NTLM auth Squid 3.1

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-09 14:43:16

Не работает /usr/local/libexec/squid/wbinfo_group.pl результатом работы все время err проверяю пользователя на вхождение в группу а он err на виртуалке все тоже самое и выдает OK

wbinfo -u показывает пользователей
также показывает группы проходит wbinfo -t
в домен спокойно вошел
Логи samba нормальные без ошибок
в access.log пишет IP и denied без указания пользователя (((

В чем может быть затык?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: NTLM auth Squid 3.1

Непрочитанное сообщение Electronik » 2012-03-10 1:36:41

домен на чём?
id $username выдаёт инфу о юзере?
nsswitch настроили?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-10 12:06:54

Домен win 2003
Squid на freebsd 8.2
nsswitch

Код: Выделить всё

group: files winbind
    passwd:files winbind
не очень понял id $username тобишь wbinfo -i username ?

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-10 12:32:54

id admin выдает
id admin no such user

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: NTLM auth Squid 3.1

Непрочитанное сообщение Electronik » 2012-03-10 12:46:31

а домене есть пользователь admin?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-10 12:51:19

да есть
если делать так id мой_домен\\admin

Код: Выделить всё

uid=10000(мой_домен\admin) gid=10000(мой_домен\domain users) groups=10000(мой_домен\domain users),10004(мой_домен\group policy creator owners),10006(мой_домен\domain admins),10011(мой_домен\mail_admin),10015(мой_домен\ora_dba),10005(мой_домен\enterprise admins),10007(мой_домен\schema admins)

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-10 12:57:49

Код: Выделить всё

squid$ echo admin inet_full | /usr/local/libexec/squid/wbinfo_group.pl
ERR
Хотя admin в группе inet_full

snorlov
подполковник
Сообщения: 3716
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: NTLM auth Squid 3.1

Непрочитанное сообщение snorlov » 2012-03-10 22:22:24

А что показывает

Код: Выделить всё

id admin
, если ничего то поведение абсалютно понятно...

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: NTLM auth Squid 3.1

Непрочитанное сообщение Electronik » 2012-03-11 0:09:19

Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

Аватара пользователя
kharkov_max
капитан
Сообщения: 1808
Зарегистрирован: 2008-10-03 14:56:40

Re: NTLM auth Squid 3.1

Непрочитанное сообщение kharkov_max » 2012-03-12 15:56:51

snorlov писал(а):А что показывает

Код: Выделить всё

id admin
, если ничего то поведение абсалютно понятно...
А у меня ни чего не показывает и все работает )))

Проверь права на каталог /var/db/samba34/winbindd_privileged должно быть 750 вроде как ...
Хотя наверное мой пост не в тему ...

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-15 18:50:53

Проверь права на каталог /var/db/samba34/winbindd_privileged должно быть 750 вроде как ...
У меня на каталоге уже 750
Каждый пост кстати !!!
не много разобрался не пойму что не так проверяю
echo admin inet_full | /usr/local/libexec/squid/wbinfo_group.pl
выдает ERR
а вот
echo admin ora_dba | /usr/local/libexec/squid/wbinfo_group.pl
OK
ora_dba группа Members can connect Oracle database

пробовал создавать группы разные все равно Err пробовал добавлять в существующие не пойму где подвох

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-15 19:01:13

Поменял группу в squid.conf с inet_full на ora_dba инет заработал .....но вновь создаваемые группы игнорируются

snorlov
подполковник
Сообщения: 3716
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: NTLM auth Squid 3.1

Непрочитанное сообщение snorlov » 2012-03-15 22:59:19

2fast4u писал(а):Поменял группу в squid.conf с inet_full на ora_dba инет заработал .....но вновь создаваемые группы игнорируются
может дело в кеше winbind...

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-16 7:12:02

snorlov писал(а):
2fast4u писал(а):Поменял группу в squid.conf с inet_full на ora_dba инет заработал .....но вновь создаваемые группы игнорируются
может дело в кеше winbind...
если не сложно поподробнее где он хранит кэш?

snorlov
подполковник
Сообщения: 3716
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: NTLM auth Squid 3.1

Непрочитанное сообщение snorlov » 2012-03-16 9:17:58

Я имею ввиду, что инфрмацию с АД winbind сосчитал в первом запуске в кеш, а потом его не обновляет...

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-16 10:54:09

Если бы так то перезапуск Самбы решал бы вопрос с кэшем....а после рестарта все по старому

Аватара пользователя
kharkov_max
капитан
Сообщения: 1808
Зарегистрирован: 2008-10-03 14:56:40

Re: NTLM auth Squid 3.1

Непрочитанное сообщение kharkov_max » 2012-03-16 11:52:38

2fast4u писал(а):Если бы так то перезапуск Самбы решал бы вопрос с кэшем....а после рестарта все по старому
Кстати кеша 2
1й на самом squid, а второй в samba.

Т.е. общее время может быть равно сумме 1го и 2го.
Время синхронизировано на squid с AD ?

Мой совет.
Как то тоже долго долбался со связкой squid AD (не работало по какой то другой причине уже не помню).

В результуте вывел squid из AD leave, и удалил в AD.
Заново синхронизировал время на обоих ПК и перегрузил.
Ввел заново Squid в домен и перегрузил squid (ПК)
Ну собственно все и заработало.

Ради интереса можешь выкинуть smb.conf и squid.conf (без правил фильтрации).

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-16 18:28:49

Еще раз выгнал из домена загнал по новой упростил smb.conf теперь заработало вроде бы как даже правильно но все равно в jaile аналогичным образом настройки пользователей видит пускает а вот учетку admina не во всех группах видит других добавляешь видит админа нет ... :Search:
Ради интереса можешь выкинуть smb.conf и squid.conf (без правил фильтрации).
Так стало

Код: Выделить всё

#======================= Global Settings =====================================
[global]
   workgroup = OFFICE
   security = ADS
   password server = OFFICE.LOCAL
   realm = OFFICE.LOCAL
   netbios name = SQOF
   server string = Proxy server of my domain
   log file = /var/log/samba/%m.%U.log
   max log size = 50000
   winbind uid = 10000-20000
   winbind gid = 10000-20000
     
   winbind use default domain = yes
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866    
   
Так было

Код: Выделить всё

#======================= Global Settings =====================================
[global]
   workgroup = OFFICE
   security = ADS
   hosts allow = 192.168.1.
   password server = OFFICE.LOCAL
   realm = OFFICE.LOCAL
   netbios name = SQUID
   server string = Proxy server of my domain
   log file = /var/log/samba/%m.%U.log
   max log size = 1024
   passdb backend = tdbsam
   socket options = TCP_NODELAY
   local master = no
   os level = 0
   domain master = no
   preferred master = no
   domain logons = no
   
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes
   
   winbind use default domain = no
   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866    
Squid.conf

Код: Выделить всё

http_port 192.168.1.66:3128
dns_nameservers 192.168.1.107

logformat skel_squid %tl.%tu %6tr %>a %Ss/%03>Hs %<st %rm %ru [%ul] %Sh/%<A %mt

acl localhost src 192.168.1.66/32
acl manager proto cache_object
http_access allow manager localhost

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 50
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

acl full external nt_group inet_full
acl users external nt_group inet_users
acl proba external nt_group 678

acl SSL_ports port 563
acl Safe_ports port 80
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 631
acl Safe_ports port 110
acl Safe_ports port 25
acl purge method PURGE
acl CONNECT method CONNECT
acl GET method GET

log_access deny localhost

http_access allow full
http_access allow users
http_access allow proba

http_access deny manager
http_access deny !Safe_ports
http_access deny all
http_reply_access allow all
icp_access allow all

logfile_rotate 0

# MEMORY CACHE OPTIONS
# --------------------------------------------------------------------
#  TAG: cache_mem       (bytes)
cache_mem 256 MB
#  TAG: maximum_object_size_in_memory   (bytes)
maximum_object_size_in_memory 80 KB

# DISK CACHE OPTIONS
# --------------------------------------------------------------------
#  TAG: cache_dir
cache_dir ufs /usr/local/squid/cache 1024 16 256
#  TAG: minimum_object_size     (bytes)
#Default:
minimum_object_size 10 KB
#  TAG: maximum_object_size     (bytes)
#Default:
maximum_object_size 32 MB
#  TAG: cache_swap_low  (percent, 0-100)
#  TAG: cache_swap_high (percent, 0-100)
#
cache_swap_low 90
cache_swap_high 95

# LOGFILE OPTIONS
# -------------------------------------------------------------------


#  TAG: access_log
access_log /var/log/squid/access.log squid

#  TAG: pid_filename
pid_filename /usr/local/squid/squid.pid

#  TAG: ftp_passive
ftp_passive on

# OPTIONS FOR TUNING THE CACHE
# --------------------------------------------------------------------

#  TAG: cache
acl QUERY urlpath_regex cgi-bin \?

#  TAG: refresh_pattern
#Suggested default:
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320

#  TAG: quick_abort_min (KB)
#  TAG: quick_abort_max (KB)
#  TAG: quick_abort_pct (percent)
quick_abort_pct 80

# ADMINISTRATIVE PARAMETERS
# -------------------------------------------------------------------

#  TAG: cache_mgr
cache_mgr admins@mydomain.ru

#  TAG: cache_effective_user
cache_effective_user squid

#  TAG: error_directory
error_directory /usr/local/etc/squid/errors/ru

#  TAG: hosts_file
# hosts_file /etc/hosts

#  TAG: fqdncache_size  (number of entries)
fqdncache_size 16386

#  TAG: memory_pools_limit      (bytes)
memory_pools_limit 64 MB

#  TAG: forwarded_for   on|off
forwarded_for off

#  TAG: cachemgr_passwd
#cachemgr_passwd “your password” all

#  TAG: coredump_dir
coredump_dir /usr/local/squid/cache

#no_cache deny QUERY manager localhost to_localhost SSL_ports CONNECT url-JAVA
visible_hostname sqoff

Аватара пользователя
kharkov_max
капитан
Сообщения: 1808
Зарегистрирован: 2008-10-03 14:56:40

Re: NTLM auth Squid 3.1

Непрочитанное сообщение kharkov_max » 2012-03-17 7:42:24

Мои замечания по конфигам.

smb.conf
Вроде как так должно быть
hosts allow = 192.168.1
а password server = OFFICE.LOCAL вроде как не совсем правильно. Должно быть
либо password server = *
либо password server = ip1 ip2
либо password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL

squid.conf
Возьмите за пример правильное оформление конфига из squid.conf.sample
Я имею ввиду порядо распложения в конфиге блоков и правил, а то у Вас все в перемешку.
Далее правила фильтрации http_access squid обрабатывает по порядку сверху вниз - порядок правил ВАЖЕН

Какого админа у Вас не видит ?
Доменного из Windows?

А если создадите новую учетку дадите ей права доменного админа ее видит ?

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-17 11:39:37

kharkov_max писал(а): либо password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL
Так писать нельзя у меня строго OFFICE.LOCAL без DC1
Какого админа у Вас не видит ?
Доменного из Windows?
Да доменного не видит в группах

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-17 11:44:35

А если создадите новую учетку дадите ей права доменного админа ее видит ?
Нового доменого админа не видит в группе
Возьмите за пример правильное оформление конфига из squid.conf.sample
Я имею ввиду порядо распложения в конфиге блоков и правил, а то у Вас все в перемешку.
Далее правила фильтрации http_access squid обрабатывает по порядку сверху вниз - порядок правил ВАЖЕН
Спасибо за замечание :good: переоформлю squid.conf.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1808
Зарегистрирован: 2008-10-03 14:56:40

Re: NTLM auth Squid 3.1

Непрочитанное сообщение kharkov_max » 2012-03-17 17:04:21

2fast4u писал(а):
kharkov_max писал(а): либо password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL
Так писать нельзя у меня строго OFFICE.LOCAL без DC1
Какого админа у Вас не видит ?
Доменного из Windows?
Да доменного не видит в группах
Так password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL писать можно и нужно
А еще лучше так password server = *
А вот так password server = OFFICE.LOCAL иногда не работает (от кривости настройки сети).

Смотрите

Код: Выделить всё

id user
показывает что пользователь есть в доменной группе ?
Странно как то получается, что обычных юзеров видит в группах, а Админов нет ...
Либо вы не все нам рассказываете, либо это глюки )))

Кстати у меня у самого

Код: Выделить всё

squid-3.1.16        HTTP Caching Proxy
Пока от версий выше отказался ... (что то не работало, уже не помню).
Попробуйте сделать portdowngrade до этой версии.

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-18 9:43:27

Так password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL писать можно и нужно
А еще лучше так password server = *
password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL отказался работать потерял домен. Оставил password server = *
показывает что пользователь есть в доменной группе ?

Код: Выделить всё

id supervisor
uid=10004(supervisor) gid=10006(domain users) groups=10006(domain users)
Либо вы не все нам рассказываете, либо это глюки )))
возможно что то упускаю..... и можно на ты ))
У меня squid 3.1.19 ....сделаю downgrade

Аватара пользователя
kharkov_max
капитан
Сообщения: 1808
Зарегистрирован: 2008-10-03 14:56:40

Re: NTLM auth Squid 3.1

Непрочитанное сообщение kharkov_max » 2012-03-18 15:47:54

password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL

DC1 и DC2 это имена Ваших котроллеров доменов ))), это я так - на всякий случай ...
Т.е. у вас это могут быть к примеру SERVER.OFFICE.LOCAL и EXCHANGE.OFFICE.LOCAL.

Со squid эти доменные имена должны пинговаться и т.д, и так password server = DC1.OFFICE.LOCAL DC2.OFFICE.LOCAL - должно работать 100%.
Если не работает - ищите косяк в сети и решите его ...

Попробуйте более раннюю версию squid.

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: NTLM auth Squid 3.1

Непрочитанное сообщение 2fast4u » 2012-03-18 16:53:22

Все теперь понял что имелось ввиду под DC1 )))
все хорошо пингуется резолвится
portdowngrade запнулся ((( не принимает :pserver:anoncvs@anoncvs.tw.FreeBSD.org:/home/ncvs ни все остальные из Handbooka