squid samba ntlm

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Happy_demon
сержант
Сообщения: 194
Зарегистрирован: 2006-08-16 16:33:55
Откуда: Санкт-Петербург

squid samba ntlm

Непрочитанное сообщение Happy_demon » 2007-11-27 15:33:55

Доброе время! пытаюсь настроить самбу сквид и доменную аутентификацию. настройки самбы

Код: Выделить всё

[global]
   workgroup = RAKDOMAIN
   server string = Samba Server
   security = domain
   hosts allow = 192.168.25. 192.168.26. 192.168.20. 127.
   load printers = no
   log file = /var/log/samba/log.%m
   max log size = 50
   password server = 192.168.25.100 192.168.25.105
   socket options = TCP_NODELAY
   interfaces = 192.168.25.2/24
   local master = no
   os level = 0
   domain master = no
   preferred master = no
   domain logons = no
   wins support = no
   dns proxy = no
winbind separator = +
encrypt passwords = yes
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
You have mail in /var/mail/root

Код: Выделить всё

[root@bc /usr/local/etc/squid]# cat /etc/nsswitch.conf
group: files winbind
passwd: files winbind

Код: Выделить всё

[root@bc /usr/local/etc/squid]# ls -l /var/db/samba/
total 170
-rw-------  1 root  wheel   8192 18 июн 07:34 account_policy.tdb
-rw-r--r--  1 root  wheel   8192 27 ноя 14:56 gencache.tdb
-rw-------  1 root  wheel   8192 23 май  2007 group_mapping.tdb
-rw-------  1 root  wheel    696 27 ноя 14:56 messages.tdb
-rw-------  1 root  wheel   8192 27 ноя 13:09 netsamlogon_cache.tdb
-rw-------  1 root  wheel   8192 23 май  2007 ntdrivers.tdb
-rw-------  1 root  wheel    696 23 май  2007 ntforms.tdb
-rw-------  1 root  wheel   8192 18 июн 07:34 ntprinters.tdb
drwxr-xr-x  2 root  wheel    512 23 май  2007 perfmon
drwxr-xr-x  2 root  wheel    512 23 май  2007 printing
-rw-------  1 root  wheel  16384 18 июн 07:34 registry.tdb
-rw-------  1 root  wheel   8192 28 май  2007 share_info.tdb
-rw-------  1 root  wheel  57344 27 ноя 15:24 winbindd_cache.tdb
-rw-r--r--  1 root  wheel  32768 23 ноя 14:29 winbindd_idmap.tdb
drwxr-x---  2 root  squid    512 27 ноя 14:56 winbindd_privileged

самба работает. заходит в домен, показывает пользователей, группы (правда почему-то не все, но это позже), показывает id пользователя, авторизует пользователя в домене, всё вроде нормуль. теперь сквид.

Код: Выделить всё

[root@bc /usr/local/etc/squid]# cat squid.conf | grep -v "^#" | grep -v "^$"
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /usr/local/etc/squid/var/cache 100 16 256
cache_access_log /usr/local/etc/squid/var/logs/access.log
cache_log /usr/local/etc/squid/var/logs/cache.log
cache_store_log none
mime_table /usr/local/etc/squid/mime.conf
pid_filename /usr/local/etc/squid/var/squid.pid
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 20          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl froxserver src 192.168.25.2
acl our_networks src 192.168.25.0/24 192.168.20.0/24
http_access allow our_networks
http_access allow froxserver
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname 192.168.25.1
httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
dns_testnames localhost
logfile_rotate 32
error_directory /usr/local/etc/squid/errors/Russian-1251
coredump_dir /usr/local/etc/squid/var/cache

и вот собственно вопрос - почему не работает у меня ntlm авторизация? в логах сквида нет ни упоминания про домен, ни про пользователей. Помогите, очень надо. куда смотреть, что править?

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: squid samba ntlm

Непрочитанное сообщение f0s » 2007-11-27 16:03:53

сквид и самба на одной тачке?

update: вижу что на разных.. хм.. то есть

wbinfo -u

все прекрасно выводит?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Happy_demon
сержант
Сообщения: 194
Зарегистрирован: 2006-08-16 16:33:55
Откуда: Санкт-Петербург

Re: squid samba ntlm

Непрочитанное сообщение Happy_demon » 2007-11-27 16:16:30

Не понял предидущего замечания - машинка одна и самба и сквид всё на одной машинке (там на самом деле ещё столько всякого - аж срашно).
вот какраз wbinfo -u выдаёт все в полном размере, а вот по группам он почему-то выдает следующее

Код: Выделить всё

[root@bc /usr/local/etc/squid]# wbinfo -g
BUILTIN+administrators
BUILTIN+users
компьютеры домена
пользователи домена
гости домена
владельцы-создатели групповой политики
администраторы схемы
издатели сертификатов
администраторы предприятия
администраторы домена
контроллеры домена
dnsupdateproxy
1c_group
sqlgroup
terminal users

я может не силён в виндах (где я только не силён - я везде не силён) и не очень втыкаюсь в них, но у нас в домене групп несколько больше, почему он не все показывает? но это детали. главно аутентификацию поднять

Happy_demon
сержант
Сообщения: 194
Зарегистрирован: 2006-08-16 16:33:55
Откуда: Санкт-Петербург

Re: squid samba ntlm

Непрочитанное сообщение Happy_demon » 2007-11-28 19:34:31

вроде на тестовой машинке победил. я так понимаю невозможно прозрачное проксирование и авторизация. в общем сейчас настройка сквида выглядит так

Код: Выделить всё

[root@bc /usr/local/etc/squid]# cat squid.conf | grep -v "^#" | grep -v "^$"
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_dir ufs /usr/local/etc/squid/var/cache 100 16 256
cache_access_log /usr/local/etc/squid/var/logs/access.log
cache_log /usr/local/etc/squid/var/logs/cache.log
cache_store_log none
mime_table /usr/local/etc/squid/mime.conf
pid_filename /usr/local/etc/squid/var/squid.pid
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntl
mssp
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ba
sic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320
acl all src 0.0.0.0/0.0.0.0
acl squidusers proxy_auth REQUIRED
http_access allow all squidusers
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 20          # ftp
acl Safe_ports port 443 563     # https, snews
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl froxserver src 192.168.25.2
acl our_networks src 192.168.25.0/24 192.168.20.0/24
http_access allow our_networks
http_access allow froxserver
http_access deny all
http_reply_access allow all
icp_access allow all
visible_hostname bc.domain.ru
dns_testnames localhost
logfile_rotate 32
error_directory /usr/local/etc/squid/errors/Russian-1251
coredump_dir /usr/local/etc/squid/var/cache

в результате если в настройках IE указать проксик 192.168.25.2:80 - всё работает, мой доменный аккаунт виден в логах сквида. если же сказать - Юзать Автоматическое определение параметров - не пашет. в файере у меня сейчас

Код: Выделить всё

01401     0       0 allow udp from 192.168.25.164 1024-65535 to 213.148.164.72 dst-port 87
01402     0       0 allow udp from 213.148.164.72 87 to 192.168.25.164 dst-port 1024-65535

где и что надо указать чтобы я не бегал по всем машинкам и не настраивал IE ? Подскажите, очень надо

з.ы. а ошибка выглядит так

Код: Выделить всё

ОШИБКА
Запрошенный URL не может быть доставлен.

--------------------------------------------------------------------------------

Во время доставки URL: /viewforum.php?f=8

Произошла следующая ошибка:

Неправильный URL
Некоторые аспекты URL неправильны. Возможные проблемы:

Отсутствует либо неверный протокол доступа (должен быть `http://'' или похожий)
Отсутствует имя сервера
Некорректный двойной управляющий символ в URL-пути
Недопустимый символ в имени сервера; подчёркивания недопустимы

то есть он полностью отбрасывает первую часть. почему? очень, очень надо

Happy_demon
сержант
Сообщения: 194
Зарегистрирован: 2006-08-16 16:33:55
Откуда: Санкт-Петербург

Re: squid samba ntlm

Непрочитанное сообщение Happy_demon » 2007-11-29 13:17:12

это снова я. эксперементы поздно вечером привели к следующему. если сказать в IE использовать автоматическое определение настроек - он отрабатывается я так понимаю по следующему правилу в айпифв

Код: Выделить всё

02310  339800   77933049 fwd 192.168.25.2,3128 tcp from 192.168.25.0/24 to any dst-port 80,8080 in via rl1
02410       0          0 fwd 192.168.25.2,2121 tcp from 192.168.25.0/24 to any dst-port 21 in via rl1

и соответственно в логах нет имени пользователя.
если же указать явно прокси сервер в настройках и порт - в логах появляется и логин и домен. вот-вот ещё чуть чуть. собственно вопрос - как сделать так чтобы мне не надо было указывать на всех пользовательских машинах айпи и порт прокси? если это всё равно необходимо - как этот вопрос мне бы автоматизировать? я не знаю - ключ реестра или ещё как нибудь.


Вернуться в «FreeBSD»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей