Winbindd + SQUID + AD

[Plush]

Привет сызнова.
Все работало, крутилось и вертелось. И, забыв закон, пока работает - не трожь, начал подымать версии.
версия фри 6.2, версия самбы 3.0.25а (из портов), Squid Cache: Version 2.6.STABLE13, АД на 2003 винде стд (не в нативе, живет еще с 2001 лохматого, переезжал с 2000 стандартного, убивать жалко, да и работает покамись связка ДНС, АД, ДХЦП и тп).
сквид пиз****ит так:

Код: Выделить всё

2007/09/03 10:57:32| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2007/09/03 10:57:32| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'
2007/09/03 10:57:32| parseConfigFile: line 69 unrecognized: 'httpd_accel_host virtual'
2007/09/03 10:57:32| parseConfigFile: line 70 unrecognized: 'httpd_accel_port 80'
2007/09/03 10:57:32| parseConfigFile: line 71 unrecognized: 'httpd_accel_with_proxy on'
2007/09/03 10:57:32| parseConfigFile: line 72 unrecognized: 'httpd_accel_uses_host_header on'

на старый .conf-файл, заррраза.
а winbindd в логах пишет следующую общибку -

Код: Выделить всё

[2007/09/02 12:06:23, 5] auth/auth_util.c:fill_sam_account(1627)
  fill_sam_account: located username was [FIRMA\admin]
[2007/09/02 12:06:23, 10] auth/auth_util.c:create_local_nt_token(844)
  Create local NT token for S-1-5-21-1176822477-2953774140-1212521050-1151
[2007/09/02 12:06:23, 10] auth/auth_util.c:create_local_token(1039)
  Could not convert SID S-1-1-0 to gid, ignoring it
[2007/09/02 12:06:23, 10] auth/auth_util.c:create_local_token(1039)
  Could not convert SID S-1-5-2 to gid, ignoring it
[2007/09/02 12:06:23, 10] auth/auth_util.c:create_local_token(1039)
  Could not convert SID S-1-5-11 to gid, ignoring it
[2007/09/02 12:06:23, 10] auth/auth_util.c:debug_nt_user_token(454)
  NT user token of user S-1-5-21-1176822477-2953774140-1212521050-1151
  contains 10 SIDs
  SID[  0]: S-1-5-21-1176822477-2953774140-1212521050-1151
  SID[  1]: S-1-5-21-1176822477-2953774140-1212521050-512
  SID[  2]: S-1-1-0
  SID[  3]: S-1-5-2
  SID[  4]: S-1-5-11
  SID[  5]: S-1-5-21-1176822477-2953774140-1212521050-513
  SID[  6]: S-1-5-21-1176822477-2953774140-1212521050-3131
  SID[  7]: S-1-5-21-1176822477-2953774140-1212521050-1243
  SID[  8]: S-1-5-32-544
  SID[  9]: S-1-5-32-545
  SE_PRIV  0xff0 0x0 0x0 0x0

и не пускает даже в самбу.
самое обидное, все на конфе, работавшей до обновления.
ну и собственно, банальность - куда смотреть, что рыть?
кто поможет, тому с полки пирожок ))))

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

формат конфига поменялся. Вернее - некоторые опции.
Смотри дефолтовый на тему что где поменять

[Plush]

оки, а с winbind что делать? не авторизует зверьков из домена

[Alex Keda]

самбу с какой на какую поднял?
============
usr/ports/UPDATING неплохобы читать...

[Plush]

с 3.0.21. Читаю. Вот это и просил, собственно - где читать, куда смотреть. Не знал, что UPDATING есть.
кста, lissyara, а что за тема с рассылкой по фре? я тоже такую хочу.

ЗЫ Самое обидное - нифига не понял, почему глючит winbindd

[Alex Keda]

непонял про расылку...
========
а в самбе чё-то меняли в одной из последних версий - положение файлов каких-то чтоли...

[Plush]

вот тут в почтовой софтине рассылка по фре на скрине- http://forum.lissyara.su/viewtopic.php?f=8&t=4775

[Alex Keda]

http://lists.freebsd.org/mailman/listinfo
ну знаетели..
это лишь малый процент того что интеерсно - и то всё читать не успеваю

[comandor]

[quote="Plush"]

Код: Выделить всё

2007/09/03 10:57:32| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2007/09/03 10:57:32| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'

вот:
http://wiki.squid-cache.org/ConfigExamp ... cationNTLM
Если точнее вот:
http://wiki.squid-cache.org/ConfigExamp ... 3c87300abd

[Alex_PC]

Народ , ну кто чем может. До сих пор вот такая ошибка

2007/09/03 10:57:32| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2007/09/03 10:57:32| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'

Все тесты на работоспособность squidа с AD проходят на ура. Видит все группы , пользователей из AD. QIP пустил работать через squid, работает через NTLM беспроблем. В логах пишет что домен/пользователь , то есть сквид видит AD. Непойму куда копать.

[Alex_PC]

Вообщем взял и закаментил эти 2 строчки. И больше нет ошибки
Жду ваших каментов.
Кстати , ни как не могу добится чтобы пускал только ту группу которую надо.
Прописал следующее:

acl inet_group external nt_group inet_group
acl MY_DOMAIN proxy_auth REQUIRED
http_access allow inet_group
http_access ddeny all

Прикол в том что в AD убираю пользователя из группы inet_group, а он всё равно ходит в инет.

[Alex Keda]

значит acl неправильно расположены

[Alex_PC]

значит acl неправильно расположены

Менял местами , непомогает
причём , убираю себя из этой группы ну чтобы уже точно знать.
echoм делаю проверку , мол есть я в такой группе - пишет error затем завожу себя обратно , пишет что ОК , мол есть ты там.
Тоесть фряха отчётливо разбирает естьли в AD такой пользователь иле нет.

[Alex Keda]

значит acl неправильно расположены

[Alex_PC]

Вот ещё какой касяк. Почему параметр

winbind separator =

кроме знака + ничего не воспринимает ??? ставил / ругается , а на знак - нет

[Alex Keda]

а зачем вообще надо менять или трогать дефолтовый сепаатор?
Я его никогда не трогал - и всё всегда работало.

[Alex_PC]

С сепаратором понял.
Щас новый прикол вылез.Дал права на папку winbind_priveleged ну как в статье писалось. И пипец , wbinfo перестал пахать. Логининюсь через ssh под root.

[Alex Keda]

нука покажи чё там за права получились?

[Alex_PC]

нука покажи чё там за права получились?

неа )))) я там напортачил мама негорюй. Разобрался с правами.