The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Squid ntlm + basic авторизация"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"Squid ntlm + basic авторизация"  +/
Сообщение от imonkey (ok) on 19-Мрт-13, 18:01 
Здравствуйте, начал настраивать squid с ntlm и basic авторизацией в домене win2003.
Настроил Samba, получил билет kerberos, ввел машину в домен. wbinfo -t, -u и -g отрабатывают правильно, но wbinfo -a не хочет авторизовывать NT_STATUS_ACCESS_DENIED (0xc0000022). Соответственно ntlm_auth не хочет авторизировать пользователей. Если использовать squid_ldap_auth то проходит только basic авторизация, а с ntlm_auth вообще никак.

конфиг сквида

auth_param ntlm  program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic  program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# TAG: acl


acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl localhost src 192.168.1.128/32
acl to_localhost dst 127.0.0.0/8
acl DOMAIN proxy_auth REQUIRED
acl SSL_ports port 443
acl purge method PURGE
acl CONNECT method CONNECT


http_access allow manager localhost DOMAIN
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access allow DOMAIN
http_access allow localhost
http_access deny all
http_reply_access allow all

конфиг samba

[global]
        log file = /var/log/samba/log.%m
        socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
        null passwords = yes
        interfaces = eth0
        hosts allow = 192.168.1.128 127.0.0.1
        encrypt passwords = yes
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        auth methods = winbind
        winbind enum groups = yes
        winbind enum users = yes
        winbind use default domain = yes
        name resolve order = hosts wins bcast lmhosts
        case sensitive = no
        dns proxy = no
        netbios name = squid
        server string = proxy
        password server = 192.168.1.1
        realm = DOMAIN
        client use spnego = yes
        client signing = yes
        local master = no
        domain master = no
        preferred master = no
        workgroup = DOMAIN
        debug level = 2
        security = ads
        dos charset = 866
        unix charset = UTF-8
        max log size = 50
        os level = 0
        wins server = 192.168.1.1
        template shell = /bin/false

Подскажите пожалуйста в чем дело, а то пол инета уже перерыл.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Squid ntlm + basic авторизация"  +/
Сообщение от ipmanyak (ok) on 20-Мрт-13, 12:16 
Почитайте статью http://www.opennet.me/base/net/win_squid.txt.html
или она же тут
http://www.linuxcenter.ru/lib/articles/networking/nnz-sqland...
возможно наведет на мысли и найдете свои ошибки.
>  realm = DOMAIN

А у вас разве имя домена DOMAIN?  Это не есть гуд, будете путаться при анализе ошибок, дайте домену нормальное имя, например monkey.local, или то правильное имя, которое у вас в винде указано.
в помощь еще урла
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/d...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Squid ntlm + basic авторизация"  +/
Сообщение от imonkey (ok) on 20-Мрт-13, 14:15 
> Почитайте статью http://www.opennet.me/base/net/win_squid.txt.html
> или она же тут
> http://www.linuxcenter.ru/lib/articles/networking/nnz-sqland...
> возможно наведет на мысли и найдете свои ошибки.
>>  realm = DOMAIN
> А у вас разве имя домена DOMAIN?  Это не есть гуд,
> будете путаться при анализе ошибок, дайте домену нормальное имя, например monkey.local,
> или то правильное имя, которое у вас в винде указано.
> в помощь еще урла
> http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/d...

К сожалению ничего не помогло. Имя домена не DOMAIN а STO. В данный момент менять нельзя. Попробую все сделать на фре, правда я с ней не общался с 6 версии.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Squid ntlm + basic авторизация"  +/
Сообщение от Punck on 20-Мрт-13, 19:51 
> К сожалению ничего не помогло. Имя домена не DOMAIN а STO. В
> данный момент менять нельзя. Попробую все сделать на фре, правда я
> с ней не общался с 6 версии.

А вот это точно верно hosts allow = 192.168.1.128 127.0.0.1 ?
Я так понимаю что это адрес самой самбы, у меня тут таки подъсеть локальная.

# The following parameter need only be specified if present.
# The default setting if not present is Yes.
encrypt passwords = yes

тоже не видно.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Squid ntlm + basic авторизация"  +/
Сообщение от imonkey (ok) on 22-Мрт-13, 09:28 
>> К сожалению ничего не помогло. Имя домена не DOMAIN а STO. В
>> данный момент менять нельзя. Попробую все сделать на фре, правда я
>> с ней не общался с 6 версии.
> А вот это точно верно hosts allow = 192.168.1.128 127.0.0.1 ?
> Я так понимаю что это адрес самой самбы, у меня тут таки
> подъсеть локальная.
> # The following parameter need only be specified if present.
> # The default setting if not present is Yes.
> encrypt passwords = yes
> тоже не видно.

Проблема решилась очень странно, надо два раза сделать попытку ввода в домен
net join -U Admin%pass
первый раз он говорит что пустил и все хорошо, второй раз говорит что все плохо с керберосом и посылает. НО все начинает работать нормально.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру