Squid и ntlm

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Squid и ntlm

Непрочитанное сообщение mymymy » 2008-10-06 9:11:58

Ситуация следующая:
Есть домен вин2003, где-то около 500-600 живых пользователей.

На фре

Код: Выделить всё

proxy# uname -a
FreeBSD proxy.xx.xx 6.2-RELEASE FreeBSD 6.2-RELEASE #1: Tue May 15 19:02:41 MSD 2007 
стоит squid-2.6.12_1, samba-3.0.24,1 с авторизацией с АД. В последнее время происходит следующее: работает пользователь,работает, потом оп-па. У него в браузере появляется окно авторизации. И что бы он туда не вводил-не авторизирует. Стоит понажимать несколько раз "Отмена" и потом обновить страницу - и все опять работает. И такая ситуация у многих пользователей несколько раз в день с все чаще и чаще...
Пробывал ставить больше auth_param ntlm children=300 , но без результата. Проверил время с контроллером- был разбег 300 сек. Поправил, но без эффекта. Куда копать, подскажите..

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35159
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Squid и ntlm

Непрочитанное сообщение Alex Keda » 2008-10-06 11:44:35

в логах что
Убей их всех! Бог потом рассортирует...

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm

Непрочитанное сообщение mymymy » 2008-10-06 12:18:24

ну вот жду,пока не позвонят с жалобами,чтобы выложить логи..
Вспомнил одну деталь. С полгода назад падал контроллер, переподнимал его,заново заводил фрю в домен,т.к отказывалась авторизовывать пользователей.Но вышеописанной проблемы не наблюдалось..хз
А пока пересоздал кеш: squid -z и сижу жду..

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm

Непрочитанное сообщение mymymy » 2008-10-06 15:46:33

У пользователя, у которого выскочила авторизация:
access.log : Везде TCP_MISS на пользователя,у которого отвалился инет.
cache.log:

Код: Выделить всё

 Got user=[KATerehov] domain=[MTSCH] workstation=[V] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[KATerehov]@[V] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa208b207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa208b207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa208b207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[GDFrunze] domain=[MTSCH] workstation=[GK-NEW3] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[GDFrunze]@[GK-NEW3] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa2008207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa2008207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa2008207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa2008207
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[IYTereshenkova] domain=[MTSCH] workstation=[PR-05] len1=24 len2=24
  Got user=[IYTereshenkova] domain=[MTSCH] workstation=[PR-05] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[IYTereshenkova]@[PR-05] failed due to [Reading winbind reply failed!]
  Login for user [MTSCH]\[IYTereshenkova]@[PR-05] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[IYTereshenkova] domain=[MTSCH] workstation=[PR-05] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[IYTereshenkova]@[PR-05] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[IYTereshenkova] domain=[MTSCH] workstation=[PR-05] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[IYTereshenkova]@[PR-05] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[KATerehov] domain=[MTSCH] workstation=[V] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[KATerehov]@[V] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)


Аватара пользователя
manefesto
Группенфюррер
Сообщения: 6934
Зарегистрирован: 2007-07-20 8:27:30
Откуда: Пермь
Контактная информация:

Re: Squid и ntlm

Непрочитанное сообщение manefesto » 2008-10-06 17:08:25

дык похоже не в сквиде проблема, а в winbind
я такой яростный шо аж пиздеЦ
Изображение

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm

Непрочитанное сообщение mymymy » 2008-10-07 11:36:14

А вот что windindd кричит:

Код: Выделить всё

name Разрешенный доступ к съёмным носителям isn't a domain user (Domain Group)
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:fill_grent_mem(143)
name Exchange Domain Servers isn't a domain user (Domain Group)
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:fill_grent_mem(143)
name Admintel isn't a domain user (Domain Group)
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:fill_grent_mem(143)
name Admintel isn't a domain user (Domain Group)
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(610)
get_sam_group_entries: Failed to enumerate domain local groups!
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_pam.c:winbindd_pam_auth_crap(1394)
[    0]: pam auth crap domain: [MTSCH] user: IIvanov
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_getgrent(659)
[    0]: getgrent
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_setgrent_internal(465)
[    0]: setgrent
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_getgrent(659)
[    0]: getgrent
008/10/07 12:30:00, 3] nsswitch/winbindd_user.c:winbindd_setpwent_internal(450)
[    0]: setpwent
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_setgrent_internal(465)
[    0]: setgrent
008/10/07 12:30:00, 3] nsswitch/winbindd_user.c:winbindd_setpwent_internal(450)
[    0]: setpwent
008/10/07 12:30:00, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
[    0]: request interface version
008/10/07 12:30:00, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
[    0]: request location of privileged pipe
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_list_groups(907)
[    0]: list groups
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
:-o

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm

Непрочитанное сообщение mymymy » 2008-10-07 12:30:28

а вот собственно в это месте вылезает у пользователей авторизация:

Код: Выделить всё

[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_pam.c:winbindd_pam_auth_crap(1394)
  [    0]: pam auth crap domain: [MTSCH] user: IIVanov
[2008/10/07 13:27:28, 3] nsswitch/winbindd_pam.c:winbindd_pam_auth_crap(1394)
  [    0]: pam auth crap domain: [MTSCH] user: IIPetrov

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm

Непрочитанное сообщение mymymy » 2008-10-24 10:44:22

ну что, не может быть,что никто с этим не сталкивался

snorlov
подполковник
Сообщения: 3700
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid и ntlm

Непрочитанное сообщение snorlov » 2008-10-24 14:33:11

Проверь количество групп в которые входит пользователь, если их больше 16-ти, то проблема в самой фре, у нее по умолчанию стоит ограничение в 16, поищи в i-net'е там есть что надо подправить в исходниках ядра.

mymymy
сержант
Сообщения: 224
Зарегистрирован: 2008-05-16 21:23:38
Откуда: Москва

Re: Squid и ntlm

Непрочитанное сообщение mymymy » 2008-10-24 15:00:15

snorlov писал(а):Проверь количество групп в которые входит пользователь, если их больше 16-ти, то проблема в самой фре, у нее по умолчанию стоит ограничение в 16, поищи в i-net'е там есть что надо подправить в исходниках ядра.
Если об этом http://forum.lissyara.su/viewtopic.php?f=8&t=10866 , то у меня нет таких пользователей

-=AmoN=-
проходил мимо

Re: Squid и ntlm

Непрочитанное сообщение -=AmoN=- » 2009-03-18 14:16:50

Доброого времени суток, я может, конечно и не прав, но все же.... короче настроил себе squid+AD по аналогичной статье с этого сайта. Все работало, все хорошо, потом началась такая же беда, как и у Вас, один в один логи, я грешил на фаервол, потом , оказалось жесткий поддупливал, грешил и на это, а решилось, тем, что в конфиге самбы убрал
#winbind separator = +
# winbind enum users = yes
#winbind groups = yes

на момент настройки не особо вникал, да и во фре новичек, почему работало раньше - х\з....