Не работает SQUID + ntlm_auth

[goshanecr]

Доброе утро товарищи!
Настраиваю по статье с Лисяриного сайта связку:
Контроллер домена: Win 2003 Server R2 EE AD
Шлюз: FreeBSD 8.1 Prerelease i386 + SAMBA 3.4.5_1 (только winbindd) + squid 3.1.4
Фря в домен нормально занесена, вот все проверки которые просят при вопросах с самбой:
wbinfo -u

Код: Выделить всё

список пользователей

wbinfo -g

Код: Выделить всё

список групп

wbinfo -t

Код: Выделить всё

checking the trust secret via RPC calls succeeded

wbinfo --get-auth-user

Код: Выделить всё

DOMAIN\squid-proxy%USERPASS

пользователь squid-proxy является администратором домена
wbinfo --set-auth-user=DOMAIN\squid-proxy%USERPASS
wbinfo -p

Код: Выделить всё

Ping to winbindd succeeded

В логах squid идут отлупы:

Код: Выделить всё

1276384312.037    730 10.0.0.253 TCP_DENIED/407 4970 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html
1276384312.229      3 10.0.0.253 TCP_DENIED/407 4904 GET http://www.squid-cache.org/Artwork/SN.png - NONE/- text/html

В логе системы такие сообщения:

Код: Выделить всё

Jun 13 05:50:36 BSD-SERV (ntlm_auth): [2010/06/13 05:50:36,  0] utils/ntlm_auth.c:833(manage_squid_ntlmssp_request)
Jun 13 05:50:36 BSD-SERV (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Jun 13 05:50:40 BSD-SERV (ntlm_auth): [2010/06/13 05:50:40,  0] utils/ntlm_auth.c:558(winbind_pw_check)
Jun 13 05:50:40 BSD-SERV (ntlm_auth):   Login for user []\[]@[DOMAIN] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/db/samba34/winbindd_privileged are set correctly.]
Jun 13 05:50:40 BSD-SERV (ntlm_auth): [2010/06/13 05:50:40,  0] utils/ntlm_auth.c:833(manage_squid_ntlmssp_request)
Jun 13 05:50:40 BSD-SERV (ntlm_auth):   NTLMSSP BH: NT_STATUS_ACCESS_DENIED

На каталог /var/db/samba34/winbindd_privileged и его содержимое права такие:
ls -la /var/db/samba34/winbindd_privileged

Код: Выделить всё

drwxr-x---  2 root  wheel  512 Jun 13 04:42 .
drwxr-xr-x  4 root  wheel  512 Jun 13 04:44 ..
srwxrwxrwx  1 root  wheel    0 Jun 13 04:42 pipe

Выставить на каталог права 755 не удаётся, потому как с правами отличными от стандартных не стартует samba:

Код: Выделить всё

Jun 13 05:53:24 BSD-SERV winbindd[47322]: [2010/06/13 05:53:24,  0] winbindd/winbindd_cache.c:2578(initialize_winbindd_cache)
Jun 13 05:53:24 BSD-SERV winbindd[47322]:   initialize_winbindd_cache: clearing cache and re-creating with version number 1
Jun 13 05:53:24 BSD-SERV winbindd[47322]: [2010/06/13 05:53:24,  0] lib/util_sock.c:1764(create_pipe_sock)
Jun 13 05:53:24 BSD-SERV winbindd[47322]:   invalid permissions on socket directory /var/db/samba34/winbindd_privileged
Jun 13 05:53:24 BSD-SERV winbindd[47322]: [2010/06/13 05:53:24,  0] winbindd/winbindd.c:1406(main)
Jun 13 05:53:24 BSD-SERV winbindd[47322]:   winbindd_setup_listeners() failed

Подскажите пожалуйста, что делать? Куда рыть? Вроде в инете пересмотрел массу всего и решения что-то таки не всплыло

smb.conf

Код: Выделить всё

[global]
workgroup = DOMAIN
server string = DOMAIN FreeBSD Internet access server
security = ads
hosts allow = 10.0.0. 127.
load printers = no
log file = /var/log/samba34/log.%m
max log size = 16
password server = 10.0.0.253
realm = DOMAIN.local
passdb backend = tdbsam
socket options = SO_RCVBUF=8192 SO_SNDBUF=8192
interfaces = 10.0.0.252/24
local master = no
os level = 33
domain master = no
preferred master = no
domain logons = no
wins support = no
wins server = 10.0.0.253
wins proxy = no
dns proxy = no
winbind use default domain = no
winbind uid = 10000 - 20000
winbind gid = 10000 - 20000
winbind enum users = yes
winbind enum groups = yes

squid.conf

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
authenticate_cache_garbage_interval 1 minute
authenticate_ttl 5 minute
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm FreeBSD Proxy server
auth_param basic credentialsttl 1 minute
auth_param basic casesensitive off
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32

acl localnet src 10.0.0.0/8     # RFC1918 possible internal network

acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT

acl INET-Users external nt_group inet-users
acl INET-Deny external nt_group inet-deny

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny to_localhost

#http_access deny INET-Deny
http_access allow INET-Users

http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128
cache_dir aufs /var/squid/cache 1000 16 256
access_log      /var/log/squid/access.log
cache_log       /var/log/squid/cache.log

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[goshanecr]

Решил при помощи поста Спасибо!