Squid + Авторизация по доменным группам

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
suspender
сержант
Сообщения: 160
Зарегистрирован: 2007-11-19 10:47:09

Squid + Авторизация по доменным группам

Непрочитанное сообщение suspender » 2008-06-20 18:33:45

Для выяснения принадлежности к группам wbinfo_group.pl выдаёт OK в случае, если wbinfo -r username выдаст в том числе gid проверяемой группы.
У меня wbinfo -r выдаёт гиды не всех групп в которые включён юзер.

Код: Выделить всё

[denzor@modjo ~]$ wbinfo -r den
10000
10026
10027
10039
10001
[denzor@modjo ~]$

В то же время id username выдаёт на этой машине всё правильно (все группы из AD показывает в которые юзер включён).

Код: Выделить всё

[denzor@modjo ~]$ id den
uid=10000(den) gid=10000(domain admins) groups=10000(domain admins),10027(schema admins),10026(enterprise admins),10003(inetfull),10039(acronisbackupserverusers),10070(omg)
[denzor@modjo ~]$ id -G den
10000 10027 10026 10003 10039 10070
[denzor@modjo ~]$
10001 в выводе wbinfo -r, и которого нет в выводе id - это builin+administrators, то есть к домену как бы не относится - и фиг с ним.

Код: Выделить всё

[denzor@modjo ~]$ wbinfo -G 10001
S-1-5-32-544
[denzor@modjo ~]$ wbinfo -s S-1-5-32-544
BUILTIN+Administrators 4
[denzor@modjo ~]$
То есть wbinfo -r показывает не все доменные группы в которые включён юзер, а id - показывает все. Ну вроде как фиг с ним, no problem, переписал wbinfo_group.pl под юзание вывода id -G - всё вроде норм стало в этой части. Но, норм стало на той тачке, на которой я это дело тестил. Когда я полез на машину, на которой всё это должно будет в боевом режиме какое то время, то столкнулся с следующим:

Код: Выделить всё

[denzor@shark ~]$ wbinfo -r den
10026
10005
10002
10013
10014
10006
10003
[denzor@shark ~]$ wbinfo -G 10013
S-1-5-21-2627159937-1398355928-1822202657-519
[denzor@shark ~]$ wbinfo -s S-1-5-21-2627159937-1398355928-1822202657-519
TYCON\Enterprise Admins 2
[denzor@shark ~]$ wbinfo -G 10026
S-1-5-21-2627159937-1398355928-1822202657-4606
[denzor@shark ~]$ wbinfo -s S-1-5-21-2627159937-1398355928-1822202657-4606
TYCON\omg 2
[denzor@shark ~]$ wbinfo -G 10005
S-1-5-21-2627159937-1398355928-1822202657-1358
[denzor@shark ~]$ wbinfo -s S-1-5-21-2627159937-1398355928-1822202657-1358
TYCON\inetfull 2
[denzor@shark ~]$ id den
uid=10004(den) gid=10002(domain admins) groups=10002(domain admins)
[denzor@shark ~]$ id -G den
10002
[denzor@shark ~]$
wbinfo -r показывает принадлежность юзера к искомым группам. А вот id уже нифига не показывает. id вообще показывает только одну группу.
Версии самб и там и там - одинаковые, конфиги в секции global - почти одинаковые. Но правда на тестовой машине FreeBSD 6.3, а на "боевой" FreeBSD 6.2 (не охота обновлять покачто, вдруг чё то не заведётся после обновы ?)

Вопрос: С чем связано такое разное поведение на 2-х разных машинах ? Куда следует покопать ? От каких мест конфигов это может зависеть ? В общем хочу выслушать любые околотемные мнения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

suspender
сержант
Сообщения: 160
Зарегистрирован: 2007-11-19 10:47:09

Re: Squid + Авторизация по доменным группам

Непрочитанное сообщение suspender » 2008-06-23 13:30:55

По прошествии какого то времени на обоих тачках wbinfo -r стал отрабатывать корректно ... Наверное это связано с каким то параметром времени обновления данных в winbindd. (Хотя winbindd я перезапускал). Мб кто нить ткнёт носом в этот параметр.