Обсуждение SQUID+SAMS with NTLM

[decrups]

Я ж говорю новичок я во Freebsd.
Спасибо за помощь, но думаю она мне еще понадобиться.
Уберал коменты в файле smb.conf и все стало понятно.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[decrups]

Winbind не видит группы и пользователей домена
wbinfo -g
wbinfo -u
в ответ ничего.

[decrups]

А вот так все кажет
net ads group

Код: Выделить всё

Exchange Servers
Exchange Organization Administrators
Exchange Recipient Administrators
Exchange View-Only Administrators
Exchange Public Folder Administrators
ExchangeLegacyInterop
пРЕТБФПТЩ ОБУФТПКЛЙ УЕФЙ
рПМШЪПЧБФЕМЙ УЙУФЕНОПЗП НПОЙФПТБ
рПМШЪПЧБФЕМЙ ЦХТОБМПЧ РТПЙЪЧПДЙФЕМШОПУФЙ

Только как добиться чтобы названия групп на русском отображались коректно?
В статье же нормально gid=10000(пользователи домена)

[bagas]

в портах есть обновленный пакет самбы. samba35-3.5.9
приведите порты в актуальное состояние и обновите самбу.
Что говорит # wbinfo -m ?

[smvas09]

Доброго времени суток!
При установке samba, либо samba3 вылезает такая ошибка: Bad autotool stanza: autoconf:261/ Error code 1
Подскажите плиз новичку!

[smvas09]

Доброго времени суток!
При установке samba, либо samba3 вылезает такая ошибка: Bad autotool stanza: autoconf:261/ Error code 1
Подскажите плиз новичку!

Прошу прощения, по моему вопросу уже мильон ответов на этом шикарном сайте!
Не пинайте сильно)

[vadim64]

Код: Выделить всё

cat -n /usr/src/UPDATING

[corsik]

А если стоит 2 сетевухи, как самсу обьяснить чтобы на него заходили обращаюсь только к определенному айпи?

[vadim64]

самсу срать
обьясняйте это сквиду
или в фаерволе пишите

[aliennick]

у меня ФРИ нормально авторизировалась в домене, но команды wbinfo -g, wbinfo -u, ничего не возвращают... пустота после них

[bagas]

aliennick
обновите версию самбы! или поставить локаль cp1251 или utf8

[aliennick]

здравствуйте, поставил все до главы с рэжиком. создал юзера в самсе, один раз зашел, настроил как описано в инструкции... теперь не могу зайти, на экране выводится следующее:
aug 6 14:19:11 free nmbd[985]: .. сегодн. дата.. libsmb/nmblib.c :839(send_udp)
aug 6 14:19:11 free nmbd[985]: .. сегодн. дата.. packet send failed to 192.168.100.255(138) err NO=NO buffer space available

и так каждый раз как пытаюсь соединиться с sams по внутреннему ip http://192.168.100.222/sams

помогите пожалуйста

[aliennick]

все настроил все работает... почти. захожу в САМС настраиваю по НТЛМ (по-другому вообще не работает), добавляю пользователей... все вроде работает но... вот логи при старте системы: Aug 10 14:10:10 free winbindd[1012]: Idmap module nss already registered!
и вот САМС не видит юзеров из АД при тесте ответа. ручной старт, логи:

Aug 10 14:10:10 free winbindd[1012]: [2011/08/10 14:10:10, 0] winbindd/idmap.c:149(smb_register_idmap)
Aug 10 14:10:10 free winbindd[1012]: Idmap module nss already registered!
Aug 10 14:10:10 free squid[1018]: Squid Parent: child process 1020 started
Aug 10 14:13:13 free su: nick to root on /dev/pts/0
Aug 10 14:13:32 free winbindd[1000]: [2011/08/10 14:13:32, 0] winbindd/winbindd.c:190(winbindd_sig_term_handler)
Aug 10 14:13:32 free winbindd[1000]: Got sig[15] terminate (is_parent=1)
Aug 10 14:13:32 free nmbd[992]: [2011/08/10 14:13:32, 0] nmbd/nmbd.c:71(terminate)
Aug 10 14:13:32 free nmbd[992]: Got SIGTERM: going down...
Aug 10 14:13:33 free winbindd[1338]: [2011/08/10 14:13:33, 0] winbindd/winbindd_cache.c:2578(initialize_winbindd_cache)
Aug 10 14:13:33 free winbindd[1338]: initialize_winbindd_cache: clearing cache and re-creating with version number 1
а потом вообще САМС перестал реагировать на изменение правил, а в логах:
the url_rewriter helpers are crashing too rapidly need help!

[aliennick]

и еще... не считается траффик... вообще не ведутся никакие записи, логи, графики

[aliennick]

все решилось - поменял из конфига самбы security = ads на security = domain

[aliennick]

утром вот такие логи:

smbd version 3.4.9 started.
[A[A Copyright Andrew Tridgell and the Samba Team 1992-2009
[2011/08/03 16:09:47, 1] smbd/files.c:177(file_init)
file_init: Information only: requested 16384 open files, 7187 are available.
[2011/08/03 16:09:48, 1] passdb/pdb_tdb.c:503(tdbsam_open)
tdbsam_open: Converting version 0.0 database to version 4.0.
[2011/08/03 16:09:48, 1] passdb/pdb_tdb.c:282(tdbsam_convert_backup)
tdbsam_convert_backup: updated /usr/local/etc/samba34/passdb.tdb file.
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 1 (min password length), returning 0
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 2 (password history), returning 0
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 3 (user must logon to change password), returning 0
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 4 (maximum password age), returning 0
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 5 (minimum password age), returning 0
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 6 (lockout duration), returning 0
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 7 (reset count minutes), returning 0
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 8 (bad lockout attempt), returning 0
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 9 (disconnect time), returning 0
[2011/08/03 16:09:48, 1] lib/account_pol.c:325(account_policy_get)
account_policy_get: tdb_fetch_uint32 failed for field 10 (refuse machine password change), returning 0
[2011/08/03 16:43:23, 0] smbd/server.c:342(smbd_accept_connection)
open_sockets_smbd: accept: Software caused connection abort
[2011/08/04 21:39:33, 0] lib/util_sock.c:1491(get_peer_addr_internal)
getpeername failed. Error was Socket is not connected
[2011/08/05 09:24:52, 0] smbd/server.c:1065(main)
smbd version 3.4.9 started.
Copyright Andrew Tridgell and the Samba Team 1992-2009
[2011/08/05 09:24:53, 1] smbd/files.c:177(file_init)
file_init: Information only: requested 16384 open files, 7187 are available.
[2011/08/05 10:30:14, 0] lib/util_sock.c:1491(get_peer_addr_internal)
getpeername failed. Error was Socket is not connected
[2011/08/05 10:50:12, 0] smbd/server.c:342(smbd_accept_connection)
open_sockets_smbd: accept: Software caused connection abort
[2011/08/05 11:30:12, 0] lib/util_sock.c:1491(get_peer_addr_internal)
getpeername failed. Error was Socket is not connected
[2011/08/05 11:50:12, 0] smbd/server.c:342(smbd_accept_connection)
open_sockets_smbd: accept: Software caused connection abort
[2011/08/05 12:10:12, 0] smbd/server.c:342(smbd_accept_connection)
open_sockets_smbd: accept: Software caused connection abort
[2011/08/05 12:30:12, 0] smbd/server.c:342(smbd_accept_connection)
open_sockets_smbd: accept: Software caused connection abort
[2011/08/05 12:50:12, 0] lib/util_sock.c:1491(get_peer_addr_internal)
getpeername failed. Error was Socket is not connected
[2011/08/05 13:10:11, 0] smbd/server.c:342(smbd_accept_connection)
open_sockets_smbd: accept: Software caused connection abort
[2011/08/05 13:30:11, 0] lib/util_sock.c:1491(get_peer_addr_internal)
getpeername failed. Error was Socket is not connected
[2011/08/05 13:50:11, 0] smbd/server.c:342(smbd_accept_connection)
open_sockets_smbd: accept: Software caused connection abort
[2011/08/05 14:10:11, 0] smbd/server.c:342(smbd_accept_connection)
"./log.smbd" 176 lines, 10619 characters

[Lightman]

Установил связку по инсрукции но вот возникли проблемы: SQUID 2.7.9 MYSQL 5.1 PHP 5 SAMS 1.0.5

В правом окне
SAMS databases not connected

The base squidlog not created or the user dima has no rights to connection to it
The base squidctrl not created or the user dima has no rights to connection to it



SAMS documentation
english
russian

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /usr/local/share/sams/mysqltools.php on line 235
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /usr/local/share/sams/mysqltools.php on line 248
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /usr/local/share/sams/mysqltools.php on line 265
Warning: require() [function.require]: Unable to access ./lang/lang. in /usr/local/share/sams/main.php on line 166
Warning: require(./lang/lang.) [function.require]: failed to open stream: No such file or directory in /usr/local/share/sams/main.php on line 166
Fatal error: require() [function.require]: Failed opening required './lang/lang.' (include_path='.:/usr/local/share/pear') in /usr/local/share/sams/main.php on line 166

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /usr/local/share/sams/mysqltools.php on line 235

В левом окне

Notice: Undefined variable: function in /usr/local/share/sams/mysqltools.php on line 316
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /usr/local/share/sams/mysqltools.php on line 235
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /usr/local/share/sams/mysqltools.php on line 248
Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /usr/local/share/sams/mysqltools.php on line 265
Warning: require() [function.require]: Unable to access ./lang/lang. in /usr/local/share/sams/lframe.php on line 38
Warning: require(./lang/lang.) [function.require]: failed to open stream: No such file or directory in /usr/local/share/sams/lframe.php on line 38
Fatal error: require() [function.require]: Failed opening required './lang/lang.' (include_path='.:/usr/local/share/pear') in /usr/local/share/sams/lframe.php on line 38

В гугле погуглил, но ответа не нашел, мож кто скажет где тут копать надо&

У меня точно такая же проблема возникла, гугль сломал уже, подскажите, в чем дело может быть?

[Hilander]

Проблема при использовании Режика
когда в SAMS нажимешь реконфигурировать - скидываются права на /usr/local/rejik/_sams_banlists (права скидываются на рута - соответственно режик не может создать urls.cache)
вроде существует патч для дебиана, но для FreeBSD такого не нашел...

[Cancer]

Код: Выделить всё

//>ls -l /usr/local/rejik | grep _sams_banlists
drwxr-xr-x  8 squid  wheel       512  2 сен 11:40 _sams_banlists

Попробуйте сделать

Код: Выделить всё

chown -R squid:squid /usr/local/rejik/banlists

[Hilander]

Код: Выделить всё

ls -l /usr/local/rejik | grep _sams_banlists
drwxr-xr-x  3 root   wheel     512 Sep  5 22:55 _sams_banlists

делаю

Код: Выделить всё

avkgate# chown -R squid:squid /usr/local/rejik/_sams_banlists
avkgate# ls -l /usr/local/rejik | grep _sams_banlists
drwxr-xr-x  3 squid  squid     512 Sep  5 22:55 _sams_banlists

в админке нажимаю реконфигурировать и ...

Код: Выделить всё

avkgate# ls -l /usr/local/rejik | grep _sams_banlists
drwxr-xr-x  3 root   wheel     512 Sep  6 00:19 _sams_banlists

Эта проблема была известна разработчикам САМС. Ее решили в пакете для дебиана и закрыли тикет

[zoolite]

трабла комрадз, ничего не пропускает наружу. Делал всё как указано в статье.

[spoiler=Простыня текста]

Контроллер домена - Win2008R2 (IP 192.168.0.4 , domen.klm.trade)


uname -a

Код: Выделить всё

shlz.KLM.Trade 8.2-RELEASE-p3 FreeBSD 8.2-RELEASE-p3 #0: Tue Sep 27 18:07:27 UTC 2011     root@i386-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC  i386  

В локалку: 192.168.0.8
В Мир: 192.168.2.3

wbinfo -g
wbinfo -u

показывают группы и пользователей, билет кербероза есть, комп в домене.

Версии установленного:
apache-1.3.42
php5-5.3.8
rejik-3.2.6
samba35-3.5.11
sams-1.0.5_5,1
squid-2.7.9_1


rc.conf:

Код: Выделить всё

gateway_enable="YES"
hostname="shlz.KLM.Trade"
inetd_enable="YES"
moused_enable="YES"
sshd_enable="YES"
ifconfig_rl0="inet 192.168.0.8  netmask 255.255.255.0"
defaulrouter="192.168.0.8"
hostname="shlz.KLM.Trade"
ntpdate_enable="YES"
ntpdate_flags="192.168.0.4"
samba_enable="YES"
apache_enable="YES"
squid_enable="YES"
mysql_enable="YES"
sams_enable="YES"
ifconfig_rl1="inet 192.168.2.3  netmask 255.255.255.0"
defaultrouter="192.168.2.1"
hostname="shlz.KLM.Trade"

hosts:

Код: Выделить всё

::1			localhost.KLM.Trade localhost
127.0.0.1		localhost.KLM.Trade localhost
192.168.0.8		shlz.KLM.Trade shlz
192.168.0.8		shlz.KLM.Trade.
192.168.2.1		shlz.KLM.Trade
192.168.0.4		domen.KLM.Trade domen

nsswith.conf:

Код: Выделить всё

 
group: files winbind
group_compat: nis
hosts: files dns
networks: files
passwd: files winbind
passwd_compat: nis
shells: files 

resolv.conf:

Код: Выделить всё

 
domen	domen.KLM.Trade
nameserver	192.168.0.4
nameserver	85.90.192.9

sams.conf:

Код: Выделить всё

[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=sams
MYSQLPASSWORD=flopik
MYSQLVERSION=5.1
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/usr/local/etc/squid
SQUIDLOGDIR=/usr/local/etc/squid/logs
SQUIDCACHEDIR=/usr/local/squid/cache
SAMSPATH=/usr/local
SQUIDPATH=/usr/local/sbin
#SQUIDGUARDLOGPATH=/var/log
#SQUIDGUARDDBPATH=/var/db/squidGuard
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout 
LDAPSERVER=192.168.0.4
LDAPBASEDN=KLM.TRADE
LDAPUSER=kop
LDAPUSERPASSWD=qwe
LDAPUSERGROUP=Users
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=shutdown -h now
CACHENUM=0
SMB PORTS = 445

smb.conf:

Код: Выделить всё

 [global]
workgroup = KLMTRADE
server string = Sams Server
security = domain
local master = no
preferred master = no
hosts allow = 192.168.2. 192.168.0. 127.
domain master = no
load printers = no
log file = /var/log/samba/log.%m
max log size = 50
password server = domen.KLM.trade
realm = KLM.TRADE
dns proxy = no
display charset = utf8
unix charset = utf8
dos charset = cp866
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes 

В squid.conf трогалось только:

Код: Выделить всё

#  TAG: http_access
#       Allowing or Denying access based on defined access lists
#
#       Access to the HTTP port:
#       http_access allow|deny [!]aclname ...
#
#       NOTE on default values:
#
#       If there are no "access" lines present, the default is to deny
#       the request.
#
#       If none of the "access" lines cause a match, the default is the
#       opposite of the last line in the list.  If the last line was
#       deny, the default is allow.  Conversely, if the last line
#       is allow, the default will be deny.  For these reasons, it is a
#       good idea to have an "deny all" or "allow all" entry at the end
#       of your access lists to avoid potential confusion.
#
#Default:
http_access deny all

... пропущено...

#Recommended minimum configuration per scheme:
auth_param ntlm program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 5
auth_param ntlm keep_alive on
auth_param basic program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid Proxy-Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off 

kerb.conf:

Код: Выделить всё

[libdefaults]
default_realm = KLM.TRADE
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}

[realms]
KLM.TRADE = {
kdc = 192.168.0.4
admin_server = 192.168.0.4
kpasswd_server = 192.168.0.4
}
[domain_realm]
.KLM.trade = KLM.TRADE 

Логи Самбы:

В log.wb-BUILTIN , log.wb-KLMTRADE и log.wb-SHLZ одна и таже ошибка:

Код: Выделить всё

[2011/10/25 14:50:02.214641,  0] winbindd/winbindd.c:195(winbindd_sig_term_handler)
  Got sig[15] terminate (is_parent=0) 

log.мойкомп:

Код: Выделить всё

[2011/10/25 14:05:51.072253,  0] lib/util_sock.c:1441(get_peer_addr_internal)
  getpeername failed. Error was Socket is not connected
  read_fd_with_timeout: client 0.0.0.0 read error = Socket is not connected. 

log.windbindd

Код: Выделить всё

[2011/10/25 14:50:42.566016,  0] winbindd/winbindd_cache.c:3076(initialize_winbindd_cache)
  initialize_winbindd_cache: clearing cache and re-creating with version number 1 

log.windbidd-idmap:

Код: Выделить всё

[2011/10/25 14:50:02.210388,  0] winbindd/winbindd.c:195(winbindd_sig_term_handler)
  Got sig[15] terminate (is_parent=0) 

[/spoiler]
Больше нигде и ничего не правилось и не трогалось. Может есть очевидные ошибки по неопытности, Ваше мнение, в чем может быть загвоздка?

[decrups]

в портах есть обновленный пакет самбы. samba35-3.5.9
приведите порты в актуальное состояние и обновите самбу.
Что говорит # wbinfo -m ?

После долгого перерыва снова принялся за настройку squid.
Проблема в том что
названия групп на русском не отображаются коректно

Код: Выделить всё

net ads group
Exchange Servers
рПМШЪПЧБФЕМЙ ЦХТОБМПЧ РТПЙЪЧПДЙФЕМШОПУФЙ

wbinfo -g
wbinfo -u
в ответ ничего

Код: Выделить всё

wbinfo -m
BUILTIN
SAMS
AUTOCENTER

Значит так обновляю samba
установил cvsup

Код: Выделить всё

cd /usr/ports/net/cvsup
make install clean
rehash
ee /usr/share/examples/cvsup/ports-supfile
*default host=cvsup1.FreeBSD.org

обновил порты

Код: Выделить всё

cvsup -g -L 2 /usr/share/examples/cvsup/ports-supfile

установил новую версию samba

Код: Выделить всё

cd /usr/ports/net/samba35
make config
make install clean
rehash

удалил старую версию

Код: Выделить всё

pkg_delete samba35-3.5.6_1

ситуация не изменилась. что не так сделал? может надо сначала pkg_delete samba35-3.5.6_1 потом уже ставить сразу samba 3.6.1? или к обновлению samba еще надо поставить локаль cp1251 или utf8?

[LIIaLoPaI]

klist что пишет?
если билет не получен смотри:
DNS-разрешает ли имена
Привести krb к виду попроще (учитывайте регистры и точки, если с DNS все ОК никаких IP в конфиге, добавьте ведение логов при необходимости)

Код: Выделить всё

krb5.conf:
[libdefaults]
default_realm = ВАШ.ДОМЕН
clockskew = время
ticket_lifetime=время

[domain_realm]
.ваш.домен = ВАШ.ДОМЕН
ваш.домен = ВАШ.ДОМЕН

[realms]
ВАШ.ДОМЕН = {
kdc = СЕРВЕР.ВАШ.ДОМЕН
admin_server = СЕРВЕР.ВАШ.ДОМЕН
default_domain = ВАШ.ДОМЕН

Внимательно читаем man smb.conf секция SECURITY
Если SAMBA является членом WinAD SECURITY=ADS
В конфиге самбы:

Код: Выделить всё

сервер.ВАШ.ДОМЕН
ВАШ.ДОМЕН

Судя по логам не получен билет от krb'са

[decrups]

Код: Выделить всё

sams# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: isokolov@AUTOCENTER.LOCAL

  Issued           Expires          Principal
Nov 23 15:30:38  Nov 24 01:30:38  krbtgt/AUTOCENTER.LOCAL@AUTOCENTER.LOCAL
Nov 23 15:31:52  Nov 24 01:30:38  ldap/fls.autocenter.local@AUTOCENTER.LOCAL
Nov 23 15:31:52  Nov 24 01:30:38  ldap/fls.autocenter.local@AUTOCENTER.LOCAL
Nov 23 15:31:52  Nov 24 01:30:38  ldap/fls.autocenter.local@AUTOCENTER.LOCAL

[decrups]

smb.conf

Код: Выделить всё

[global]
workgroup = AUTOCENTER
server string = sams.autocenter.local
security = ADS
hosts allow = 10.18.224.0/24 10.1.8.248/29  127.
log file = /var/log/samba/log.%m
max log size = 50
password server = fls.autocenter.local
realm = AUTOCENTER.LOCAL
dns proxy = no
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
winbind separator = +
winbind use default domain = yes
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind enum users = yes
winbind enum groups = yes