The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"NTLM аутентификация, как?!"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение [ Отслеживать ]

"NTLM аутентификация, как?!"  +/
Сообщение от bassmaster email(ok) on 22-Дек-08, 19:39 
Люди помогите пожайлуста настроить NTLM аутентификацию для Squida - всё болит ничего не помогает.

Ситуация следующая есть рабочая группа, сервак на FreeBSD с Samba и Squid. Хотелось бы чтобы юзеры по НТЛМу авторизовывались (на данный момент через ncsa_auth).
При попытке открыть какую-нибудь станичку в бродилке спрашивает логин\пароль (как и в ncsa_auth), только в логине имя машины добавилось: COMP/my_user. Насколько я понимаю по идее он должен был бы определить имя WORKGROUP, но что-то пока не получилось. При этом ругаеся winbindd: Possible deadlock: Trying to lookup SID S-1-5-2 with passdb backend

Подскажите пожалуйста куда копать.

Конфиг:

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 4
auth_param ntlm keep_alive on

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic children auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 1 hours
auth_param basic casesensitive off

Конфиг Самбы:

[global]
    prefered master = yes
    hosts allow = 192.168.3. 127.0.0.
    time server = Yes
    passwd program = /usr/bin/passwd %u
    dns proxy = No
    netbios name = boby
    local master = yes
    workgroup = zao-oim
    os level = 65
    security = user
    max log size = 100
    log level = 0
    log file = /var/log/samba/log.%m
    load printers = no
    guest account = nobody
    socket options = TCP_NODELAY
    client ntlmv2 auth = yes
    logon drive = Z:
    username map = /usr/local/etc/samba/user.map
    domain master = yes
    interfaces = 192.168.3.1/24
    map to guest = Bad User
    encrypt passwords = yes
    wins proxy = Yes
    wins support = Yes
    server string = Samba Local File Server
    bind interfaces only = yes

    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind enum users = yes
    winbind enum groups = yes
        winbind use default domain = yes

#============================ Share Definitions ==============================


Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "NTLM аутентификация, как?!"  +/
Сообщение от bassmaster (ok) on 22-Дек-08, 20:51 
>Люди помогите пожайлуста настроить NTLM аутентификацию для Squida - всё болит ничего
>не помогает.
>
>Ситуация следующая есть рабочая группа, сервак на FreeBSD с Samba и Squid.
>Хотелось бы чтобы юзеры по НТЛМу авторизовывались (на данный момент через
>ncsa_auth).
>При попытке открыть какую-нибудь станичку в бродилке спрашивает логин\пароль (как и в
>ncsa_auth), только в логине имя машины добавилось: COMP/my_user. Насколько я понимаю
>по идее он должен был бы определить имя WORKGROUP, но что-то
>пока не получилось. При этом ругаеся

winbindd: Possible deadlock: Trying to
>[оверквотинг удален]
> server string = Samba Local File Server
> bind interfaces only = yes
>
> winbind uid = 10000-20000
> winbind gid = 10000-20000
> winbind enum users = yes
> winbind enum groups = yes
> winbind use default domain = yes
>
>#============================ Share Definitions ==============================

Ещё в логах нарыл:

Dec 22 19:18:24 boby (ntlm_auth): [2008/12/22 19:18:24, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:24 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:24 boby (ntlm_auth): [2008/12/22 19:18:24, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:24 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Dec 22 19:18:44 boby (ntlm_auth): [2008/12/22 19:18:44, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:44 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:44 boby (ntlm_auth): [2008/12/22 19:18:44, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:44 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Dec 22 19:18:52 boby (ntlm_auth): [2008/12/22 19:18:52, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:52 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:52 boby (ntlm_auth): [2008/12/22 19:18:52, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:52 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Dec 22 19:18:54 boby (ntlm_auth): [2008/12/22 19:18:54, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:54 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:54 boby (ntlm_auth): [2008/12/22 19:18:54, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:54 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "NTLM аутентификация, как?!"  +/
Сообщение от Сергей (??) on 23-Дек-08, 10:09 
Проверь, сам winbindd висит в процессах, права надо дать пользователю от которого работает squid на var/db/samba/winbindd_privileged...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "NTLM аутентификация, как?!"  +/
Сообщение от bassmaster (ok) on 23-Дек-08, 21:38 
> Проверь, сам winbindd висит в процессах, права надо дать пользователю от
>которого работает squid на var/db/samba/winbindd_privileged...

winbindd в процессах есть, но при этом постоянно ругается:

Dec 23 21:24:09 boby winbindd[935]: [2008/12/23 21:24:09, 0] nsswitch/winbindd_passdb.c:sid_to_name(130)
Dec 23 21:24:09 boby winbindd[935]:   Possible deadlock: Trying to lookup SID S-1-1-0 with passdb backend
Dec 23 21:24:09 boby winbindd[935]: [2008/12/23 21:24:09, 0] nsswitch/winbindd_passdb.c:sid_to_name(130)
Dec 23 21:24:09 boby winbindd[935]:   Possible deadlock: Trying to lookup SID S-1-5-2 with passdb backend

Но вот, что привлекло моё внимание, так это сам ntlm_auth работает, пишет логи, да и сами пользователи определяются при попытке аутентификации, но следующим образом:

имя_сервера\локальный_пользоватеьл_компа
Сама авторизация не проходит - домена то нет. У меня рабочая группа..............

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "NTLM аутентификация, как?!"  +/
Сообщение от zersaa on 04-Сен-09, 15:05 
Если получилось - напишите, пожалуйста, как?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "NTLM аутентификация, как?!"  +/
Сообщение от raider email(ok) on 05-Сен-09, 21:04 
ОБОГЕ!

Да как можно заставить работать NTLM-аутернификацию в браузере на Squid+Samba без домена? Начните с того, что такое SSO в Windows-сети.

Такая схема и аутентификация НИКОГДА работать не будет. Машине не в домене!!!

---
Удачи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "NTLM аутентификация, как?!"  +/
Сообщение от bassmaster email(ok) on 06-Сен-09, 15:55 
>Если получилось - напишите, пожалуйста, как?

Не получилось - задача сошла на нет. С тех пор (декабрь 2008) никаких телодвижений в эту сторону больше не делал. На данный момент ожидается похожая задача, единственное ислючение машины пользователей будут в домене.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "NTLM аутентификация, как?!"  +/
Сообщение от Serg email(??) on 19-Ноя-09, 10:57 
>ожидается похожая задача, единственное ислючение машины пользователей будут в домене.

Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене, не проходит аунтефикацию прокси...что интерестно без прокси пашет....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "NTLM аутентификация, как?!"  +/
Сообщение от DogEater (??) on 19-Ноя-09, 22:55 
>>ожидается похожая задача, единственное ислючение машины пользователей будут в домене.
>
>Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене,
>не проходит аунтефикацию прокси...что интерестно без прокси пашет....

поищите про отключенный ntlm2 в висте и выше. ЕМНИП дело в нём...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "NTLM аутентификация, как?!"  +/
Сообщение от vivi on 15-Дек-09, 14:38 
>>>ожидается похожая задача, единственное ислючение машины пользователей будут в домене.
>>
>>Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене,
>>не проходит аунтефикацию прокси...что интерестно без прокси пашет....
>
>поищите про отключенный ntlm2 в висте и выше. ЕМНИП дело в нём...
>

Дело в том что у ие7 и выше уже методом авторизации является не ntml а kerberos. Настраивайте авторизацию и для него тоже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру