forum.opennet.ru - "NTLM аутентификация, как?!" (9)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"NTLM аутентификация, как?!"

Форумы Настройка Squid и других прокси серверов (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"NTLM аутентификация, как?!"		+/–
Сообщение от bassmaster (ok) on 22-Дек-08, 19:39
Люди помогите пожайлуста настроить NTLM аутентификацию для Squida - всё болит ничего не помогает. Ситуация следующая есть рабочая группа, сервак на FreeBSD с Samba и Squid. Хотелось бы чтобы юзеры по НТЛМу авторизовывались (на данный момент через ncsa_auth). При попытке открыть какую-нибудь станичку в бродилке спрашивает логин\пароль (как и в ncsa_auth), только в логине имя машины добавилось: COMP/my_user. Насколько я понимаю по идее он должен был бы определить имя WORKGROUP, но что-то пока не получилось. При этом ругаеся winbindd: Possible deadlock: Trying to lookup SID S-1-5-2 with passdb backend Подскажите пожалуйста куда копать. Конфиг: auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 4 auth_param ntlm keep_alive on auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param basic children auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 1 hours auth_param basic casesensitive off Конфиг Самбы: [global] prefered master = yes hosts allow = 192.168.3. 127.0.0. time server = Yes passwd program = /usr/bin/passwd %u dns proxy = No netbios name = boby local master = yes workgroup = zao-oim os level = 65 security = user max log size = 100 log level = 0 log file = /var/log/samba/log.%m load printers = no guest account = nobody socket options = TCP_NODELAY client ntlmv2 auth = yes logon drive = Z: username map = /usr/local/etc/samba/user.map domain master = yes interfaces = 192.168.3.1/24 map to guest = Bad User encrypt passwords = yes wins proxy = Yes wins support = Yes server string = Samba Local File Server bind interfaces only = yes winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes #============================ Share Definitions ==============================
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

NTLM аутентификация, как?!, bassmaster, 20:51 , 22-Дек-08, (1)

NTLM аутентификация, как?!, Сергей, 10:09 , 23-Дек-08, (2)

NTLM аутентификация, как?!, bassmaster, 21:38 , 23-Дек-08, (3)

NTLM аутентификация, как?!, zersaa, 15:05 , 04-Сен-09, (4)

NTLM аутентификация, как?!, raider, 21:04 , 05-Сен-09, (5)
NTLM аутентификация, как?!, bassmaster, 15:55 , 06-Сен-09, (6)

NTLM аутентификация, как?!, Serg, 10:57 , 19-Ноя-09, (7)

NTLM аутентификация, как?!, DogEater, 22:55 , 19-Ноя-09, (8)

NTLM аутентификация, как?!, vivi, 14:38 , 15-Дек-09, (9)

Сообщения по теме [Сортировка по времени | RSS]

1. "NTLM аутентификация, как?!" +/–

Сообщение от bassmaster (ok) on 22-Дек-08, 20:51

>Люди помогите пожайлуста настроить NTLM аутентификацию для Squida - всё болит ничего
>не помогает.
>
>Ситуация следующая есть рабочая группа, сервак на FreeBSD с Samba и Squid.
>Хотелось бы чтобы юзеры по НТЛМу авторизовывались (на данный момент через
>ncsa_auth).
>При попытке открыть какую-нибудь станичку в бродилке спрашивает логин\пароль (как и в
>ncsa_auth), только в логине имя машины добавилось: COMP/my_user. Насколько я понимаю
>по идее он должен был бы определить имя WORKGROUP, но что-то
>пока не получилось. При этом ругаеся
winbindd: Possible deadlock: Trying to
>[оверквотинг удален]
> server string = Samba Local File Server
> bind interfaces only = yes
>
> winbind uid = 10000-20000
> winbind gid = 10000-20000
> winbind enum users = yes
> winbind enum groups = yes
> winbind use default domain = yes
>
>#============================ Share Definitions ==============================
Ещё в логах нарыл:
Dec 22 19:18:24 boby (ntlm_auth): [2008/12/22 19:18:24, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:24 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:24 boby (ntlm_auth): [2008/12/22 19:18:24, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:24 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Dec 22 19:18:44 boby (ntlm_auth): [2008/12/22 19:18:44, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:44 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:44 boby (ntlm_auth): [2008/12/22 19:18:44, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:44 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Dec 22 19:18:52 boby (ntlm_auth): [2008/12/22 19:18:52, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:52 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:52 boby (ntlm_auth): [2008/12/22 19:18:52, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:52 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Dec 22 19:18:54 boby (ntlm_auth): [2008/12/22 19:18:54, 0] utils/ntlm_auth.c:winbind_pw_check(515)
Dec 22 19:18:54 boby (ntlm_auth):   Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth
Dec 22 19:18:54 boby (ntlm_auth): [2008/12/22 19:18:54, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
Dec 22 19:18:54 boby (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "NTLM аутентификация, как?!" +/–

Сообщение от Сергей (??) on 23-Дек-08, 10:09

Проверь, сам winbindd висит в процессах, права надо дать пользователю от которого работает squid на var/db/samba/winbindd_privileged...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "NTLM аутентификация, как?!" +/–

Сообщение от bassmaster (ok) on 23-Дек-08, 21:38

> Проверь, сам winbindd висит в процессах, права надо дать пользователю от
>которого работает squid на var/db/samba/winbindd_privileged...
winbindd в процессах есть, но при этом постоянно ругается:
Dec 23 21:24:09 boby winbindd[935]: [2008/12/23 21:24:09, 0] nsswitch/winbindd_passdb.c:sid_to_name(130)
Dec 23 21:24:09 boby winbindd[935]:   Possible deadlock: Trying to lookup SID S-1-1-0 with passdb backend
Dec 23 21:24:09 boby winbindd[935]: [2008/12/23 21:24:09, 0] nsswitch/winbindd_passdb.c:sid_to_name(130)
Dec 23 21:24:09 boby winbindd[935]:   Possible deadlock: Trying to lookup SID S-1-5-2 with passdb backend
Но вот, что привлекло моё внимание, так это сам ntlm_auth работает, пишет логи, да и сами пользователи определяются при попытке аутентификации, но следующим образом:
имя_сервера\локальный_пользоватеьл_компа
Сама авторизация не проходит - домена то нет. У меня рабочая группа..............

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "NTLM аутентификация, как?!" +/–

Сообщение от zersaa on 04-Сен-09, 15:05

Если получилось - напишите, пожалуйста, как?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "NTLM аутентификация, как?!" +/–

Сообщение от raider (ok) on 05-Сен-09, 21:04

ОБОГЕ!
Да как можно заставить работать NTLM-аутернификацию в браузере на Squid+Samba без домена? Начните с того, что такое SSO в Windows-сети.
Такая схема и аутентификация НИКОГДА работать не будет. Машине не в домене!!!
---
Удачи.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "NTLM аутентификация, как?!" +/–

Сообщение от bassmaster (ok) on 06-Сен-09, 15:55

>Если получилось - напишите, пожалуйста, как?
Не получилось - задача сошла на нет. С тех пор (декабрь 2008) никаких телодвижений в эту сторону больше не делал. На данный момент ожидается похожая задача, единственное ислючение машины пользователей будут в домене.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "NTLM аутентификация, как?!" +/–

Сообщение от Serg (??) on 19-Ноя-09, 10:57

>ожидается похожая задача, единственное ислючение машины пользователей будут в домене.
Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене, не проходит аунтефикацию прокси...что интерестно без прокси пашет....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "NTLM аутентификация, как?!" +/–

Сообщение от DogEater (??) on 19-Ноя-09, 22:55

>>ожидается похожая задача, единственное ислючение машины пользователей будут в домене.
>
>Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене,
>не проходит аунтефикацию прокси...что интерестно без прокси пашет....
поищите про отключенный ntlm2 в висте и выше. ЕМНИП дело в нём...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "NTLM аутентификация, как?!" +/–

Сообщение от vivi on 15-Дек-09, 14:38

>>>ожидается похожая задача, единственное ислючение машины пользователей будут в домене.
>>
>>Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене,
>>не проходит аунтефикацию прокси...что интерестно без прокси пашет....
>
>поищите про отключенный ntlm2 в висте и выше. ЕМНИП дело в нём...
>
Дело в том что у ие7 и выше уже методом авторизации является не ntml а kerberos. Настраивайте авторизацию и для него тоже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "NTLM аутентификация, как?!"		+/–
Сообщение от bassmaster (ok) on 22-Дек-08, 20:51
>Люди помогите пожайлуста настроить NTLM аутентификацию для Squida - всё болит ничего >не помогает. > >Ситуация следующая есть рабочая группа, сервак на FreeBSD с Samba и Squid. >Хотелось бы чтобы юзеры по НТЛМу авторизовывались (на данный момент через >ncsa_auth). >При попытке открыть какую-нибудь станичку в бродилке спрашивает логин\пароль (как и в >ncsa_auth), только в логине имя машины добавилось: COMP/my_user. Насколько я понимаю >по идее он должен был бы определить имя WORKGROUP, но что-то >пока не получилось. При этом ругаеся winbindd: Possible deadlock: Trying to >[оверквотинг удален] > server string = Samba Local File Server > bind interfaces only = yes > > winbind uid = 10000-20000 > winbind gid = 10000-20000 > winbind enum users = yes > winbind enum groups = yes > winbind use default domain = yes > >#============================ Share Definitions ============================== Ещё в логах нарыл: Dec 22 19:18:24 boby (ntlm_auth): [2008/12/22 19:18:24, 0] utils/ntlm_auth.c:winbind_pw_check(515) Dec 22 19:18:24 boby (ntlm_auth): Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth Dec 22 19:18:24 boby (ntlm_auth): [2008/12/22 19:18:24, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776) Dec 22 19:18:24 boby (ntlm_auth): NTLMSSP BH: NT_STATUS_ACCESS_DENIED Dec 22 19:18:44 boby (ntlm_auth): [2008/12/22 19:18:44, 0] utils/ntlm_auth.c:winbind_pw_check(515) Dec 22 19:18:44 boby (ntlm_auth): Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth Dec 22 19:18:44 boby (ntlm_auth): [2008/12/22 19:18:44, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776) Dec 22 19:18:44 boby (ntlm_auth): NTLMSSP BH: NT_STATUS_ACCESS_DENIED Dec 22 19:18:52 boby (ntlm_auth): [2008/12/22 19:18:52, 0] utils/ntlm_auth.c:winbind_pw_check(515) Dec 22 19:18:52 boby (ntlm_auth): Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth Dec 22 19:18:52 boby (ntlm_auth): [2008/12/22 19:18:52, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776) Dec 22 19:18:52 boby (ntlm_auth): NTLMSSP BH: NT_STATUS_ACCESS_DENIED Dec 22 19:18:54 boby (ntlm_auth): [2008/12/22 19:18:54, 0] utils/ntlm_auth.c:winbind_pw_check(515) Dec 22 19:18:54 boby (ntlm_auth): Login for user [CME1GG306]\\[me1co120]@[CME1GG306] failed due to [winbind client not auth Dec 22 19:18:54 boby (ntlm_auth): [2008/12/22 19:18:54, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776) Dec 22 19:18:54 boby (ntlm_auth): NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "NTLM аутентификация, как?!"		+/–
	Сообщение от Сергей (??) on 23-Дек-08, 10:09
	Проверь, сам winbindd висит в процессах, права надо дать пользователю от которого работает squid на var/db/samba/winbindd_privileged...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "NTLM аутентификация, как?!"		+/–
	Сообщение от bassmaster (ok) on 23-Дек-08, 21:38
	> Проверь, сам winbindd висит в процессах, права надо дать пользователю от >которого работает squid на var/db/samba/winbindd_privileged... winbindd в процессах есть, но при этом постоянно ругается: Dec 23 21:24:09 boby winbindd[935]: [2008/12/23 21:24:09, 0] nsswitch/winbindd_passdb.c:sid_to_name(130) Dec 23 21:24:09 boby winbindd[935]: Possible deadlock: Trying to lookup SID S-1-1-0 with passdb backend Dec 23 21:24:09 boby winbindd[935]: [2008/12/23 21:24:09, 0] nsswitch/winbindd_passdb.c:sid_to_name(130) Dec 23 21:24:09 boby winbindd[935]: Possible deadlock: Trying to lookup SID S-1-5-2 with passdb backend Но вот, что привлекло моё внимание, так это сам ntlm_auth работает, пишет логи, да и сами пользователи определяются при попытке аутентификации, но следующим образом: имя_сервера\локальный_пользоватеьл_компа Сама авторизация не проходит - домена то нет. У меня рабочая группа..............
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

4. "NTLM аутентификация, как?!"		+/–
Сообщение от zersaa on 04-Сен-09, 15:05
Если получилось - напишите, пожалуйста, как?
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "NTLM аутентификация, как?!"		+/–
	Сообщение от raider (ok) on 05-Сен-09, 21:04
	ОБОГЕ! Да как можно заставить работать NTLM-аутернификацию в браузере на Squid+Samba без домена? Начните с того, что такое SSO в Windows-сети. Такая схема и аутентификация НИКОГДА работать не будет. Машине не в домене!!! --- Удачи.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "NTLM аутентификация, как?!"		+/–
	Сообщение от bassmaster (ok) on 06-Сен-09, 15:55
	>Если получилось - напишите, пожалуйста, как? Не получилось - задача сошла на нет. С тех пор (декабрь 2008) никаких телодвижений в эту сторону больше не делал. На данный момент ожидается похожая задача, единственное ислючение машины пользователей будут в домене.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "NTLM аутентификация, как?!"		+/–
	Сообщение от Serg (??) on 19-Ноя-09, 10:57
	>ожидается похожая задача, единственное ислючение машины пользователей будут в домене. Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене, не проходит аунтефикацию прокси...что интерестно без прокси пашет....
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "NTLM аутентификация, как?!"		+/–
	Сообщение от DogEater (??) on 19-Ноя-09, 22:55
	>>ожидается похожая задача, единственное ислючение машины пользователей будут в домене. > >Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене, >не проходит аунтефикацию прокси...что интерестно без прокси пашет.... поищите про отключенный ntlm2 в висте и выше. ЕМНИП дело в нём...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "NTLM аутентификация, как?!"		+/–
	Сообщение от vivi on 15-Дек-09, 14:38
	>>>ожидается похожая задача, единственное ислючение машины пользователей будут в домене. >> >>Столкнулся с такой проблемой на Windows 7, машины в корпорации в домене, >>не проходит аунтефикацию прокси...что интерестно без прокси пашет.... > >поищите про отключенный ntlm2 в висте и выше. ЕМНИП дело в нём... > Дело в том что у ие7 и выше уже методом авторизации является не ntml а kerberos. Настраивайте авторизацию и для него тоже.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору