Авторизация в SQUID через NTLM

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Авторизация в SQUID через NTLM

Сообщение TOPтыгин » 14 апр 2004, 13:17

Кто - нибудь делел NTLM авторизацию на SQUID 3.0 (можно и 2.5) и Samba 3.0.1. Уже все попробовал ... вот что выдает wb_auth:
wb_ntlmauth[12649](wb_ntlm_auth.c:419): Can't contact winbindd. Dying

При этом вот что говорит wbinfo:
[root@vzfei bin]# ./wbinfo -t -p
checking the trust secret via RPC calls succeeded
Ping to winbindd succeeded on fd 6

Единственное что может быть, это подцепились библиотеки не от той самбы, но когда я указвавыю в ./config --with-samba-sources=путь к самбе, то он мне выдетет ошибки на компиляции ntlm_auth :roll:

waldis
member
Сообщения: 23
Зарегистрирован: 05 фев 2004, 02:55
Откуда: Vladivostok
Контактная информация:

Сообщение waldis » 15 апр 2004, 15:12

т.е на момент запуска кальмара winbindd точно активен?
можно попробовать понять что происходит при winbindd -d9

потом из личных наблюдений: от сквида требуется следующее
client_db on
client_persistent_connections on

самба конечно подревнее у меня, 2.2.8
squid 2.5

3-й сквид уже не падает? :)
ибо все мои попытки завести его для испытаний ничем хорошим не завершались.

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 15 апр 2004, 20:30

Тройка вроде стала более ли мнее рабоать (я имею ввиду сквид) Что касается самбы может и имеет смысл откатиться :( Так как другого варианта я не видю ... :roll:

tvarek
Junior member
Сообщения: 9
Зарегистрирован: 18 мар 2004, 13:29
Откуда: Питер

Сообщение tvarek » 06 май 2004, 11:05

Мой рабочий конфиг:
в smb.conf
workgroup = xxxxx
hosts allow = 192.168.1.
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
security = domain
password server = xxxxxx
encrypt passwords = yes

в squid.conf
auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/squid/libexec/wb_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
acl localnetusers proxy_auth REQUIRED
http_access allow localnetusers
http_access deny !localnetusers

samba 2.2.8, собрана с параметрами --with-winbind --with-winbind-auth-challenge
squid 2.5stable4, собран с параметрами --enable-auth="ntlm,basic" --enable-ntlm-auth-helpers="winbind" --enable-basic-auth-helpers="winbind"

ОС - шапка 7.2 (работает и на 9)

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 06 май 2004, 12:18

Вот только сейчас проверил на 500 раз :( ... все так ! Basic работает а ntlm не работает :( уже голову поломал.

Аватара пользователя
TOPтыгин
Advanced member
Сообщения: 102
Зарегистрирован: 21 янв 2004, 10:29
Откуда: Барнаул
Контактная информация:

Сообщение TOPтыгин » 06 май 2004, 12:23

Вот такое у меня пишет в логи при попытке ntlm авторизации и сквида помирает ! :(

Attempt to lower Auth User request 0x850f66c refcount below 0!

Donat
Junior member
Сообщения: 11
Зарегистрирован: 19 фев 2005, 16:54
Откуда: Пятигорск
Контактная информация:

Сообщение Donat » 10 апр 2005, 14:14

Хм, может мне смогут подсказать при другой ситуации?
Сейчас борюсь за прозрачную аутентификацию на сквиде (/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic работает)
# wbinfo -p
Ping to winbindd succeeded on fd 4
# wbinfo -t
checking the trust secret via RPC calls succeeded
# wbinfo -a donat%123456
plaintext password authentication succeeded
challenge/response password authentication succeeded

А вот начинаю проверять
/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
donat 123456
[2005/04/10 14:05:33, 1] utils/ntlm_auth.c:manage_squid_ntlmssp_request(575)
BH

В чем могут быть грабли?
зы. Не осознал по поводу прав на /var/db/samba/winbindd_privileged - там должен быть effective_user\group? (а то в доках у всех root:squid, у меня он nobody)

Donat
Junior member
Сообщения: 11
Зарегистрирован: 19 фев 2005, 16:54
Откуда: Пятигорск
Контактная информация:

Сообщение Donat » 14 апр 2005, 12:52

В чем могут быть грабли?
зы. Не осознал по поводу прав на /var/db/samba/winbindd_privileged - там должен быть effective_user\group? (а то в доках у всех root:squid, у меня он nobody)[/quote]

С этим разобрался - когда перевел effective_user на squid и дал соответствующие права на winbindd_privileged. Причину узнавать не хочу  :evil:

Теперь вот борюсь с DC 2003 - там уже некоторое разнообразие

[root@FreeBSD donat]# net ads join -U administrator
administrator's password:
[2005/04/14 12:02:00, 0] libsmb/nmblib.c:send_udp(790)
 Packet send failed to 127.255.255.255(137) ERRNO=Can't assign requested address
[2005/04/14 12:02:00, 0] utils/net_ads.c:ads_startup(186)
 ads_connect: Can't assign requested address
[root@FreeBSD donat]#

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»