Squid и ntlm

[mymymy]

Ситуация следующая:
Есть домен вин2003, где-то около 500-600 живых пользователей.

На фре

Код: Выделить всё

proxy# uname -a
FreeBSD proxy.xx.xx 6.2-RELEASE FreeBSD 6.2-RELEASE #1: Tue May 15 19:02:41 MSD 2007 

стоит squid-2.6.12_1, samba-3.0.24,1 с авторизацией с АД. В последнее время происходит следующее: работает пользователь,работает, потом оп-па. У него в браузере появляется окно авторизации. И что бы он туда не вводил-не авторизирует. Стоит понажимать несколько раз "Отмена" и потом обновить страницу - и все опять работает. И такая ситуация у многих пользователей несколько раз в день с все чаще и чаще...
Пробывал ставить больше auth_param ntlm children=300 , но без результата. Проверил время с контроллером- был разбег 300 сек. Поправил, но без эффекта. Куда копать, подскажите..

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

в логах что

[mymymy]

ну вот жду,пока не позвонят с жалобами,чтобы выложить логи..
Вспомнил одну деталь. С полгода назад падал контроллер, переподнимал его,заново заводил фрю в домен,т.к отказывалась авторизовывать пользователей.Но вышеописанной проблемы не наблюдалось..хз
А пока пересоздал кеш: squid -z и сижу жду..

[mymymy]

У пользователя, у которого выскочила авторизация:
access.log : Везде TCP_MISS на пользователя,у которого отвалился инет.
cache.log:

Код: Выделить всё

 Got user=[KATerehov] domain=[MTSCH] workstation=[V] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[KATerehov]@[V] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa208b207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa208b207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa208b207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[GDFrunze] domain=[MTSCH] workstation=[GK-NEW3] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[GDFrunze]@[GK-NEW3] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa2008207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa2008207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa2008207
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)
  Got NTLMSSP neg_flags=0xa2008207
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[IYTereshenkova] domain=[MTSCH] workstation=[PR-05] len1=24 len2=24
  Got user=[IYTereshenkova] domain=[MTSCH] workstation=[PR-05] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[IYTereshenkova]@[PR-05] failed due to [Reading winbind reply failed!]
  Login for user [MTSCH]\[IYTereshenkova]@[PR-05] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 0] utils/ntlm_auth.c:get_winbind_netbios_name(166)
  could not obtain winbind netbios name!
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[IYTereshenkova] domain=[MTSCH] workstation=[PR-05] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[IYTereshenkova]@[PR-05] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[IYTereshenkova] domain=[MTSCH] workstation=[PR-05] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[IYTereshenkova]@[PR-05] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(672)
  Got user=[KATerehov] domain=[MTSCH] workstation=[V] len1=24 len2=24
[2008/10/06 16:28:07, 3] utils/ntlm_auth.c:winbind_pw_check(429)
  Login for user [MTSCH]\[KATerehov]@[V] failed due to [Reading winbind reply failed!]
[2008/10/06 16:28:07, 3] libsmb/ntlmssp.c:debug_ntlmssp_flags(63)

[manefesto]

дык похоже не в сквиде проблема, а в winbind

[mymymy]

А вот что windindd кричит:

Код: Выделить всё

name Разрешенный доступ к съёмным носителям isn't a domain user (Domain Group)
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:fill_grent_mem(143)
name Exchange Domain Servers isn't a domain user (Domain Group)
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:fill_grent_mem(143)
name Admintel isn't a domain user (Domain Group)
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:fill_grent_mem(143)
name Admintel isn't a domain user (Domain Group)
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(610)
get_sam_group_entries: Failed to enumerate domain local groups!
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_pam.c:winbindd_pam_auth_crap(1394)
[    0]: pam auth crap domain: [MTSCH] user: IIvanov
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_getgrent(659)
[    0]: getgrent
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_setgrent_internal(465)
[    0]: setgrent
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_getgrent(659)
[    0]: getgrent
008/10/07 12:30:00, 3] nsswitch/winbindd_user.c:winbindd_setpwent_internal(450)
[    0]: setpwent
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_setgrent_internal(465)
[    0]: setgrent
008/10/07 12:30:00, 3] nsswitch/winbindd_user.c:winbindd_setpwent_internal(450)
[    0]: setpwent
008/10/07 12:30:00, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
[    0]: request interface version
008/10/07 12:30:00, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
[    0]: request location of privileged pipe
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:winbindd_list_groups(907)
[    0]: list groups
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND
008/10/07 12:30:00, 3] nsswitch/winbindd_group.c:get_sam_group_entries(579)

[mymymy]

а вот собственно в это месте вылезает у пользователей авторизация:

Код: Выделить всё

[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(483)
  [    0]: request interface version
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(516)
  [    0]: request location of privileged pipe
[2008/10/07 13:27:28, 3] nsswitch/winbindd_pam.c:winbindd_pam_auth_crap(1394)
  [    0]: pam auth crap domain: [MTSCH] user: IIVanov
[2008/10/07 13:27:28, 3] nsswitch/winbindd_pam.c:winbindd_pam_auth_crap(1394)
  [    0]: pam auth crap domain: [MTSCH] user: IIPetrov

[mymymy]

ну что, не может быть,что никто с этим не сталкивался

[snorlov]

Проверь количество групп в которые входит пользователь, если их больше 16-ти, то проблема в самой фре, у нее по умолчанию стоит ограничение в 16, поищи в i-net'е там есть что надо подправить в исходниках ядра.

[mymymy]

Проверь количество групп в которые входит пользователь, если их больше 16-ти, то проблема в самой фре, у нее по умолчанию стоит ограничение в 16, поищи в i-net'е там есть что надо подправить в исходниках ядра.

Если об этом http://forum.lissyara.su/viewtopic.php?f=8&t=10866 , то у меня нет таких пользователей

[-=AmoN=-]

Доброого времени суток, я может, конечно и не прав, но все же.... короче настроил себе squid+AD по аналогичной статье с этого сайта. Все работало, все хорошо, потом началась такая же беда, как и у Вас, один в один логи, я грешил на фаервол, потом , оказалось жесткий поддупливал, грешил и на это, а решилось, тем, что в конфиге самбы убрал
#winbind separator = +
# winbind enum users = yes
#winbind groups = yes

на момент настройки не особо вникал, да и во фре новичек, почему работало раньше - х\з....