Статья squid+AD

[strelok]

Понятно, хорошо да не очень.
Мне не понятно почему когда сквид запущен напрямую нельзя обратиться к портам 110 и 25, если в ipfw они разрешены.
И пинг с локальной сети на внешние адреса не идет, хотя веб работает.
Может кто знает хоть в каком направлении копать? NAT?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[gmn]

Понятно, хорошо да не очень.
Мне не понятно почему когда сквид запущен напрямую нельзя обратиться к портам 110 и 25, если в ipfw они разрешены.
И пинг с локальной сети на внешние адреса не идет, хотя веб работает.
Может кто знает хоть в каком направлении копать? NAT?

NAT.
И поймите разницу между проксированием http через squid, и трансляцией через NAT.

[DimaS]

Уважаемые форумчане подскажите плиз, все сделал как в статье написано, но вот беда, авторизация работает, но сквид в логах пишит имя пользователь только на разрешенные адреса, если запись типа DENIED то и имени пользователя там нет, помогите плиз, что я не правильно делаю?

[Nike]

У нас тоже стоит скид с авторизацией через АД. Есть проблемы с обновлением винды через сайт Майкрософта и с некоторыми https сайтами с джавой. Кто-нибудь уже сталкивался с этой проблемой? Есть у нее решение?

[Alex_PC]

Вот такую ошибку выдаёт при команде
echo moilogin | /usr/local/libexec/squid/wbinfo_group.pl

Use of uninitialized value in concatenation (.) or string at /usr/local/libexec/squid/wbinfo_group.pl line 96, <STDIN> line 1.
все wbinfo -t(-g , -u) проходят на ура
комп ввёл в домен без проблем

А при запуску squid пишет следующее:

2008/04/25 15:48:01| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2008/04/25 15:48:01| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'
2008/04/25 15:48:01| WARNING cache_mem is larger than total disk cache space!
FATAL: authparam ntlm program /usr/local/bin/ntlm-auth: (2) No such file or directory
Squid Cache (Version 2.6.STABLE16): Terminated abnormally.
CPU Usage: 0.017 seconds = 0.012 user + 0.006 sys
Maximum Resident Size: 2636 KB
Page faults with physical i/o: 0
Abort trap: 6 (core dumped)

[Гость]

Так стоп))) с echo разобрался , написал пользователя и группу всё прошло.
Но вот ошибка при запуске squid осталась:(

[gmn]

А при запуску squid пишет следующее:
2008/04/25 15:48:01| WARNING cache_mem is larger than total disk cache space!
FATAL: authparam ntlm program /usr/local/bin/ntlm-auth: (2) No such file or directory

Исправьте это ... А потом уже дальше ...

[Alex_PC]

А при запуску squid пишет следующее:
2008/04/25 15:48:01| WARNING cache_mem is larger than total disk cache space!
FATAL: authparam ntlm program /usr/local/bin/ntlm-auth: (2) No such file or directory

Исправьте это ... А потом уже дальше ...

Cache_mem исправил
А вот почему ругается на ntlm_auth не пойму вапще
По этому пути "/usr/local/bin/ntlm-auth" всё нормально.
Проверял вот таким вот макаром:

ntlm-auth --username=administrator(домена win2003)
Запрашивает пароль , ввожу и всё ок. NT_STATUS_OK.

Тоесть сам ntln работает

[Alex_PC]

Туплю )))
Исправил.Осталось только вот это
2008/04/25 17:18:13| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2008/04/25 17:18:13| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'
2008/04/25 17:18:13| Squid is already running! Process ID 1724

[Alex_PC]

Так , разобрался с проверкой хелпера.
ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MyDOMAIN+domain users" -d10 -I /tmp
Проверка заработала именно в таком порядкеMyDOMAIN+domain users Тоесть имя домена+domain users. Когда писал через слэш "/" выдавал ошибку. Хотя в статье показывалось что пишется через слэш.

[gmn]

Проверка заработала именно в таком порядкеMyDOMAIN+domain users Тоесть имя домена+domain users. Когда писал через слэш "/" выдавал ошибку. Хотя в статье показывалось что пишется через слэш.

Это зависит от настроек самбы. Параметр "winbind separator".

[Alex_PC]

Народ , помогите с ошибкой этой

unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'

Хоть куда смотреть-то , в какую сторону ?

[ALex_PC]

Вообщем щас ситуация такая. Пости всё работает. Тоесть по группам из AD 2003 сквид спокойно распознаёт юзеров и соответственно ими можно манипулировать. QIP рабатает через ntlm , тоже никаких проблем. Но вот ошибка при запуске sqiuda осталась , пока не догнал как она влияет на работу

[Volkoff]

Настраивал по этой статье уже после настройки в качестве роутера по статье http://www.lissyara.su/?id=1127
Правильно ли я понимаю, что после поднятия squid все divert and fwd правила в конфиге файерволла надо закомментить?
И нужно ли оставлять в rc.conf gateway_enable="YES"?
Спасибо.
Кстати почему тема переместилась в OpenBSD?

[Lynx]

Добрый день!
Спасибо большое за статью, только вот по поводу всплывающего окна авторизации так и не решилось ничего? Я уже голову сломал Не могу понять ПОЧЕМУ?!
Если запрос попадает под правило "http_access deny ...", то всплывает окно с предложением ввести имя пользователя и пароль... и только после нажатия отмены появляется страничка, указанная в deny_info. Получается, что squid посылает браузеру 407 ответ Proxy Authentication Required, но так ведь не должно быть! Или я неправ?

[Lynx]

Решение оказалось простым, "дубовым", но все-таки не очевидным...
Короче... в следующей элементарной ситуации:

Код: Выделить всё

acl bad_user proxy_auth ivanov
deny_info ERR_MY bad_user
http_access deny bad_user
http_access allow all

... если я захожу под ивановым мне не запрещают сразу доступ, а дают шанс войти под другим вываливая окно авторизации, и только после нажатия "Отмены" отображается содержимое ERR_MY... в таком случае - очевидный минус - ДАЛЕКО НЕ КАЖДЫЙ пользователь догадается сначала нажать отмену и прочесть текст ошибки, большинство потянутся за телефоном)
Вот вариант решения проблемы:

Код: Выделить всё

acl bad_user proxy_auth ivanov
deny_info ERR_MY all
http_access deny bad_user all
http_access allow all

... но если нам нужно отображать разные ошибки для разных правил, придется создать несколько одинаковых (а может быть и разных) ацлек
Чтобы у ни у кого не возник вопрос, типа "А нафик это надо?" - ниже маленький пример для чего это было нужно мне

Код: Выделить всё

external_acl_type nt_group ttl=900 %LOGIN /usr/local/squid/wbinfo_group.pl
external_acl_type have_traff ttl=10 %LOGIN /usr/local/squid/enabled.sh # Проверяет не исчерпал ли пользователь свой лимит

acl err_have_not_traff          dst 0.0.0.0/0.0.0.0
acl err_not_in_inet_group       dst 0.0.0.0/0.0.0.0

deny_info       ERR_MY_TRAF_LIM         err_have_not_traff
deny_info       ERR_MY_INET_DENY        err_not_in_inet_group

acl inet_full external nt_group inet_full
acl MYDOMAIN proxy_auth REQUIRED
acl have_traff external have_traff
acl our_network dst 192.168.0.0/255.255.255.0

# Разрешаем всем без исключения доступ к внутренним ресурсам
http_access allow all our_network

# Запрещаем неавторизованных, не входящих в нужную группу и исчерпавшим свой лимит
http_access deny !MYDOMAIN
http_access deny !inet_full err_not_in_inet_group
http_access deny !have_traff err_have_not_traff

http_access allow have_traff

В результате пользователи нормально информируются Если пользователю запрещено использовать сеть Интернет, то ему сообщается об этом на странице ERR_MY_INET_DENY, а если у него кончился трафик - пользователя сразу же оповещают об этом на странице ERR_MY_TRAF_LIM. И никаких лишних вопросов! Теперь можно спокойно

[AlektroNik]

Народ подскажите почему авторизация на сквиде таким странным образом может проходит?
Мол сначала не пускает (с одной стороны правильно, не пускает, потомучто не получила имя домена+юзера), а потом получает и пропускает, но чет такие логи выскакивают переодически т.е. работа тормозится хотелось бы это убрать!
Есть у кого идеи по этому поводу???
P.S. Всю статью перерыл ничего подобного не нашел.
access.log:

Код: Выделить всё

12/May/2008:13:38:07 +0400     14 192.168.*.* - - - - - - TCP_DENIED/407 1998 GET http://desktopbsd.net/index.php?
12/May/2008:13:38:08 +0400    267 192.168.*.* DOMAIN+user DOMAIN+user - - - - TCP_MISS/200 6666 GET http://desktopbsd.net/index.php?
12/May/2008:14:22:22 +0400     40 192.168.*.* - - - - - - TCP_DENIED/407 1847 POST http://forum.lissyara.su/posting.php?
12/May/2008:14:22:22 +0400      8 192.168.*.* - - - - - - TCP_DENIED/407 2013 POST http://forum.lissyara.su/posting.php?
12/May/2008:14:22:23 +0400   1792 192.168.*.* DOMAIN+user DOMAIN+user - - - - TCP_MISS/200 3455 POST http://forum.lissyara.su/posting.php?
12/May/2008:14:22:26 +0400      5 192.168.*.* - - - - - - TCP_DENIED/407 1853 GET http://forum.lissyara.su/viewtopic.php?
12/May/2008:14:22:26 +0400     40 192.168.*.* - - - - - - TCP_DENIED/407 2019 GET http://forum.lissyara.su/viewtopic.php?
12/May/2008:14:22:26 +0400    238 192.168.*.* DOMAIN+user DOMAIN+user - - - - TCP_MISS/200 15986 GET http://forum.lissyara.su/viewtopic.php?

Вот что означает код ответа:

Код: Выделить всё

407 Proxy Authentication Required
Proxy-сервер должен санкционировать запрос перед тем, как пересылать его. Используется с заголовком Proxy-Authenticate.

И еще один вопросик! У меня почемуто не идет распределение по группам! Такое ощущение, что /usr/local/squid/libexec/wbinfo_group.pl как то неправильно работет!
Вот вывод этого скрипта:

Код: Выделить всё

# echo DOMAIN+user DOMAIN+inet_full | /usr/local/squid/libexec/wbinfo_group.pl
# OK

Если указывать без домена соответственно пишет ерор ... Это никак влиять не может?

Все делал по статье лисяры!
Вот конфиг сквида:

Код: Выделить всё

#       WELCOME TO SQUID 2.6.STABLE20-20080430
#       ----------------------------
# AlektroNik
# порт где слушаем
http_port 127.0.0.1:3128 transparent
http_port 192.168.0.33:3128
icp_port 0
#snmp_port 0

forwarded_for off
visible_hostname name.domain.corp

# список слов, которые будучи обнаруженными в URL
# вызывают обработку без кэширования
hierarchy_stoplist cgi-bin ?
# список ACL которые вызывают несовпадение с кэшем,
# и, запрос с ответом кэшироваться не будут
acl QUERY urlpath_regex cgi-bin \?
# собственно - правило что не кэшируем
cache deny QUERY
#no_cache deny QUERY
# сколько отдаём ему памяти (реально пожрёт втрое больше)
#cache_mem 100 MB
# Директория для кэша, числа - размер кэша в Mb,
# число директорий первого уровня, число директорий второго
# уровня в каждой директории первого.
cache_dir ufs /usr/local/squid/var/cache 100 16 256

# лог доступа - первый параметр путь, второй - формат
# форматы описаны в дефолтовом файле.

logformat alektronik %tl %6tr %>a %un %ul %ui %us %ue %ea %Ss/%03Hs %<st %rm %ru
access_log /usr/local/squid/var/logs/access.log alektronik

#access_log /usr/local/squid/var/logs/access.log squid

cache_log /usr/local/squid/var/logs/cache.log
# лог активности менеджера хранилища. Показывает, какие
# объекты были сохранениы/удалены из кэша и как долго.
# мне он не нужен, а места занимает прилично.
cache_store_log none
#cache_store_log /usr/local/squid/var/logs/store.log
# файл hosts, проверяемый при запуске. Из него берётся
# доменное имя и добавляется к неполным адресам (которые
# не содержат ни одной точки в имени)
#hosts_file /etc/hosts
# директория где хранятся HTML c текстами ошибок
error_directory /usr/local/squid/share/errors/Russian-1251
# pid файлик
pid_filename /usr/local/squid/var/logs/squid.pid

# программа редиректор (у меня сквидгард) для более простой
# и тонкой настройки правил использования инета
#redirect_program /usr/local/bin/squidGuard -c \
#       /usr/local/squid/etc/squidGuard.conf
url_rewrite_program /usr/local/bin/squidGuard -c \
       /usr/local/squid/etc/squidGuard.conf
# число процессов редиректора
#redirect_children 5
url_rewrite_children 5
#debug_options ALL,5


# авторизация
# нативная авторизация ослика
auth_param ntlm program /usr/local/bin/ntlm_auth        \
        --helper-protocol=squid-2.5-ntlmssp
# число детишек для авторизации - сколько процессов запуска
auth_param ntlm children 50
auth_param ntlm keep_alive on
# базовая авторизация для тех, кто не может нативную (я, на
# т.к. сижу из под FreeBSD, да и многие программы - наприме
# родной ICQ клиент от AOL)
auth_param basic program /usr/local/bin/ntlm_auth       \
        --helper-protocol=squid-2.5-basic
# Число процессов для базовой аворизации - значительно мень
# чем для основной, т.к. таких юзеров/программ немного
auth_param basic children 10
# Заголовок окна выводимый при запросе авторизации
auth_param basic realm Squid proxy-caching web server by Al
# время жизни авторизации - сколько кэшировать данные
# (для базовой авторизации)
auth_param basic credentialsttl 12 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds

# Credentials past their TTL are removed from memory
authenticate_ttl 0 seconds

# OPTIONS FOR FTP GATEWAYING
# -----------------------------------------------------------------------------

ftp_user Squid@

# OPTIONS FOR EXTERNAL SUPPORT PROGRAMS
# -----------------------------------------------------------------------------

unlinkd_program /usr/local/squid/libexec/unlinkd

#Suggested default:
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern .               0       20%     4320

# Apache mod_gzip and mod_deflate known to be broken so don't trust
# Apache to signal ETag correctly on such responses
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache


# ADMINISTRATIVE PARAMETERS
# -----------------------------------------------------------------------------

#  TAG: cache_mgr
#       Email-address of local cache manager who will receive
#       mail if the cache dies. The default is "webmaster".
#
#Default:
cache_mgr ***@ya.ru

mail_program mail

cache_effective_user squid

cache_effective_group wheel

icon_directory /usr/local/squid/share/icons

# Leave coredumps in the first cache dir
coredump_dir /usr/local/squid/var/cache


### ACL

# внешняя ACL для разруливания по группам
external_acl_type nt_group ttl=120 children=15 %LOGIN       \
        /usr/local/squid/libexec/wbinfo_group.pl


# пользователи у которых просто интернет - с ограничениями
acl     inet_users      external nt_group inet_users
# пользователи у которых есть тока аська
acl     inet_icq        external nt_group inet_icq
# пользователи с полными правами доступ в инет
acl     inet_full       external nt_group inet_full
# люди с доступом к серверу аналитики
acl     inet_analit     external nt_group inet_analit
# пользователи с ограниченным доступом в инет - тока
# определённый набор ресурсов и всё.
acl     inet_restrict   external nt_group inet_restrict
# Пользователи которым разрешён метод CONNECT
acl     inet_connect    external nt_group inet_connect
# ACL авторизации на проксе
acl     DOMAIN            proxy_auth     REQUIRED


# Описываем порты на которые разрешено лазить
acl     SSL_ports               port    443 563
acl     SSL_for_client_banks    port    910 8443 4500
# порты на которе можно ходить юзерам
acl     safe_ports              port    80      # http
acl     safe_ports              port    8080    # http
acl     safe_ports              port    21      # ftp
acl     safe_ports              port    443     # ssl
acl     ICQ_ports               port    5190    # ICQ
# надо ли? 1025-65535
acl     CONNECT                 method  CONNECT
# для /usr/ports/www/sqstat/
# копируете конфиг, ставите вместо 'host' - 'user'
# и начальство не оторвать от экрана :))
acl     manager                 proto   cache_object


# Описываем все сети все IP
acl all src 0.0.0.0/0.0.0.0
# описываем локалхост
acl localhost src 127.0.0.1/255.255.255.255
# описываем свою локалку только если конектимся через натов
acl localnet src 192.168.0.0/16
# acl до сайтов которые разрешены всем]
acl     mydomain_site      dstdomain       \
        "/usr/local/squid/share/db/allow_all.txt"
# запрещённые в URL выражения (для всего УРЛа)
acl     bad_url         url_regex       \
        "/usr/local/squid/share/db/deny_url.txt"
# запрещённые в URL выражения (для самого урла, без домена)
#acl    bad_url_2       urlpath_regex   \
#       "/usr/local/squid/share/db/deny_url_2.txt"
# запрещённые доменные имена
acl     deny_domains    dstdomain       \
        "/usr/local/squid/share/db/deny_domains.txt"
# acl для клиент-банков и прочих кому надо напрямую ходить
acl     client_banks    dst             \
        "/usr/local/squid/share/db/clinet_banks.txt"
# сети в которые ходить не надо (ICQ и прочия)
acl     bad_networks    dst             \
        "/usr/local/squid/share/db/bad_networks.txt"
# те кто ходят без авторизации
acl     not_autorized   src             \
        "/usr/local/squid/share/db/not_autorized.txt"
# список сайтов для тех у кого их определённый набор
acl     domains_for_restrict    dstdomain  \
        "/usr/local/squid/share/db/domains_for_restrict.txt"

### настройки доступа ####

# вводим свои определения для сообщений о
# отказе по ACL - пригодиться когда кто-то
# воет что не может попасть на определённый сайт
deny_info       ERR_BAD_URL             bad_url
deny_info       ERR_BAD_NETWORKS        bad_networks
deny_info       ERR_DENY_DOMAINS        deny_domains
deny_info       ERR_SAFE_PORTS          safe_ports
deny_info       ERR_SSL_PORTS           SSL_ports


# пропускаем sqstat
http_access     allow   manager         localhost
http_access     deny    manager

# выпускаем на неавторизуемые сайты
http_access     allow   client_banks
# выпускаем тех кто не авторизуется в принципе
# т.к. они не в домене и т.п.
http_access     allow   not_autorized
# Разрешаем всем доступ на сайт конторы
# Этим же правилом срубаются все неавторизованные
http_access     allow   DOMAIN           mydomain_site
# Разрешаем доступ ко всему группе 'inet_full'
http_access     allow   inet_full       all
# Зарубаем запрещённые куски url
http_access     deny    bad_url
# Разрешаем асечный порт тем у кого есть аська
http_access     allow   inet_icq        ICQ_ports
# зарубаем запрещённые сети
http_access     deny    bad_networks
# зарубаем запрещённые домены
http_access     deny    deny_domains
# Зарубаем коннект кроме как к SSL (надо ли группе отдельно
http_access     deny    CONNECT         !SSL_ports
# зарубаем все порты кроме safe_ports
http_access     deny    !safe_ports
# разрешаем инет обычным пользователям
http_access     allow   inet_users
# разрешаем инет ограниченным пользователям на разрешённые
http_access     allow   inet_restrict   domains_for_restrict
# Выпускаем народ из нашей подсети, если они не должны прох
http_access     allow   localnet


# зарубаем всё нах :)
# Для начала кустомизируем сообщение о ошибке.
# ERR_INET_NO_ALLOW - это имя файла в
# /usr/local/squid/share/errors/Russian-1251
# синтаксис описан
# http://wiki.squid-cache.org/SquidFaq/MiscFeatures
deny_info       ERR_INET_NO_ALLOW       all
http_access     deny                    all

[AlektroNik]

У меня было 2 проблемы:
1) Почемуто в access.log появляются строчки с ошибкой 407 (каким-то макаром запросы идут мимо прокси у получают отказ , до того момента пока клиент не передаст свои данные)

2) Скрипт /usr/local/squid/libexec/wbinfo_group.pl почему-то не хотел распределять по группам если у меня было выставлено в конфиге самбы "winbind use default domain = no" и соответственно wbinfo -u и wbinfo -g
выводил пользователей и группы как DOMAIN+user, а когда поставил "winbind use default domain =yes" выводить просто имя пользователя и распределение по АД-шным группам пашет на ура!

И соответственно вывод:
1) Если у кого есть идеи или коменты по первому вопросу был бы признателен!
2) Впринципе второй вопрос решился, но хотелосьбы чтобы /usr/local/squid/libexec/wbinfo_group.pl всетаки был универсальным и мог смотреть и так DOMAIN+user и так user!!! Есть идеи как это реализовать?

[Alex_PC]

Блин , вапще какая-то херь. Щас в логах cache.log пишет в конце

wbinfo: not found

И squid никого не пускает в инет.
В доступах стоит:

acl DOMAIN.NET proxy_auth REQUIRED
http_access allow DOMAIN.NET
http_access deny all

В access.log пишет TCP DENIED.
Чо за фигня , недавно пускал всех подряд. Причём все проверки wbinfo проходят. Echom получаю ответ от AD кто в какой группе. А на деле нифига не работает

[AletroNik_duble]

Блин , вапще какая-то херь. Щас в логах cache.log пишет в конце

wbinfo: not found

И squid никого не пускает в инет.
В доступах стоит:

acl DOMAIN.NET proxy_auth REQUIRED
http_access allow DOMAIN.NET
http_access deny all

В access.log пишет TCP DENIED.
Чо за фигня , недавно пускал всех подряд. Причём все проверки wbinfo проходят. Echom получаю ответ от AD кто в какой группе. А на деле нифига не работает

# sockstat | grep squid
Что выводит и приведи пример конкретный из access.log!
Это у тебя все политики или еще какие есть???

[Alex_PC]

Щас делаю всё по новой. По мере того как будет идти дело буду отписыватся. Со старой настройкой так ничего и не вышло.

[trinix]

Вопрос к тем кто админит данную связку на нагруженных системах.
Вобщем, есть проблема с демоном winbindd - виснет периодически. Настройки системы дефолтовые, в AD 300 юзверов, два PDC (в балансировке) + имеются парент домены штук 7 примерно. И кроме того система тормозит дико на командах top, ps, wbinfo - c ключиками, да и при входе в всистему по ssh думет долго кодга win-dd запущен. Запускал winbindd с ключиком -d9 вобщем имею просто вис, при чём на разных версиях системы и софта от 6.1 до 7.0 ну и самб было также разных из ветки 3.0.xx
Может кто сталкивался?

at: Hard Xeon 2.8 and 3.2/4Gb/2x36gb + 2x74gb SCSI U320 15000 rpm

[Alex Keda]

сранно...
у меня на фре 6.2 больше 500 народу - летает...
========
а вообще - да, замечал похожее - но на файлопомойке.
не дико конечно но притормаживат.
Но там человек 700-800 одновременно копошаться...

[trinix]

Вот и мне странно, на всякий случай вот листинг моего smb.conf

Код: Выделить всё

[global]
        workgroup = xxx
        realm = xxx
        server string = itcs
        security = ADS
        auth methods = winbind
        log file = /var/log/samba/log.%m
        max log size = 50
        dns proxy = No
        ldap ssl = no
        idmap uid = 10000-15000
        idmap gid = 10000-15000
        winbind separator = +
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes

А top у тебя не тормозит?

[Alex Keda]

неаа.
на запуске все задумываются, но после запуска пашут нормально