форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Настройка Squid и других прокси серверов (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Аутентификация по группам из домена win2000"
Сообщение от Nick Scherbina on 27-Ноя-02, 19:04  (MSK)
Возникла задачка пускать в инет только определенную группу пользователей из 2000-го вин-домена в Native mode. Путем чтения док вроде бы обозначился путь решения через helpers/external_acl/winbind_group (wb_group). Прикрутил как описано: кусок squid.conf: external_acl_type NT_group %LOGIN /usr/local/squid/libexec/wb_group acl AU external NT_group test12 http_access allow AU И не работает :( Если запускаем wb_group с консоли, вводя DOMAIN\\username Group то на все отвечает err. Группу test12 через wbinfo -g видно. Пользователя аутентифицирует нормально. Где рыть - непонятно :( Сейчас поднята аутентификация через winbind - все работает нормально. Может у кого есть какие мысли как пускать только пользователей, входящих в определенную группу или в чем все таки может быть проблем с wb_group
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: Аутентификация по группам из домена win2000"
Сообщение от Nick Scherbina on 28-Ноя-02, 17:09  (MSK)
Все... Сам разобрался. Для тех кто интересуется можно почитать поподробее тут: http://www.connectionreset.it/documenti/squidntdomainauth.txt И дополнительно основные камешки подводные: - на самбе 2.2.7 не работает (моя ошибка). На squid-cache пишут (про версию 2.2.6), что если подменить заголовочные файлы в сорцах сквида, (подробнее в FAQ на squid-cache) файлами от самбы, то все заработает. На 2.2.7 не прокатило даже так. - в smb.conf должно стоять winbind use default domain = no
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: Аутентификация по группам из домена win2000"
	Сообщение от picos on 03-Фев-03, 08:37  (MSK)
	>Все... Сам разобрался. >Для тех кто интересуется можно почитать поподробее тут: http://www.connectionreset.it/documenti/squidntdomainauth.txt > >И дополнительно основные камешки подводные: >- на самбе 2.2.7 не работает (моя ошибка). На squid-cache пишут (про >версию 2.2.6), что если подменить заголовочные файлы в сорцах сквида, (подробнее >в FAQ на squid-cache) файлами от самбы, то все заработает. На >2.2.7 не прокатило даже так. >- в smb.conf должно стоять winbind use default domain = no У меня точно такая же ситуация, один в один! Только заместо W2K стоит NT4. Почитал предложенную ссылку, поменял в smb.conf строчку не пашет.... самба стоит 2.2.6 (из пакаджей FreeBSD 4.7) Может кто выложит РЕАЛЬНО_РАБОТАЮЩУЮ_КОНФУ_СКВИДА (имеется ввиду external_acl и так далее сам акл и описание http_access)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "RE: Аутентификация по группам из домена win2000"
	Сообщение от picos on 03-Фев-03, 13:54  (MSK)
	вобщем запарился я конкретно, если кто знает надеюсь на вашу помощь: начну с начала. Ситуация аналогична вышеописанной автором поста: https://www.opennet.ru/openforum//vsluhforumID12/227.html Самба настроена, авторизация через домен Windows работает, как дело доходит до авторизации через wb_group затык. в access.log пишет TCP_DENIED:NONE и соответственно не работает! при установке и настройке СКВИДА ориентировался на статью: http://www.artmagic.ru/labs/sqlandwin.shtml Самба установлена из портов freebsd 4.7 (2.2.6p2) в smb.conf прописал: winbind use default domain = no регистрируюсь в НТ домене без проблем wbinfo говорит что все хорошо в СКВИДЕ squid.conf прописаны следующие строки: external_acl_type wb_group %LOGIN /usr/local/squid/libexec/wb_group acl INTERNET_YES external wb_group INTERNET_YES http_access allow INTERNET_YES http_access deny all в домене НТ создана глобальная группа INTERNET_YES и на всякий случай wb_group.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: Аутентификация по группам из домена win2000"
	Сообщение от Nick on 03-Фев-03, 14:00  (MSK)
	Вот кусок (ACC_INET_GW группа в домене W2K): auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes external_acl_type wb_group %LOGIN /usr/local/squid/libexec/wb_group acl AU external wb_group ACC_INET_GW http_access allow AU http_access deny all
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: Аутентификация по группам из домена win2000"
	Сообщение от picos on 04-Фев-03, 05:26  (MSK)
	>Вот кусок (ACC_INET_GW группа в домене W2K): > >auth_param ntlm program /usr/local/squid/libexec/wb_ntlmauth >auth_param ntlm children 5 >auth_param ntlm max_challenge_reuses 0 >auth_param ntlm max_challenge_lifetime 2 minutes > >external_acl_type wb_group %LOGIN /usr/local/squid/libexec/wb_group >acl AU external wb_group ACC_INET_GW > >http_access allow AU >http_access deny all НЕ РАБОТАЕТ! На клиентском компе пишется нет доступа, ну вобщем все тоже самое что было. А какая самба стоит и какой сквид крутиться?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: Аутентификация по группам из домена win2000"
	Сообщение от Nick on 04-Фев-03, 10:53  (MSK)
	А winbind то запущен? Работу его проверял? Попробуй запусти руками wb_group -d и повводи логины в ввиде DOMAINNAME\\User GroupName и посмотри что отвечает. Если не ERR или OK то с твой версий самбы не дружит либо чего то не запустил. Обрати внимание, что для версии 2.2.6 надо заменить некоторые файлы и пересобрать wb_*. (сам я не делал, поставил самбу 2.2.5) PS: У меня samba 2.2.5 (используется только для аутентификации юзеров сквидом, соответственно запускаем только winbindd), Squid 2.5stable1, linux kernel 2.4.19;
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: Аутентификация по группам из домена win2000"
	Сообщение от picos on 04-Фев-03, 11:48  (MSK)
	>А winbind то запущен? Работу его проверял? имеется ввиду /usr/local/sbin/winbindd ? (У меня FreeBSD 4.7, а Сквид точно такой же) запущен и нормально функционирует, по крайней мере wbinfo -p и wbinfo -t говорят что все окей. >Попробуй запусти руками wb_group -d и повводи логины в ввиде DOMAINNAME\\User GroupName >и посмотри что отвечает. Если не ERR или OK то с >твой версий самбы не дружит либо чего то не запустил. выскакивает как раз ERR: ZSPTUS\\denis ACC_INET_GW /wb_group[1460](wb_check_group.c:285): Got 'ZSPTUS\\denis ACC_INET_GW' from Squid (length: 8192). ERR >Обрати >внимание, что для версии 2.2.6 надо заменить некоторые файлы и пересобрать >wb_*. (сам я не делал, поставил самбу 2.2.5) > Вот этого я как раз наверно не умею делать!!! Может хоть инструкция где какая то есть? >PS: У меня samba 2.2.5 (используется только для аутентификации юзеров сквидом, соответственно >запускаем только winbindd), Squid 2.5stable1, linux kernel 2.4.19; Я вот только не пойму в чем моя проблема: 1. Плохая Самба, нужна другая версия 2. Плохой (неправильно собраный или отконфигуренный) Сквид 3. Эта версия самбы и эта версия сквида не совместимы в вопросе авторизации по групам Windows
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "RE: Аутентификация по группам из домена win2000"
	Сообщение от Nick on 04-Фев-03, 12:18  (MSK)
	В группу то входишь указанную? :) Если да и ERR то поставь 2.2.5 самбу, если мучаться не охота и ее отличия от 2.2.6 не принципиальны.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: Аутентификация по группам из домена win2000"
	Сообщение от mitiok on 10-Фев-03, 21:09  (MSK)
	>В группу то входишь указанную? :) >Если да и ERR то поставь 2.2.5 самбу, если мучаться не охота >и ее отличия от 2.2.6 не принципиальны. надо winbindd_nss.h взять из исходников самбы и заменить такой же файл в исходниках хелпера
		Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Аутентификация по группам из домена win2000"
Сообщение от Klinok on 18-Мрт-03, 12:25  (MSK)
Блин...чего то не работает! уже поставил Самбу 2.2.5 все работает... и в домен вхожу и юзера авторизирую! После Самбы заработал даже wb_group чего раньше не было! Правда он авторизирует не по Domen\\user group  а просто по user group. В сквиде все прописываю... и ничего...Доступ запрещен!!! Какой-нибудь здравой мысле очень обрадуюсь!!!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "Аутентификация по группам из домена win2000"
	Сообщение от Klinok on 19-Мрт-03, 12:07  (MSK)
	Все!!! Настроил сам! всем кому интересно поясняю основные вещи: squid 2.5stable1 samba 2.2.5 --------smb.conf----------- [global] workgroup = klinok     server string = Klinok Samba Server hosts allow = 10.60.0. 127. #winbind separator = \    Обратите внимание на этот вот параметр!!! (Зарэмте его к чертовой матери! у меня именно из за него и был косяк! я взял я его все из той же русскоязычной статье по настройке Доменной Авторизации в Squid.) winbind use default domain = no winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes template homedir = /home/winnt/%D/%U template shell = /bin/bash max log size = 50 security = domain password server = lab    (в файле lmhosts прописано:  10.60.3.78  lab) encrypt passwords = yes   ---------------squid.conf------------------------- #------------------------- auth_param --------------------------- auth_param ntlm program /usr/klinok/squid/libexec/wb_ntlmauth auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param basic program /usr/klinok/squid/libexec/wb_auth auth_param basic children 5 auth_param basic realm linux.railways.kz authenticator auth_param basic credentialsttl 2 hours external_acl_type NT_group %LOGIN /usr/klinok/squid/libexec/wb_group acl AU external NT_group inet (группа inet в моем домене) acl PASSWORD proxy_auth REQUIRED http_access allow PASSWORD AU Вот собственно и все!!! Если кого инетресует доп. информация...или полность файлы конфигов... пишите, поделюсь не пожадничаю!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "Аутентификация по группам из домена win2000"
	Сообщение от Larin Mikhail on 21-Мрт-03, 11:36  (MSK)
	У меня samba-2.2.5. В связи с выходом squid-2.5.STABLE2 пересобирал своего сквида... В ${squid_src_root}/include/samba/README.txt русским по белому написано: ------- These files are copies of Samba internal headers from Samba-2.2.7a     required by the winbind helpers to Squid.                               If you compile the winbind helpers with other versions of Samba you may need to copy the relevant headers from the Samba version you are using here, or use the --with-samba-source=... configure option to tell Squid where the Samba sources can be found.                                   ------ Берем исходники _любимой_ (своей) самбы, распаковываем, идем в ${squid_src_root}, там (кроме прочего нужного) говорим: ./configure ... --with-samba-source=${samba_src_root} ... make all У меня после работает _лежа, с колена и стОя_ : и winbind separator = \═, и winbind use default domain=yes.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "Аутентификация по группам из домена win2000"
	Сообщение от Klinok on 23-Мрт-03, 14:29  (MSK)
	Все верно! но с выходом stable 2 я сразу настроил Самбу 2.2.7 так как теперь все поддерживается. (а раньше не работало точно! с версией 2.2.7 и так парился и так...) >У меня после работает _лежа, с колена и стОя_ : и winbind >separator = \═, и winbind use default domain=yes. А насчет separator я немного ошибся, в статье по настройке доменной авторизации он был равен = + (что явно не катило для авторизации wb_group. (\ косую пробовал ставить уже я, после прочтения access.log где он явно писал TCP_denied Domain\user) так или иначе после РЕМ все стало ок. насчет winbind use default domain=yes.  для меня тогда вообще не понятно! когда делаешь yes! он видит юзверей не Domain\user  а просто user. wbinfo -u и Wb_group c этим парится! По крайней мере так  было у меня! Но так понимаю теперь эта тема решена и закрыта!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "Аутентификация по группам из домена win2000"
	Сообщение от Varyag on 27-Мрт-03, 22:08  (MSK)
	кто-нибудь может подсказать какой логин и пароль надо вводить в данном случае: Теперь можно проверить а понимает ли SQUID-овский авторизатор        winbind. Для этого нужно запустить:        /usr/local/squid/libexec/wb_auth -d        И ввести вручную имя пароль (через пробел).        Если все работает корректно, то программа выдаст        /wb_auth[91945](wb_basic_auth.c:129): Got 'dmn XXXXX' from squid        (length: 10).        /wb_auth[91945](wb_basic_auth.c:55): winbindd result: 0        /wb_auth[91945](wb_basic_auth.c:58): sending 'OK' to squid ????
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "Аутентификация по группам из домена win2000"
	Сообщение от Mikhail on 28-Мрт-03, 09:40  (MSK)
	Ну, как какой - того, кого авторизуем... Если winbind use default domain=yes, то user pass, если нет, то: <domain><winbind separator>user password (например, при winbind separator=+ и winbind use default domain=yes: mydomain+user (пробел)mypassword)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "Аутентификация по группам из домена win2000"
	Сообщение от picos on 09-Апр-03, 07:11  (MSK)
	и все же что то здесь не так:) FreeBSD 4.8 Squid 2.5 STABLE 2 Samba 2.2.8 (собрана из портов). Собирал SQUID со следующими ключами: ./configure --enable-delay-pools --enable-auth="ntlm,basic" --enab le-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind" --enable-e xternal-acl-helpers="winbind_group" --with-samba-sources=/usr/install/samba/sou rce Самба в домене НТ регистрируется, wbinfo -p -t говорит что все отлично. После установки Squid'a захожу в /usr/local/squid/libexec/wb_auth -d, через пробел ввожу имя и пароль squid меня посылает следующим образом: bash-2.05b# bash-2.05b# ./wb_auth -d /wb_auth[7928](wb_basic_auth.c:168): basic winbindd auth helper build Apr  8 200 3, 16:54:46 starting up... dm 11 /wb_auth[7928](wb_basic_auth.c:129): Got 'dm 11' from squid (length: 5). /wb_auth[7928](wb_basic_auth.c:55): winbindd result: 1 /wb_auth[7928](wb_basic_auth.c:60): sending 'ERR' to squid ERR Я уже впал в отчаяние, если уже на этом этапе не работает тогда как я понимаю и конфиг сквида нечего смотреть. Братья Админы помогите!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "Аутентификация по группам из домена win2000"
	Сообщение от Larin Mikhail on 09-Апр-03, 09:46  (MSK)
	wbinfo -a user%password как отрабатывает? Должно быть: plaintext password authentication succeeded         challenge/response password authentication succeeded Если второй строчки нет - samba собрана без --with-winbind-auth-challenge. winbindd -d 5 - в логи писАть будет, что не так; squid -k debug и смотреть... Не поллучится - кинь логи и конфиги по почте.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "Аутентификация по группам из домена win2000"
	Сообщение от hVost on 15-Апр-03, 02:24  (MSK)
	Если кому то еще интересен сабж для самбы 2.2.7а и сквида 2.5STABLE. Проблема решилась правкой исходника wb_group. Кому интересно - пишите.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "Аутентификация по группам из домена win2000"
	Сообщение от picos on 15-Апр-03, 09:09  (MSK)
	>Если кому то еще интересен сабж для самбы 2.2.7а и сквида 2.5STABLE. > >Проблема решилась правкой исходника wb_group. Кому интересно - пишите. Давайте уж добьем эту проблему раз и навсегда. какие файлики и что менять в студию, пожалуйста. ЗЫ: У меня теперь другой вопросик, SARG при обработке файла access.log выдает ошибку, ошибка связана с тем, что в логе написана авторизация ДОМЕН/логин и САРГ её не понимает что ли? Обрабатываю этим же саргом акцес.лог другого сквида где нет такой авторизации - все отлично! Никто не сталкивался с такой проблемкой?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	20. "Аутентификация по группам из домена win2000"
	Сообщение от Larin Mikhail on 15-Апр-03, 09:39  (MSK)
	У меня  sarg-1.2.1, работает нормально (да и с предыдущими проблем не было). Ошибка какая? А emulate_httpd_log off?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	21. "Аутентификация по группам из домена win2000"
	Сообщение от picos on 15-Апр-03, 12:31  (MSK)
	>У меня  sarg-1.2.1, работает нормально (да и с предыдущими проблем не >было). >Ошибка какая? >А emulate_httpd_log off? https://www.opennet.ru/openforum/vsluhforumID12/737.html  Описание моей проблемы. emulate_httpd_log off В конфиге САРГА?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	22. "Аутентификация по группам из домена win2000"
	Сообщение от Larin Mikhail on 15-Апр-03, 12:47  (MSK)
	>emulate_httpd_log off В конфиге САРГА? Нет, в squid.conf >Описание моей проблемы. Не сталкивался, у меня таки sarg-1.2.1. Но, судя по всему, файл отчета не создается(No such file or directory)... И, соответственно, не может быть отсортирован. Нужно проверять конфиг, права etc.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	23. "Аутентификация по группам из домена win2000"
	Сообщение от picos on 15-Апр-03, 13:08  (MSK)
	>>emulate_httpd_log off В конфиге САРГА? >Нет, в squid.conf >>Описание моей проблемы. >Не сталкивался, у меня таки sarg-1.2.1. >Но, судя по всему, файл отчета не создается(No such file or directory)... >И, соответственно, не может быть отсортирован. Нужно проверять конфиг, права etc. > Михаил поправь меня если я ошибаюсь: Если прогнать через этот САРГ с этим конфигом файлик access.log созданный Squid 2.4 STABLE1 сарг замечательно создает отчет... следовательно конфиг САРГА рабочий, output директория куда складываються файлы отчетов имеет "нужные" права. Отличия этих двух СКВИДОВ (номера версий опустим) на одном стоит авторизация по Виндовозным группам, второй "пустой" никаких внешних авторизаций,  "пользуйся нехочу":) следовательно проблема в информации которая дописывается в файл лога "благодаря" авторизации ntlm, может САРГ её просто непонимает (невоспринимает) поковыряюсь ещё конечно с правами и директориями... В то же время буду смотреть на возможность установки sarg-1.2.1 Буду рад любым идеям по решению моей проблемы.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	24. "Аутентификация по группам из домена win2000"
	Сообщение от Mikhail on 15-Апр-03, 13:20  (MSK)
	Использую sarg относительно давно, за это время squid вырос до 2.5.STABLE2, acl-й куча, из них 6-7 - именно ntlm по группам из домена WinNT (через wb_group), еще 3 - поименные, по пользователям того же домена (wb_ntlmauth). Разницы в работе sarg почти нет - вместо ip-адресов  или имен хостов в отчете рисует <domain>_<user>, в exclude_codes пришлось дописывать TCP_DENIED/407. Может, все-таки обновить версию :-) ?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	28. "SAMBA 2.2.7 + SQUID 2.5 STABLE  и wb_group"
	Сообщение от gorza on 25-Июн-03, 11:57  (MSK)
	Так кто все таки настроил 2.2.7 и wb_group????? wb_auth - работает wb_group - ни в какую Чего тока не пробовал. Обьясните. Благодарен за любую помощь.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	25. "Аутентификация по группам из домена win2000"
	Сообщение от karen on 28-Апр-03, 12:49  (MSK)
	Есть вопросик. Кто пробовал через wbinfo проверять пользователей из домена windows2000 c русскими именами? С англицкими все путем проверял.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	26. "Аутентификация по группам из домена win2000"
	Сообщение от tov59 on 30-Апр-03, 08:49  (MSK)
	Что надо изменить в конфиге, чтобы SQUID пускал в Инет пользователей определенной группы _НЕ_ЧЛЕНОВ_ДОМЕНА_. У меня стоит WinProxy на W2000 Server и часть пользователей в домене,а часть-нет. В Инет ходят те, кто входит в группу "Internet Users". Почитал то, что здесь обсуждалось, сделал - с членами домена все прекрасно работает. А как быть с не членами? Что сделать чтобы SQUID не запрашивал аут. из IE? Помогите,пожалуйста !
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	27. "Аутентификация по группам из домена win2000"
	Сообщение от Mikhail on 30-Апр-03, 10:01  (MSK)
	Так ведь можно одновременно использовать разные способы аутентификации - кто запрещал? auth_param ntlm , auth_param basic, auth_param digest ... - настраиваем стандартные программы для аутентификации; external_acl_type ... - определяем внешние программы (тут и можно поределить, что проверять у 'не членов'); acl password proxy_auth REQUIRED - выдаем запрос; acl .... - в разных сочетаниях скрещиваем полученное.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	29. "Аутентификация по группам из домена win2000"
	Сообщение от gorza on 28-Июн-03, 11:01  (MSK)
	Настроил все как было выше сказано (samba 2.2.8+squid 2.5) Wb_auth и Wb_group работают как нада. ВОПРОС к уважаемым админам: Почему пользователей из МОЗИЛЛА ОПЕРА и КОнКЕРОР пускает (когда в окошке паассворд укажешь): cache.log: (wb_auth)[5132](wb_basic_auth.c:129): Got 'kopylov 1605' from squid (length: 12). (wb_auth)[5132](wb_basic_auth.c:55): winbindd result: 1 (wb_auth)[5132](wb_basic_auth.c:58): sending 'OK' to squid а в Интернет Эксплорере выдается ококшко для пассворда(хотя пользователь в домене зарегистрирован) и даже если вводишь пароль то не пускает? cache.log: (wb_ntlmauth)[5127](wb_ntlm_auth.c:292): Got 'YR' from squid. (wb_ntlmauth)[5127](wb_ntlm_auth.c:72): sending 'TT TlRMTVNTUAACAAAABgAGACgAAACCgkEAFwxUTW92w08AAAAAAAAAAEdBTEFYWQ==' to squid (wb_ntlmauth)[5127](wb_ntlm_auth.c:292): Got 'KK TlRMTVNTUAADAAAAGAAYAFQAAAAYABgAbAAAAAYABgBAAAAABwAHAEYAAAAHAAcATQAAAAAAAACEAAAABoIAAEdBTEFYWUtPUFlMT1ZLT1BZTE9Woi9JybYMCAWSbPKdcQ5sylRLvaNjnJeB9qSWUJIMtMejpguA5Ml4+MvF2lsdUUnp' from squid. (wb_ntlmauth)[5127](wb_ntlm_auth.c:239): Checking user 'GALAXY\KOPYLOV' lmhash len =24, have_nthash=0, nthash len=24 (wb_ntlmauth)[5127](wb_ntlm_auth.c:246): winbindd result: 0 (wb_ntlmauth)[5127](wb_ntlm_auth.c:60): sending 'NA GALAXY\KOPYLOV auth failure because: Authentication Failure ()' to squid Any suggestions ? 8-) спасибо что не пожалели времени..
		Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "Аутентификация по группам из домена win2000"
Сообщение от RedRat on 11-Сен-03, 20:16  (MSK)
У меня немного другая ситуация: аутентификация через wb_group работает замечательно (кому надо - могу поделиться конфигами), если бы не одна всё портящая деталь! А именно - squid упорно отказывается распознавать ситуацию, когда пользователя домена добавляют или удаляют из группы ProxyUsers, которой можно ходить в Инет. Хотя через wb_group эти изменения замечательно видны! Думал, squid слишком долго помнит ответы контроллера домена, убрал их в минимум - никаких изменений! В общем, приходится его перегружать... :-((( У меня стоит FreeBSD-4.8 RELEASE, samba-2.2.8a, squid-2.5_4 smb.conf: ;   winbind separator = +    winbind use default domain = yes    winbind cache time = 10 squid.conf: auth_param ntlm program /usr/local/libexec/wb_ntlmauth auth_param ntlm children 20 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 1 minutes auth_param basic program /usr/local/libexec/wb_auth auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 1 minutes Кто может подсказать - как заставить squid видеть изменения в доменной группе? Заранее благодарен за помощь!
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	31. "Аутентификация по группам из домена win2000"
	Сообщение от noname on 12-Сен-03, 08:55  (MSK)
	>У меня немного другая ситуация: аутентификация через wb_group работает >замечательно (кому надо - могу поделиться конфигами), если бы не одна >всё портящая деталь! А именно - squid упорно отказывается распознавать >ситуацию, когда пользователя домена добавляют или удаляют из группы >ProxyUsers, которой можно ходить в Инет. Хотя через wb_group эти >изменения замечательно видны! Думал, squid слишком долго помнит ответы >контроллера домена, убрал их в минимум - никаких изменений! В общем, >приходится его перегружать... :-((( > >У меня стоит FreeBSD-4.8 RELEASE, samba-2.2.8a, squid-2.5_4 > >smb.conf: >;   winbind separator = + >   winbind use default domain = yes -у меня winbind use default domain = no >   winbind cache time = 10 -этого нет вообще > >squid.conf: >auth_param ntlm program /usr/local/libexec/wb_ntlmauth >auth_param ntlm children 20 >auth_param ntlm max_challenge_reuses 0 >auth_param ntlm max_challenge_lifetime 1 minutes >auth_param basic program /usr/local/libexec/wb_auth >auth_param basic children 5 >auth_param basic realm Squid proxy-caching web server >auth_param basic credentialsttl 1 minutes > >Кто может подсказать - как заставить squid видеть изменения в доменной >группе? Заранее благодарен за помощь! У меня таже самба и все работает, после того как юзера вношу в группу достаточно только в эксплорере обновить страничку:)
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	32. "Аутентификация по группам из домена win2000"
	Сообщение от Mikhail on 12-Сен-03, 12:13  (MSK)
	У меня с такими настройками external_acl_type NT_global_group ttl=120 %LOGIN /usr/lib/squid/wb_group через 2 минуты после добавления пользователя в группу он получает все права (ключевое слово - ttl 120 секунд).
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	33. "Аутентификация по группам из домена win2000"
	Сообщение от RedRat on 12-Сен-03, 12:36  (MSK)
	>У меня с такими настройками >external_acl_type NT_global_group ttl=120 %LOGIN /usr/lib/squid/wb_group >через 2 минуты после добавления пользователя в группу он получает все права >(ключевое слово - ttl 120 секунд). Во! Именно то, что мне надо было! Теперь всё работает... ;-) Спасибо!!!
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.