forum.opennet.ru - "samba 3.x + AD" (6)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"samba 3.x + AD"

Форумы Samba, вопросы интеграции Unix и Windows (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"samba 3.x + AD"
Сообщение от ALex_hha (??) on 18-Июл-05, 14:42 (MSK)
Народ помогите. Пытаюсь настроить авторизацию windows-пользователей в SQUID на основе их доменных аккаунтов. Необходимо обеспечить доступ к прокси squid определенной группе пользователей (MYDOMAIN\InternetUsers) Есть windows 2000 server + Linux server (samba-3.0.14a) Настроил самбу. Ввел в домен # net rpc join MEMBER -U Admin%password Настраиваю squid auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --required-membership-of='MYDOMAIN\\InternetUsers' В результате получаю Jul 18 11:20:34 InternetServer (ntlm_auth): [2005/07/18 11:20:34, 0] utils/ntlm_auth.c:get_require_membership_sid(237) Jul 18 11:20:34 InternetServer (ntlm_auth): Winbindd lookupname failed to resolve 'MYDOMAIN\InternetUsers' into a SID! Jul 18 11:20:54 InternetServer (ntlm_auth): [2005/07/18 11:20:54, 0] utils/ntlm_auth.c:get_require_membership_sid(237) Jul 18 11:20:54 InternetServer (ntlm_auth): Winbindd lookupname failed to resolve 'MYDOMAIN\InternetUsers' into a SID! В чем может быть проблема? Без группы, т.е. без --required-membership-of='MYDOMAIN\\InternetUsers' все работает нормально.
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

samba 3.x + AD, all_sun, 16:04 , 21-Июл-05, (1)
- samba 3.x + AD, ALex_hha, 12:21 , 02-Авг-05, (2)
- samba 3.x + AD, antoshkin, 14:33 , 02-Авг-05, (3)
  - samba 3.x + AD, ALex_hha, 17:42 , 15-Авг-05, (4)
  - samba 3.x + AD, Nikolay, 19:02 , 18-Авг-05, (5)
    - samba 3.x + AD, antoshkin, 23:15 , 22-Авг-05, (6)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "samba 3.x + AD"

Сообщение от all_sun (ok) on 21-Июл-05, 16:04  (MSK)

>Народ помогите. Пытаюсь настроить авторизацию windows-пользователей в SQUID на основе их доменных
>аккаунтов. Необходимо обеспечить доступ к прокси squid определенной группе пользователей (MYDOMAIN\InternetUsers)
>
>
>Есть windows 2000 server + Linux server (samba-3.0.14a)
>
>Настроил самбу. Ввел в домен
># net rpc join MEMBER -U Admin%password
>
>Настраиваю squid
>auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --required-membership-of='MYDOMAIN\\InternetUsers'
>
>В результате получаю
1. smb.conf
[global]
        log file = /var/log/samba/log.%m
        load printers = no
        idmap gid = 10000-20000
        socket options = TCP_NODELAY
        winbind trusted domains only = yes
        hosts allow = 192.168.
        winbind use default domain = yes
        realm = XXX.COM
        dns proxy = no
        netbios name = Proxy
        server string = Proxy Server
        idmap uid = 10000-20000
        password server = dc1.xxx.com dc2.xxx.com
        workgroup = NT_RYBA
        os level = 20
        security = ads
        max log size = 50
        winbind separator = +

2. --required-membership-of='MYDOMAIN+InternetUsers'
3. установи heimdal - или другой керберос клиент
4. не забудь его настроить.
5. net ads join "Computers" -U Pupkin
6. /../../... samba.sh start
7. Добавь доступ к /var/db/samba/winbind_privileged для группы сквид
8. squid restart

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "samba 3.x + AD"

Сообщение от ALex_hha (??) on 02-Авг-05, 12:21  (MSK)

Все разобрался проблема была в правах на папку /var/lib/samba/winbind_privileged. После того как изменил, права все заработало.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "samba 3.x + AD"

Сообщение от antoshkin (ok) on 02-Авг-05, 14:33  (MSK)

Слушай, покажи свой acl как ты делаешь?
У меня почему-то не получается.
У меня так:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
acl AllowedUsers proxy_auth user1 user2 - перечисляются юзеры, которым можно.
http_access allow AllowedUsers
Так работает. Но если юзеров дофига - это некрасиво будет перечислять их всех через пробел. Решил сделать как у тебя:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --required-membership-of='MYDOMAIN+squid'
auth_param ntlm children 20
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
acl AlowedUsers proxy_auth required
Не работает. Просто выдает Access Denied и всё. Ессно членство в группе есть.
У меня, правда, security в самбе стоит "Domain".

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "samba 3.x + AD"

Сообщение от ALex_hha (??) on 15-Авг-05, 17:42  (MSK)

>Слушай, покажи свой acl как ты делаешь?
>У меня почему-то не получается.
>
у меня доступ через squidGuard. В squid.conf только след
acl TURBOGAZ proxy_auth required
http_access allow TURBOGAZ
> У меня, правда, security в самбе стоит "Domain"
Так у меня тоже
>Не работает. Просто выдает Access Denied и всё. Ессно членство в группе
>есть.
>У меня, правда, security в самбе стоит "Domain".
Скорее всего ты не выполнил  --set-auth-user. Выполни
# wbinfo --get-auth-user
Если ничего не выводит значит выполни
# wbinfo --set-auth-user=Domain\\User%password
или выставил неправильные права.
Если что стучись в аську 282-891-476

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "samba 3.x + AD"

Сообщение от Nikolay (??) on 18-Авг-05, 19:02  (MSK)

smb.conf
[global]
workgroup = MYDOMAIN
server string = SERVER
netbios name = SERVER
hosts allow = 192.168.1.0/255.255.255.0, 192.168.2.0/255.255.255.252, 192.168.10.0/255.255.255.0
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
security = domain
password server = *
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
username map = /etc/samba/smbusers
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
interfaces = you interfaces
local master = no
os level = 33
domain master = no
preferred master = no
domain logons = no
name resolve order = wins lmhosts bcast
wins support = no
wins server = xx.xx.xx.xx
wins proxy = yes
dns proxy = no

squid.conf
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMAIN+users"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
acl users proxy_auth REQUIRED
http_access allow localnet users
http_access deny all
net rpc join -U Admin%Password
wbinfo -p
Ping to winbindd succeeded on fd 5
wbinfo -t
checking the trust secret via RPC calls succeeded
После этого должно работать

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "samba 3.x + AD"

Сообщение от antoshkin (ok) on 22-Авг-05, 23:15  (MSK)

Там проблема была в самбе, я тут в теме про w2k3 sp1 dc рассказывал.
Сейчас самба работает, всё прекрасно, но группу я так и не смог вывести в интернет.
По юзерам работает, типа:
acl allowed_users proxy_auth "/usr/local/etc/squid/users_allow"
В файле юзеры доменные в столбик перечислены, кому можно.
С группой не получается...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "samba 3.x + AD"
Сообщение от all_sun (ok) on 21-Июл-05, 16:04 (MSK)
>Народ помогите. Пытаюсь настроить авторизацию windows-пользователей в SQUID на основе их доменных >аккаунтов. Необходимо обеспечить доступ к прокси squid определенной группе пользователей (MYDOMAIN\InternetUsers) > > >Есть windows 2000 server + Linux server (samba-3.0.14a) > >Настроил самбу. Ввел в домен ># net rpc join MEMBER -U Admin%password > >Настраиваю squid >auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --required-membership-of='MYDOMAIN\\InternetUsers' > >В результате получаю 1. smb.conf [global] log file = /var/log/samba/log.%m load printers = no idmap gid = 10000-20000 socket options = TCP_NODELAY winbind trusted domains only = yes hosts allow = 192.168. winbind use default domain = yes realm = XXX.COM dns proxy = no netbios name = Proxy server string = Proxy Server idmap uid = 10000-20000 password server = dc1.xxx.com dc2.xxx.com workgroup = NT_RYBA os level = 20 security = ads max log size = 50 winbind separator = + 2. --required-membership-of='MYDOMAIN+InternetUsers' 3. установи heimdal - или другой керберос клиент 4. не забудь его настроить. 5. net ads join "Computers" -U Pupkin 6. /../../... samba.sh start 7. Добавь доступ к /var/db/samba/winbind_privileged для группы сквид 8. squid restart
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "samba 3.x + AD"
	Сообщение от ALex_hha (??) on 02-Авг-05, 12:21 (MSK)
	Все разобрался проблема была в правах на папку /var/lib/samba/winbind_privileged. После того как изменил, права все заработало.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "samba 3.x + AD"
	Сообщение от antoshkin (ok) on 02-Авг-05, 14:33 (MSK)
	Слушай, покажи свой acl как ты делаешь? У меня почему-то не получается. У меня так: auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 20 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes acl AllowedUsers proxy_auth user1 user2 - перечисляются юзеры, которым можно. http_access allow AllowedUsers Так работает. Но если юзеров дофига - это некрасиво будет перечислять их всех через пробел. Решил сделать как у тебя: auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --required-membership-of='MYDOMAIN+squid' auth_param ntlm children 20 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes acl AlowedUsers proxy_auth required Не работает. Просто выдает Access Denied и всё. Ессно членство в группе есть. У меня, правда, security в самбе стоит "Domain".
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "samba 3.x + AD"
	Сообщение от ALex_hha (??) on 15-Авг-05, 17:42 (MSK)
	>Слушай, покажи свой acl как ты делаешь? >У меня почему-то не получается. > у меня доступ через squidGuard. В squid.conf только след acl TURBOGAZ proxy_auth required http_access allow TURBOGAZ > У меня, правда, security в самбе стоит "Domain" Так у меня тоже >Не работает. Просто выдает Access Denied и всё. Ессно членство в группе >есть. >У меня, правда, security в самбе стоит "Domain". Скорее всего ты не выполнил --set-auth-user. Выполни # wbinfo --get-auth-user Если ничего не выводит значит выполни # wbinfo --set-auth-user=Domain\\User%password или выставил неправильные права. Если что стучись в аську 282-891-476
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "samba 3.x + AD"
	Сообщение от Nikolay (??) on 18-Авг-05, 19:02 (MSK)
	smb.conf [global] workgroup = MYDOMAIN server string = SERVER netbios name = SERVER hosts allow = 192.168.1.0/255.255.255.0, 192.168.2.0/255.255.255.252, 192.168.10.0/255.255.255.0 winbind separator = + winbind use default domain = yes winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes security = domain password server = * encrypt passwords = yes smb passwd file = /etc/samba/smbpasswd username map = /etc/samba/smbusers socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 interfaces = you interfaces local master = no os level = 33 domain master = no preferred master = no domain logons = no name resolve order = wins lmhosts bcast wins support = no wins server = xx.xx.xx.xx wins proxy = yes dns proxy = no squid.conf auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMAIN+users" auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes acl users proxy_auth REQUIRED http_access allow localnet users http_access deny all net rpc join -U Admin%Password wbinfo -p Ping to winbindd succeeded on fd 5 wbinfo -t checking the trust secret via RPC calls succeeded После этого должно работать
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "samba 3.x + AD"
	Сообщение от antoshkin (ok) on 22-Авг-05, 23:15 (MSK)
	Там проблема была в самбе, я тут в теме про w2k3 sp1 dc рассказывал. Сейчас самба работает, всё прекрасно, но группу я так и не смог вывести в интернет. По юзерам работает, типа: acl allowed_users proxy_auth "/usr/local/etc/squid/users_allow" В файле юзеры доменные в столбик перечислены, кому можно. С группой не получается...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ]