NTLM auth Squid 3.1

[2fast4u]

Не работает /usr/local/libexec/squid/wbinfo_group.pl результатом работы все время err проверяю пользователя на вхождение в группу а он err на виртуалке все тоже самое и выдает OK

wbinfo -u показывает пользователей
также показывает группы проходит wbinfo -t
в домен спокойно вошел
Логи samba нормальные без ошибок
в access.log пишет IP и denied без указания пользователя (((

В чем может быть затык?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Electronik]

домен на чём?
id $username выдаёт инфу о юзере?
nsswitch настроили?

[2fast4u]

Домен win 2003
Squid на freebsd 8.2
nsswitch

Код: Выделить всё

group: files winbind
    passwd:files winbind

не очень понял id $username тобишь wbinfo -i username ?

[2fast4u]

id admin выдает
id admin no such user

[Electronik]

а домене есть пользователь admin?

[2fast4u]

да есть
если делать так id мой_домен\\admin

Код: Выделить всё

uid=10000(мой_домен\admin) gid=10000(мой_домен\domain users) groups=10000(мой_домен\domain users),10004(мой_домен\group policy creator owners),10006(мой_домен\domain admins),10011(мой_домен\mail_admin),10015(мой_домен\ora_dba),10005(мой_домен\enterprise admins),10007(мой_домен\schema admins)

[2fast4u]

Код: Выделить всё

squid$ echo admin inet_full | /usr/local/libexec/squid/wbinfo_group.pl
ERR

Хотя admin в группе inet_full

[snorlov]

А что показывает

Код: Выделить всё

id admin

, если ничего то поведение абсалютно понятно...

[Electronik]

вкуриваем http://www.lissyara.su/articles/freebsd ... ejik-ntlm/

[kharkov_max]

А что показывает

Код: Выделить всё

id admin

, если ничего то поведение абсалютно понятно...

А у меня ни чего не показывает и все работает )))

Проверь права на каталог /var/db/samba34/winbindd_privileged должно быть 750 вроде как ...
Хотя наверное мой пост не в тему ...

[2fast4u]

Проверь права на каталог /var/db/samba34/winbindd_privileged должно быть 750 вроде как ...

У меня на каталоге уже 750
Каждый пост кстати !!!
не много разобрался не пойму что не так проверяю
echo admin inet_full | /usr/local/libexec/squid/wbinfo_group.pl
выдает ERR
а вот
echo admin ora_dba | /usr/local/libexec/squid/wbinfo_group.pl
OK
ora_dba группа Members can connect Oracle database

пробовал создавать группы разные все равно Err пробовал добавлять в существующие не пойму где подвох

[2fast4u]

Поменял группу в squid.conf с inet_full на ora_dba инет заработал .....но вновь создаваемые группы игнорируются

[snorlov]

Поменял группу в squid.conf с inet_full на ora_dba инет заработал .....но вновь создаваемые группы игнорируются

может дело в кеше winbind...

[2fast4u]

Поменял группу в squid.conf с inet_full на ora_dba инет заработал .....но вновь создаваемые группы игнорируются

может дело в кеше winbind...

если не сложно поподробнее где он хранит кэш?

[snorlov]

Я имею ввиду, что инфрмацию с АД winbind сосчитал в первом запуске в кеш, а потом его не обновляет...

[2fast4u]

Если бы так то перезапуск Самбы решал бы вопрос с кэшем....а после рестарта все по старому

[kharkov_max]

Если бы так то перезапуск Самбы решал бы вопрос с кэшем....а после рестарта все по старому

Кстати кеша 2
1й на самом squid, а второй в samba.

Т.е. общее время может быть равно сумме 1го и 2го.
Время синхронизировано на squid с AD ?

Мой совет.
Как то тоже долго долбался со связкой squid AD (не работало по какой то другой причине уже не помню).

В результуте вывел squid из AD leave, и удалил в AD.
Заново синхронизировал время на обоих ПК и перегрузил.
Ввел заново Squid в домен и перегрузил squid (ПК)
Ну собственно все и заработало.

Ради интереса можешь выкинуть smb.conf и squid.conf (без правил фильтрации).

[2fast4u]

Еще раз выгнал из домена загнал по новой упростил smb.conf теперь заработало вроде бы как даже правильно но все равно в jaile аналогичным образом настройки пользователей видит пускает а вот учетку admina не во всех группах видит других добавляешь видит админа нет ...

Ради интереса можешь выкинуть smb.conf и squid.conf (без правил фильтрации).

Так стало

Код: Выделить всё

#======================= Global Settings =====================================
[global]
   workgroup = OFFICE
   security = ADS
   password server = OFFICE.LOCAL
   realm = OFFICE.LOCAL
   netbios name = SQOF
   server string = Proxy server of my domain
   log file = /var/log/samba/%m.%U.log
   max log size = 50000
   winbind uid = 10000-20000
   winbind gid = 10000-20000
     
   winbind use default domain = yes
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866    
   

Так было

Код: Выделить всё

#======================= Global Settings =====================================
[global]
   workgroup = OFFICE
   security = ADS
   hosts allow = 192.168.1.
   password server = OFFICE.LOCAL
   realm = OFFICE.LOCAL
   netbios name = SQUID
   server string = Proxy server of my domain
   log file = /var/log/samba/%m.%U.log
   max log size = 1024
   passdb backend = tdbsam
   socket options = TCP_NODELAY
   local master = no
   os level = 0
   domain master = no
   preferred master = no
   domain logons = no
   
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes
   
   winbind use default domain = no
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866    

Squid.conf

Код: Выделить всё

http_port 192.168.1.66:3128
dns_nameservers 192.168.1.107

logformat skel_squid %tl.%tu %6tr %>a %Ss/%03>Hs %<st %rm %ru [%ul] %Sh/%<A %mt

acl localhost src 192.168.1.66/32
acl manager proto cache_object
http_access allow manager localhost

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

acl full external nt_group inet_full
acl users external nt_group inet_users
acl proba external nt_group 678

acl SSL_ports port 563
acl Safe_ports port 80
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 110
acl Safe_ports port 25
acl purge method PURGE
acl CONNECT method CONNECT
acl GET method GET

log_access deny localhost

http_access allow full
http_access allow users
http_access allow proba

http_access deny manager
http_access deny !Safe_ports
http_access deny all
http_reply_access allow all
icp_access allow all

logfile_rotate 0

# MEMORY CACHE OPTIONS
# --------------------------------------------------------------------
#  TAG: cache_mem       (bytes)
cache_mem 256 MB
#  TAG: maximum_object_size_in_memory   (bytes)
maximum_object_size_in_memory 80 KB

# DISK CACHE OPTIONS
# --------------------------------------------------------------------
#  TAG: cache_dir
cache_dir ufs /usr/local/squid/cache 1024 16 256
#  TAG: minimum_object_size     (bytes)
#Default:
minimum_object_size 10 KB
#  TAG: maximum_object_size     (bytes)
#Default:
maximum_object_size 32 MB
#  TAG: cache_swap_low  (percent, 0-100)
#  TAG: cache_swap_high (percent, 0-100)
#
cache_swap_low 90
cache_swap_high 95

# LOGFILE OPTIONS
# -------------------------------------------------------------------


#  TAG: access_log
access_log /var/log/squid/access.log squid

#  TAG: pid_filename
pid_filename /usr/local/squid/squid.pid

#  TAG: ftp_passive
ftp_passive on

# OPTIONS FOR TUNING THE CACHE
# --------------------------------------------------------------------

#  TAG: cache
acl QUERY urlpath_regex cgi-bin \?

#  TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320

#  TAG: quick_abort_min (KB)
#  TAG: quick_abort_max (KB)
#  TAG: quick_abort_pct (percent)
quick_abort_pct 80

# ADMINISTRATIVE PARAMETERS
# -------------------------------------------------------------------

#  TAG: cache_mgr
cache_mgr admins@mydomain.ru

#  TAG: cache_effective_user
cache_effective_user squid

#  TAG: error_directory
error_directory /usr/local/etc/squid/errors/ru

#  TAG: hosts_file
# hosts_file /etc/hosts

#  TAG: fqdncache_size  (number of entries)
fqdncache_size 16386

#  TAG: memory_pools_limit      (bytes)
memory_pools_limit 64 MB

#  TAG: forwarded_for   on|off
forwarded_for off

#  TAG: cachemgr_passwd
#cachemgr_passwd “your password” all

#  TAG: coredump_dir
coredump_dir /usr/local/squid/cache

#no_cache deny QUERY manager localhost to_localhost SSL_ports CONNECT url-JAVA
visible_hostname sqoff

[kharkov_max]

Мои замечания по конфигам.

smb.conf
Вроде как так должно быть
hosts allow = 192.168.1
а password server = OFFICE.LOCAL вроде как не совсем правильно. Должно быть
либо password server = *
либо password server = ip1 ip2
либо password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL

squid.conf
Возьмите за пример правильное оформление конфига из squid.conf.sample
Я имею ввиду порядо распложения в конфиге блоков и правил, а то у Вас все в перемешку.
Далее правила фильтрации http_access squid обрабатывает по порядку сверху вниз - порядок правил ВАЖЕН

Какого админа у Вас не видит ?
Доменного из Windows?

А если создадите новую учетку дадите ей права доменного админа ее видит ?

[2fast4u]

либо password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL

Так писать нельзя у меня строго OFFICE.LOCAL без DC1

Какого админа у Вас не видит ?
Доменного из Windows?

Да доменного не видит в группах

[2fast4u]

А если создадите новую учетку дадите ей права доменного админа ее видит ?

Нового доменого админа не видит в группе

Возьмите за пример правильное оформление конфига из squid.conf.sample
Я имею ввиду порядо распложения в конфиге блоков и правил, а то у Вас все в перемешку.
Далее правила фильтрации http_access squid обрабатывает по порядку сверху вниз - порядок правил ВАЖЕН

Спасибо за замечание переоформлю squid.conf.

[kharkov_max]

либо password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL

Так писать нельзя у меня строго OFFICE.LOCAL без DC1

Какого админа у Вас не видит ?
Доменного из Windows?

Да доменного не видит в группах

Так password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL писать можно и нужно
А еще лучше так password server = *
А вот так password server = OFFICE.LOCAL иногда не работает (от кривости настройки сети).

Смотрите

Код: Выделить всё

id user

показывает что пользователь есть в доменной группе ?
Странно как то получается, что обычных юзеров видит в группах, а Админов нет ...
Либо вы не все нам рассказываете, либо это глюки )))

Кстати у меня у самого

Код: Выделить всё

squid-3.1.16        HTTP Caching Proxy

Пока от версий выше отказался ... (что то не работало, уже не помню).
Попробуйте сделать portdowngrade до этой версии.

[2fast4u]

Так password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL писать можно и нужно
А еще лучше так password server = *

password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL отказался работать потерял домен. Оставил password server = *

показывает что пользователь есть в доменной группе ?

Код: Выделить всё

id supervisor
uid=10004(supervisor) gid=10006(domain users) groups=10006(domain users)

Либо вы не все нам рассказываете, либо это глюки )))

возможно что то упускаю..... и можно на ты ))
У меня squid 3.1.19 ....сделаю downgrade

[kharkov_max]

password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL

DC1 и DC2 это имена Ваших котроллеров доменов ))), это я так - на всякий случай ...
Т.е. у вас это могут быть к примеру SERVER.OFFICE.LOCAL и EXCHANGE.OFFICE.LOCAL.

Со squid эти доменные имена должны пинговаться и т.д, и так password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL - должно работать 100%.
Если не работает - ищите косяк в сети и решите его ...

Попробуйте более раннюю версию squid.

[2fast4u]

Все теперь понял что имелось ввиду под DC1 )))
все хорошо пингуется резолвится
portdowngrade запнулся ((( не принимает :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs ни все остальные из Handbooka