Squid, winbind, samba, AD и множество других страшных словес

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-27 15:03:52

доброго времени суток :)
При организации прокси сервера с авторизацией в Active Directory руководствуясь ресурсом http://www.lissyara.su/?id=1375 все-таки возникли проблемы, не решившиеся гуглением и поиском по опеннету.

FreeBSD 7.2-release, Squid 3.0.19, Samba 3.0.37,1

1) не проходит NTLM аутентификация доменных пользователей в Squid, даже если п. 2 не имеет места случиться, НО
на команду

Код: Выделить всё

ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="kolos\www" -d10 -I /tmp
отвечает ОК.
2) периодически пропадает связь с доменом:
Работает kinit, но работает судя по всему он один

Код: Выделить всё

[root@GW /]# wbinfo -p
Ping to winbindd succeeded on fd 4
[root@GW /]# wbinfo -g
Error looking up domain groups
[root@GW /]# wbinfo -u
Error looking up domain users
[root@GW /]# wbinfo -a oP%my_pass
plaintext password authentication failed
error code was NT_STATUS_ACCESS_DENIED (0xc0000022)
error messsage was: Access denied
Could not authenticate user oP%my_pass with plaintext password
challenge/response password authentication failed
error code was NT_STATUS_ACCESS_DENIED (0xc0000022)
error messsage was: Access denied
Could not authenticate user oP with challenge/response

Связь в доменом появляется так же неожиданно, как и пропадает. Пропадает же зачастую после перезагрузки.

Конфиги:
smb.conf

Код: Выделить всё

[root@GW /]# more /usr/local/etc/smb.conf
[global]
        workgroup = KOLOS
        security = ADS
        password server = KOLOS.LOCAL
        realm = KOLOS.LOCAL
        netbios name = SQUID
        server string = Proxy server of kolos.local
        log level = 10
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        template homedir = /usr/home/%D/%U
        template shell=/bin/csh
[printers]
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
        browseable = No
        use client driver = yes
        public = No
krb5.conf

Код: Выделить всё

[root@GW /]# more /etc/krb5.conf
[libdefaults]
        default_realm = KOLOS.LOCAL

[realms]
        KOLOS.LOCAL = {
                kdc = AD.KOLOS.LOCAL
                admin_server = AD.KOLOS.LOCAL
        }

[domain_realm]
        .kolos.local = KOLOS.LOCAL

[logging]
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmin.log
        default = FILE:/var/log/krb5lib.log
nsswitch.conf

Код: Выделить всё

[root@GW /]# more /etc/nsswitch.conf
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files
Squid.conf кусками, если надо - выложу полностью

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth   --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 40
auth_param basic program /usr/local/bin/ntlm_auth   --helper-protocol=squid-2.5-basic
auth_param basic children 9
auth_param basic realm  Proxy server of kolos.local
auth_param basic credentialsttl 2 hours
external_acl_type ntgroup %LOGIN   /usr/local/libexec/squid/wbinfo_group.pl
acl     KOLOS            proxy_auth     REQUIRED
acl     www     external ntgroup www
acl     icq     external ntgroup icq
acl     allowwww external ntgroup allowww
acl     net     src 10.0.0.0/255.255.255.0
http_access     allow   KOLOS           mydomain_site
http_access     allow   allowwww        net
http_access     deny    bad_url
http_access     deny    deny_domains
http_access     allow   www     net
В логах:
log.winbindd-dc-connect

Код: Выделить всё

[2009/10/27 13:14:44, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon
log.wb-KOLOS

Код: Выделить всё

[2009/10/27 14:09:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:27:28, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 14:27:28, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 14:32:30, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 14:32:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 14:47:33, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 14:47:33, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 14:53:30, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 14:53:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 15:03:30, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 15:03:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 15:08:33, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 15:08:33, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение ---nebo--- » 2009-10-27 22:33:27

Попробуйте поменяйте

Код: Выделить всё

password server = KOLOS.LOCAL
на

Код: Выделить всё

password server = 1.1.1.1
, айпигник Вашего 2003 сервера, может криво резолвится ваше KOLOS.LOCAL

и в /etc/krb5.conf
пересмотрите секцию [realms], приблизительно до такого вида

Код: Выделить всё

[realms]
KOLOS.LOCAL={
kdc=1.1.1.1:88
admin_server=1.1.1.1:749
default_domain=kolos.local
}
1.1.1.1 - IP 2003-го соответственно.
...участки под застройку в живописном месте Интернет

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-28 10:29:13

---nebo--- благодарю Вас, очень метко указали мне на ошибку с

Код: Выделить всё

password server = KOLOS.LOCAL
, дело в том, что предыдущие админы наадминили 2 контроллера домена, отзывавшихся на KOLOS.LOCAL (10.0.0.10) и AD.KOLOS.LOCAL(10.0.0.1), первый же по неясным мне причинам упразднили и спрятали, но информация жива до сих пор :)

Попробовал сделать указанные Вами изменения. К сожалению ситуация осталась неизменной.

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение snorlov » 2009-10-28 12:38:47

А как дела со временем ... Я имею ввиду синхронизация его с временем контроллера домена...

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-28 15:51:53

snorlov синхронизации нет, Фря убегает вперед почти на 3 минуты. Т.е крит разницы в 5 мин не набирается.
если вы подскажете как (если это возможно) синхронизировать часы с AD буду только вам благодарен :smile:

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение snorlov » 2009-10-28 16:19:23

oP писал(а):snorlov синхронизации нет, Фря убегает вперед почти на 3 минуты. Т.е крит разницы в 5 мин не набирается.
если вы подскажете как (если это возможно) синхронизировать часы с AD буду только вам благодарен :smile:
Да вроде бы все просто, на контроллере домена должна быть запущена windows time, она стартует по умолчанию.
Ну а у тебя,
1. если не используешь ntp, то запускаешь ntpdate -b <ip контроллера домена>,
2. Если используешь ntp, то в качестве сервера укажи контроллер домена...

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-28 16:27:28

snorlov спасибо, я запомню :)

результаты:

Код: Выделить всё

[root@GW /]# wbinfo -g
Error looking up domain groups
[root@GW /]# wbinfo -u
Error looking up domain users
[root@GW /]# wbinfo -p
Ping to winbindd succeeded on fd 4
[root@GW /]# wbinfo -a oP%my_pass
plaintext password authentication succeeded
challenge/response password authentication succeeded
UPD после перезагрузки wbinfo заработал корректно

Код: Выделить всё

[root@GW /]# ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="kolos\allowwww" -d10 -I /tmp
[2009/10/28 16:30:03, 5] lib/debug.c:debug_dump_status(391)
  INFO: Current debug levels:
    all: True/10
    tdb: False/0
    printdrivers: False/0
    lanman: False/0
    smb: False/0
    rpc_parse: False/0
    rpc_srv: False/0
    rpc_cli: False/0
    passdb: False/0
    sam: False/0
    auth: False/0
    winbind: False/0
    vfs: False/0
    idmap: False/0
    quota: False/0
    acls: False/0
    locking: False/0
    msdfs: False/0
    dmapi: False/0
oP my_pass
[2009/10/28 16:30:09, 10] utils/ntlm_auth.c:manage_squid_request(2093)
  Got 'oP my_pass' from squid (length: 12).
[2009/10/28 16:30:09, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
  NT_STATUS_OK: Success (0x0)
OK

но Squid выдает ошибку ERR_INET_NO_ALLOW

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение snorlov » 2009-10-28 16:57:21

Ты начни с самого начала, kinit что дает?

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-28 16:59:35

kinit c самого начала и работал.

Код: Выделить всё

[root@GW /]# kinit SQUID
SQUID@KOLOS.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
[root@GW /]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: SQUID@KOLOS.LOCAL

  Issued           Expires          Principal
Oct 28 16:59:56  Oct 29 02:59:55  krbtgt/KOLOS.LOCAL@KOLOS.LOCAL

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение snorlov » 2009-10-28 17:03:56

Ldap у тебя какой версии 2.4 или же 2.3, я рекомендую, если стоит 2.4, заменить на 2.3.
Да и вот еще у меня была трудность в керберосе пришлось явно указывать протокол tcp
[realms]
KOLOS.LOCAL = {
kdc = tcp/AD.KOLOS.LOCAL
admin_server = AD.KOLOS.LOCAL
}

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-28 17:09:53

ошибка прорезалась на скрипте wbinfo_group.pl

Код: Выделить всё

[root@GW /]# echo SQUID AllowWWW | /usr/local/libexec/squid/wbinfo_group.pl
ERR
[root@GW /]# echo SQUID WWW | /usr/local/libexec/squid/wbinfo_group.pl
ERR
Ldap - вы про клиент? openldap-client-2.4.16

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение snorlov » 2009-10-28 17:26:30

oP писал(а): Ldap - вы про клиент? openldap-client-2.4.16
Именно...

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-28 18:17:48

Откатил ldap-client до 2.3, пришлось апнуть Samba до 71 (стояла 41), после рестарта winbind
wbinfo - все показывает
id - тоже
ntlm_auth - тоже

Squid продолжает кормить меня ERR_INET_NO_ALLOW ориентировочно по причине ниже:

Код: Выделить всё

[root@GW /]# echo SQUID www | /usr/local/libexec/squid/wbinfo_group.pl
ERR
т.е ничего не изменилось

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение snorlov » 2009-10-28 18:44:59

Ничего не понял, пользователей и группы стал показывать из домена ?


vovanj7
проходил мимо

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение vovanj7 » 2009-10-28 19:00:00

все тесты проходят
wbinfo -p
wbinfo -t
wbinfo -u
wbinfo -g
wbinfo -D FIRMA
net ads info
wbinfo --authenticate=FIRMA\\admn%Qwerty123
id FIRMA\\admin
wbinfo --get-auth-user
echo user2 developers | /usr/local/libexec/squid/wbinfo_group.pl
OK
пользователь авторизуется на прокси, но внешние acl не работают. Вот кусок конфига сквида
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
#
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl support external nt_group support
acl developers external nt_group developers
acl FIRMA proxy_auth REQUIRED
acl SSL_ports port 443 563 5190 5222
acl safe_ports port 80 # http
acl safe_ports port 20 # ftp
acl safe_ports port 21 # ftp
acl safe_ports port 443 # ssl
acl safe_ports port 5190 # icq
acl safe_ports port 5222 # qip infium

acl ICQ_port port 443 # ICQ
acl ICQ_port port 5190 # ICQ
acl ICQ_port port 1863 # MSN
acl ICQ_port port 5222 # ICQ

acl CONNECT method CONNECT

acl all src 0.0.0.0/0.0.0.0
cache deny all

acl localhost src 127.0.0.1/255.255.255.255
#
####ALLOW SITE FOR DEVELOPERS
#
acl allow_site dstdomain "/usr/local/etc/squid/allow_site.txt"
#
#### DENY SITE FOR SUPPORT
#
acl deny_site dstdomain "/usr/local/etc/squid/deny_site.txt"
#
#### ZAPRESCHENNIE v URL VIRAJENIYA
#
acl bad_url url_regex "/usr/local/etc/squid/deny_url.txt"
#
#### DENY DOMAIN NAMES
#
acl deny_domains dstdomain "/usr/local/etc/squid/deny_domains.txt"
#
####DENY IP & NETWORKS
#
acl bad_networks dst "/usr/local/etc/squid/bad_networks.txt"
#
#### LIST NOT AUTORIZED USERS
#
##acl not_autorized src "/usr/local/etc/squid/not_autorized.txt"
#
### Time limit
#
acl work-time time SMTWHFA 10:00-14:00
acl unwork-time time SMTWHFA 14:00-16:00
acl wokr-time time SMTWHFA 16:00-20:00
acl unwork-time time SMTWHFA 20:00-24:00
acl unwork-time time SMTWHFA 00:00-10:00
#
#
####DENY URL
#
http_access deny bad_url
#
####DENY Networks & IP
#
http_access deny bad_networks
#
####Deny domain names
#
http_access deny deny_domains
#
#
#
#### RAZRESHENIYA
#
#
#
http_access allow developers allow_site work-time
http_access deny developers work-time

http_access allow developers unwork-time

http_access deny all
если последним поставить разреш правило, то все работает

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-28 20:59:35

snorlov писал(а):Ничего не понял, пользователей и группы стал показывать из домена ?
Да да да! :) после синхронизации времени и рестарта winbindd
UPD после перезагрузки wbinfo заработал корректно
Сейчас проблема со Squid встала.(см выше)

vovanj7
проходил мимо

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение vovanj7 » 2009-10-29 12:05:03

отвечаю сам себе, после того, как вывел фрю из домена, удалил ее на КД и ввел ее заново, удалил и заново дал права
chown -R root:squid /var/db/samba/winbindd_privileged/
chmod -R 750 /var/db/samba/winbindd_privileged/
squid начал понимать внешние группы из АД

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-29 13:51:43

попробовал сделать как описано выше - результатов 0.
на всякий случай имена и пользователей и группы перевел в нижний регистр - опять же результата никакого, разве что wbinfo_group.pl очухался

Код: Выделить всё

[root@GW /]# echo oP allowwww | /usr/local/libexec/squid/wbinfo_group.pl
OK
в ходе дальнейшего пинания полуживого трупика возник вопрос, который показался мне до жути глупым.

Необходимо ли принудительное создание пользователя и группы "squid" для функционирования squid с AD? ведь в процессе настройки именно оному даются права на общение с winbindd. Я, из-за неполного понимания течения процесса создал пользователя squid в домене и через него идентифицировался в керберосе, а также вводил в домен. Может в этом и кроется ошибка?

Кусок лога, где мы запросили доступ к сайту и на нужной строчке конфига получаем отказ:

Код: Выделить всё

2009/10/29 17:45:10.784| parseHttpRequest: Complete request received
2009/10/29 17:45:10.784| clientParseRequest: FD 60: parsed a request
2009/10/29 17:45:10.784| commSetTimeout: FD 60 timeout 86400
2009/10/29 17:45:10.784| clientSetKeepaliveFlag: http_ver = 1.1
2009/10/29 17:45:10.784| clientSetKeepaliveFlag: method = GET
2009/10/29 17:45:10.784| client_side_request.cc(124) 0x293fc010 ClientRequestContext constructed
2009/10/29 17:45:10.784| client_side_request.cc(1004) Doing calloutContext->clientAccessCheck()
2009/10/29 17:45:10.784| ACLChecklist::preCheck: 0x29443010 checking 'http_access allow manager localhost'
2009/10/29 17:45:10.784| ACLList::matches: checking manager
2009/10/29 17:45:10.784| ACL::checklistMatches: checking 'manager'
2009/10/29 17:45:10.784| ACL::ChecklistMatches: result for 'manager' is 0
2009/10/29 17:45:10.784| ACLList::matches: result is false
2009/10/29 17:45:10.784| aclmatchAclList: 0x29443010 returning false (AND list entry failed to match)
2009/10/29 17:45:10.784| aclmatchAclList: async=0 nodeMatched=0 async_in_progress=0 lastACLResult() = 0 finished() = 0
2009/10/29 17:45:10.784| ACLChecklist::preCheck: 0x29443010 checking 'http_access deny manager'
2009/10/29 17:45:10.784| ACLList::matches: checking manager
2009/10/29 17:45:10.784| ACL::checklistMatches: checking 'manager'
2009/10/29 17:45:10.784| ACL::ChecklistMatches: result for 'manager' is 0
2009/10/29 17:45:10.784| ACLList::matches: result is false
2009/10/29 17:45:10.784| aclmatchAclList: 0x29443010 returning false (AND list entry failed to match)
2009/10/29 17:45:10.784| aclmatchAclList: async=0 nodeMatched=0 async_in_progress=0 lastACLResult() = 0 finished() = 0
2009/10/29 17:45:10.784| ACLChecklist::preCheck: 0x29443010 checking 'http_access     allow   allowwww  net'
2009/10/29 17:45:10.784| ACLList::matches: checking allowwww
2009/10/29 17:45:10.784| ACL::checklistMatches: checking 'allowwww'
2009/10/29 17:45:10.784| authenticateValidateUser: Auth_user_request was NULL!
2009/10/29 17:45:10.784| authenticateAuthenticate: broken auth or no proxy_auth header. Requesting auth header.
2009/10/29 17:45:10.784| aclMatchAcl: returning 0 sending authentication challenge.
2009/10/29 17:45:10.784| aclMatchExternal: ntgroup user not authenticated (0)
2009/10/29 17:45:10.784| ACL::ChecklistMatches: result for 'allowwww' is 0
2009/10/29 17:45:10.784| ACLList::matches: result is false
2009/10/29 17:45:10.784| aclmatchAclList: 0x29443010 returning false (AND list entry failed to match)
2009/10/29 17:45:10.784| ACLChecklist::markFinished: 0x29443010 checklist processing finished
2009/10/29 17:45:10.784| aclmatchAclList: async=1 nodeMatched=0 async_in_progress=0 lastACLResult() = 0 finished() = 1
2009/10/29 17:45:10.784| ACLChecklist::check: 0x29443010 match found, calling back with 2
2009/10/29 17:45:10.784| ACLChecklist::checkCallback: 0x29443010 answer=2
2009/10/29 17:45:10.784| The request GET http://portal.seomaste.ru/ is DENIED, because it matched 'allowwww'
2009/10/29 17:45:10.784| Access Denied: http://portal.seomaste.ru/

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-10-30 16:22:08

Код: Выделить всё

2009/10/30 16:08:31.086| authenticateAuthenticate: no connection authentication type
2009/10/30 16:08:31.086| AuthUser::AuthUser: Initialised auth_user '0x29453240' with refcount '0'.
2009/10/30 16:08:31.086| AuthUserRequest::AuthUserRequest: initialised request 0x29457034
2009/10/30 16:08:31.086| authenticateValidateUser: Validated Auth_user request '0x29457034'.
2009/10/30 16:08:31.086| authenticateValidateUser: Validated Auth_user request '0x29457034'.
2009/10/30 16:08:31.086| authenticateValidateUser: Validated Auth_user request '0x29457034'.
2009/10/30 16:08:31.086| aclMatchAcl: returning 0 sending credentials to helper.
2009/10/30 16:08:31.086| aclMatchExternal: ntgroup user not authenticated (0)
2009/10/30 16:08:31.086| ACL::ChecklistMatches: result for 'allowwww' is 0
2009/10/30 16:08:31.086| ACLList::matches: result is false
Нашел вот такой вот кусок, судя по всему он не совсем въезжает, что за юзер к нему въезжает. Есть у кого идеи от чего такое может произойти? :unknown:

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-11-02 16:38:47

Код: Выделить всё

2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.572| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
А вот это рисует squid -d, при попытке забраться куда-нибудь в просторы всемирной сети.

Пробовал вышеперечисленное с конфигом squid.conf в http://www.lissyara.su/?id=1375 , результат тот же самый

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение snorlov » 2009-11-02 17:03:05

oP писал(а):

Код: Выделить всё

2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.572| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
А вот это рисует squid -d, при попытке забраться куда-нибудь в просторы всемирной сети.

Пробовал вышеперечисленное с конфигом squid.conf в http://www.lissyara.su/?id=1375 , результат тот же самый
Попробуй отказаться от проверки вхождения в группы, т.е. оставь только аутенфикацию пользователя, потом добавь туда аутенфикацию через
одну группу --require-membership-of. Что я имею ввиду, а именно выяснить на чем отваливается, на wbinfo_group.pl или же трудности в самой аутенфикации...

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-11-02 17:22:59

snorlov писал(а): Попробуй отказаться от проверки вхождения в группы, т.е. оставь только аутенфикацию пользователя, потом добавь туда аутенфикацию через
одну группу --require-membership-of. Что я имею ввиду, а именно выяснить на чем отваливается, на wbinfo_group.pl или же трудности в самой аутенфикации...
Пробовал, помогает. Все проходит. Даже список запрещенных доменов лочится(!deny_domains).Но нужно разграничение по группам ( можно конечно списки пользователей ввести и определить каждому списку права, но не спортивно это)

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение snorlov » 2009-11-02 17:48:33

А скрипт wbinfo_group.pl работает?
echo <имя пользователя> <имя группы> | /usr/local/libexec/squid/wbinfo_group.pl что дает в случае правильности/неправильности параметров?
Еще раз посмотри права на скрипт и каталог winbind_privileged, у меня с этим были трудности, которые я обьехал путем включения acl на том и добавления соответсвующих прав squid:squid пользователю/группе через setfacl..., через chmod/chown не получалось....
По поводу скрипта, может прав не хватает на использование одного или нескольких модулей из перла пользователю squid. Сам squid можно попытаться запустить из под root'a
Последний раз редактировалось snorlov 2009-11-02 17:59:07, всего редактировалось 1 раз.

Аватара пользователя
oP
рядовой
Сообщения: 15
Зарегистрирован: 2009-10-27 14:08:10
Контактная информация:

Re: Squid, winbind, samba, AD и множество других страшных словес

Непрочитанное сообщение oP » 2009-11-02 17:53:30

с этим все корректно:

Код: Выделить всё

[root@GW /home/op]# echo oP allowwww | /usr/local/libexec/squid/wbinfo_group.pl
OK
[root@GW /home/op]# echo oP www | /usr/local/libexec/squid/wbinfo_group.pl
ERR