (файл /var/lib/samba/winbindd_idmap.tdb не изменяется)
Может кто сталкивался с такой проблемой....Пожалуйста подскажите решение!!!!!
Готов выслушать советы по всей связке!

PS:
для аутентификации по группам в squid использую wbinfo_group.pl.Может кто  предложит более оптимальное решение.Заранее благодарен!

имеем:
CentOS release 6.2
Linux2.6.32-220.17.1.el6.x86_64
samba-3.5.10-116.el6_2.x86_64
samba-winbind-3.5.10-116.el6_2.x86_64
squid-3.1.10-1.el6_2.4.x86_64

Конфиг кербероса.
##############################krb5.conf#########################################


[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAIN.RU
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
DOMAIN.RU = {
kdc = 192.168.1.1
admin_server = 192.168.1.1
default domain = domain.ru
}
[domain_realm]
.domain.ru = DOMAIN.RU


############################################################################
smb.conf

[global]
    workgroup = DOMAIN
    realm = DOMAIN.RU
    server string =squid_proxy_sever
    netbios name = proxy
    winbind use default domain = yes
    winbind uid = 10000-15000
    winbind gid = 10000-15000
    winbind enum users = yes
    winbind enum groups = yes
    winbind nested groups =yes
    winbind cache time = 300
    idmap cache time = 900
    log level = idmap:10 winbind:10
    log file = /var/log/samba/log.%m
    max log size = 50
    security = ADS
[homes]
    comment = Home Directories
    browseable = no
    writable = yes
#####################################################################
squid.conf


visible_hostname proxy.DOMAIN.RU
coredump_dir /var/spool/squid
http_port 192.168.1.2:3130
hierarchy_stoplist cgi-bin ?


auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm keep_alive off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param ntlm children 20
auth_param basic realm Ssquid proxy
external_acl_type nt_group ttl=60 %LOGIN   /usr/lib64/squid/wbinfo_group.pl


acl AuthorizedUsers proxy_auth REQUIRED
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 10.146.0.0/16       # RFC 4193 local private network range
acl SSL_ports port 443
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl inet_users  external nt_group "/etc/squid/groups/internet_allow"
acl inet_deny  external nt_group "/etc/squid/groups/internet_deny"
acl access_denied_domain dstdom_regex '/etc/squid/lists/access_denied'
acl CONNECT method CONNECT


refresh_pattern ^ftp:        1440    20%    10080
refresh_pattern ^gopher:    1440    0%    1440
refresh_pattern -i (/cgi-bin/|\?) 0    0%    0
refresh_pattern .        0    20%    4320


http_access allow manager localhost
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny access_denied_domain
http_access deny inet_deny all
http_access allow inet_users
http_access deny all
#######################################################################################
nsswitch.conf

passwd:     files winbind
group:      files winbind


Содержание

Сообщения в этом обсуждении
"не обновляется кэш winbind"
Отправлено bakomchik , 21-Июн-12 22:41 
наткнулся на описание бага в самбе 3.2.X.(ссылка к сожалению на работе.) Там сказано, что кэш обновляется на 100% только при выполнении wbinfo -a username%passwd, а так же что это не бага а фича))))) Попробовал - получилось. Кэш обновился. Думаю в wbinfo_group.pl дописать эту команду.....как временное решение сойдет, но ИМХО это костыли. Буду искать более правильный выход. Тема не закрыта.Все еще нуждаюсь в помощи!

"не обновляется кэш winbind"
Отправлено bakomchik , 22-Июн-12 11:52 
вот ссылка на баг http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=454670