Squid, winbind, samba, AD и множество других страшных словес

[oP]

доброго времени суток
При организации прокси сервера с авторизацией в Active Directory руководствуясь ресурсом http://www.lissyara.su/?id=1375 все-таки возникли проблемы, не решившиеся гуглением и поиском по опеннету.

FreeBSD 7.2-release, Squid 3.0.19, Samba 3.0.37,1

1) не проходит NTLM аутентификация доменных пользователей в Squid, даже если п. 2 не имеет места случиться, НО
на команду

Код: Выделить всё

ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="kolos\www" -d10 -I /tmp

отвечает ОК.
2) периодически пропадает связь с доменом:
Работает kinit, но работает судя по всему он один

Код: Выделить всё

[root@GW /]# wbinfo -p
Ping to winbindd succeeded on fd 4
[root@GW /]# wbinfo -g
Error looking up domain groups
[root@GW /]# wbinfo -u
Error looking up domain users
[root@GW /]# wbinfo -a oP%my_pass
plaintext password authentication failed
error code was NT_STATUS_ACCESS_DENIED (0xc0000022)
error messsage was: Access denied
Could not authenticate user oP%my_pass with plaintext password
challenge/response password authentication failed
error code was NT_STATUS_ACCESS_DENIED (0xc0000022)
error messsage was: Access denied
Could not authenticate user oP with challenge/response

Связь в доменом появляется так же неожиданно, как и пропадает. Пропадает же зачастую после перезагрузки.

Конфиги:
smb.conf

Код: Выделить всё

[root@GW /]# more /usr/local/etc/smb.conf
[global]
        workgroup = KOLOS
        security = ADS
        password server = KOLOS.LOCAL
        realm = KOLOS.LOCAL
        netbios name = SQUID
        server string = Proxy server of kolos.local
        log level = 10
        log file = /var/log/samba/%m.%U.log
        max log size = 50000
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind use default domain = yes
        display charset = koi8-r
        unix charset = koi8-r
        dos charset = 866
        template homedir = /usr/home/%D/%U
        template shell=/bin/csh
[printers]
        comment = All Printers
        path = /var/spool/samba
        printable = Yes
        browseable = No
        use client driver = yes
        public = No

krb5.conf

Код: Выделить всё

[root@GW /]# more /etc/krb5.conf
[libdefaults]
        default_realm = KOLOS.LOCAL

[realms]
        KOLOS.LOCAL = {
                kdc = AD.KOLOS.LOCAL
                admin_server = AD.KOLOS.LOCAL
        }

[domain_realm]
        .kolos.local = KOLOS.LOCAL

[logging]
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmin.log
        default = FILE:/var/log/krb5lib.log

nsswitch.conf

Код: Выделить всё

[root@GW /]# more /etc/nsswitch.conf
group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files

Squid.conf кусками, если надо - выложу полностью

Код: Выделить всё

auth_param ntlm program /usr/local/bin/ntlm_auth   --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 40
auth_param basic program /usr/local/bin/ntlm_auth   --helper-protocol=squid-2.5-basic
auth_param basic children 9
auth_param basic realm  Proxy server of kolos.local
auth_param basic credentialsttl 2 hours
external_acl_type ntgroup %LOGIN   /usr/local/libexec/squid/wbinfo_group.pl
acl     KOLOS            proxy_auth     REQUIRED
acl     www     external ntgroup www
acl     icq     external ntgroup icq
acl     allowwww external ntgroup allowww
acl     net     src 10.0.0.0/255.255.255.0
http_access     allow   KOLOS           mydomain_site
http_access     allow   allowwww        net
http_access     deny    bad_url
http_access     deny    deny_domains
http_access     allow   www     net

В логах:
log.winbindd-dc-connect

Код: Выделить всё

[2009/10/27 13:14:44, 1] libads/cldap.c:recv_cldap_netlogon(219)
  no reply received to cldap netlogon

log.wb-KOLOS

Код: Выделить всё

[2009/10/27 14:09:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 10.0.0.255(137) ERRNO=Permission denied
[2009/10/27 14:17:00, 0] libsmb/nmblib.c:send_udp(793)
  Packet send failed to 192.168.6.255(137) ERRNO=Permission denied
[2009/10/27 14:27:28, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 14:27:28, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 14:32:30, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 14:32:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 14:47:33, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 14:47:33, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 14:53:30, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 14:53:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 15:03:30, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 15:03:30, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked
[2009/10/27 15:08:33, 0] libads/kerberos.c:ads_kinit_password(228)
  kerberos_kinit_password SQUID$@KOLOS.LOCAL failed: Clients credentials have been revoked
[2009/10/27 15:08:33, 1] nsswitch/winbindd_ads.c:ads_cached_connection(128)
  ads_connect for domain KOLOS failed: Clients credentials have been revoked

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[---nebo---]

Попробуйте поменяйте

Код: Выделить всё

password server = KOLOS.LOCAL

на

Код: Выделить всё

password server = 1.1.1.1

, айпигник Вашего 2003 сервера, может криво резолвится ваше KOLOS.LOCAL

и в /etc/krb5.conf
пересмотрите секцию [realms], приблизительно до такого вида

Код: Выделить всё

[realms]
KOLOS.LOCAL={
kdc=1.1.1.1:88
admin_server=1.1.1.1:749
default_domain=kolos.local
}

1.1.1.1 - IP 2003-го соответственно.

[oP]

---nebo--- благодарю Вас, очень метко указали мне на ошибку с

Код: Выделить всё

password server = KOLOS.LOCAL

, дело в том, что предыдущие админы наадминили 2 контроллера домена, отзывавшихся на KOLOS.LOCAL (10.0.0.10) и AD.KOLOS.LOCAL(10.0.0.1), первый же по неясным мне причинам упразднили и спрятали, но информация жива до сих пор

Попробовал сделать указанные Вами изменения. К сожалению ситуация осталась неизменной.

[snorlov]

А как дела со временем ... Я имею ввиду синхронизация его с временем контроллера домена...

[oP]

snorlov синхронизации нет, Фря убегает вперед почти на 3 минуты. Т.е крит разницы в 5 мин не набирается.
если вы подскажете как (если это возможно) синхронизировать часы с AD буду только вам благодарен

[snorlov]

snorlov синхронизации нет, Фря убегает вперед почти на 3 минуты. Т.е крит разницы в 5 мин не набирается.
если вы подскажете как (если это возможно) синхронизировать часы с AD буду только вам благодарен

Да вроде бы все просто, на контроллере домена должна быть запущена windows time, она стартует по умолчанию.
Ну а у тебя,
1. если не используешь ntp, то запускаешь ntpdate -b <ip контроллера домена>,
2. Если используешь ntp, то в качестве сервера укажи контроллер домена...

[oP]

snorlov спасибо, я запомню

результаты:

Код: Выделить всё

[root@GW /]# wbinfo -g
Error looking up domain groups
[root@GW /]# wbinfo -u
Error looking up domain users
[root@GW /]# wbinfo -p
Ping to winbindd succeeded on fd 4
[root@GW /]# wbinfo -a oP%my_pass
plaintext password authentication succeeded
challenge/response password authentication succeeded

UPD после перезагрузки wbinfo заработал корректно

Код: Выделить всё

[root@GW /]# ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="kolos\allowwww" -d10 -I /tmp
[2009/10/28 16:30:03, 5] lib/debug.c:debug_dump_status(391)
  INFO: Current debug levels:
    all: True/10
    tdb: False/0
    printdrivers: False/0
    lanman: False/0
    smb: False/0
    rpc_parse: False/0
    rpc_srv: False/0
    rpc_cli: False/0
    passdb: False/0
    sam: False/0
    auth: False/0
    winbind: False/0
    vfs: False/0
    idmap: False/0
    quota: False/0
    acls: False/0
    locking: False/0
    msdfs: False/0
    dmapi: False/0
oP my_pass
[2009/10/28 16:30:09, 10] utils/ntlm_auth.c:manage_squid_request(2093)
  Got 'oP my_pass' from squid (length: 12).
[2009/10/28 16:30:09, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
  NT_STATUS_OK: Success (0x0)
OK

но Squid выдает ошибку ERR_INET_NO_ALLOW

[snorlov]

Ты начни с самого начала, kinit что дает?

[oP]

kinit c самого начала и работал.

Код: Выделить всё

[root@GW /]# kinit SQUID
SQUID@KOLOS.LOCAL's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
[root@GW /]# klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: SQUID@KOLOS.LOCAL

  Issued           Expires          Principal
Oct 28 16:59:56  Oct 29 02:59:55  krbtgt/KOLOS.LOCAL@KOLOS.LOCAL

[snorlov]

Ldap у тебя какой версии 2.4 или же 2.3, я рекомендую, если стоит 2.4, заменить на 2.3.
Да и вот еще у меня была трудность в керберосе пришлось явно указывать протокол tcp
[realms]
KOLOS.LOCAL = {
kdc = tcp/AD.KOLOS.LOCAL
admin_server = AD.KOLOS.LOCAL
}

[oP]

ошибка прорезалась на скрипте wbinfo_group.pl

Код: Выделить всё

[root@GW /]# echo SQUID AllowWWW | /usr/local/libexec/squid/wbinfo_group.pl
ERR
[root@GW /]# echo SQUID WWW | /usr/local/libexec/squid/wbinfo_group.pl
ERR

Ldap - вы про клиент? openldap-client-2.4.16

[snorlov]

Ldap - вы про клиент? openldap-client-2.4.16

Именно...

[oP]

Откатил ldap-client до 2.3, пришлось апнуть Samba до 71 (стояла 41), после рестарта winbind
wbinfo - все показывает
id - тоже
ntlm_auth - тоже

Squid продолжает кормить меня ERR_INET_NO_ALLOW ориентировочно по причине ниже:

Код: Выделить всё

[root@GW /]# echo SQUID www | /usr/local/libexec/squid/wbinfo_group.pl
ERR

т.е ничего не изменилось

[snorlov]

Ничего не понял, пользователей и группы стал показывать из домена ?

[vovanj7]

у меня такая же проблема

[vovanj7]

все тесты проходят

wbinfo -p
wbinfo -t
wbinfo -u
wbinfo -g
wbinfo -D FIRMA
net ads info
wbinfo --authenticate=FIRMA\\admn%Qwerty123
id FIRMA\\admin
wbinfo --get-auth-user
echo user2 developers | /usr/local/libexec/squid/wbinfo_group.pl
OK

пользователь авторизуется на прокси, но внешние acl не работают. Вот кусок конфига сквида

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
#
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 30
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
acl support external nt_group support
acl developers external nt_group developers
acl FIRMA proxy_auth REQUIRED
acl SSL_ports port 443 563 5190 5222
acl safe_ports port 80 # http
acl safe_ports port 20 # ftp
acl safe_ports port 21 # ftp
acl safe_ports port 443 # ssl
acl safe_ports port 5190 # icq
acl safe_ports port 5222 # qip infium

acl ICQ_port port 443 # ICQ
acl ICQ_port port 5190 # ICQ
acl ICQ_port port 1863 # MSN
acl ICQ_port port 5222 # ICQ

acl CONNECT method CONNECT

acl all src 0.0.0.0/0.0.0.0
cache deny all

acl localhost src 127.0.0.1/255.255.255.255
#
####ALLOW SITE FOR DEVELOPERS
#
acl allow_site dstdomain "/usr/local/etc/squid/allow_site.txt"
#
#### DENY SITE FOR SUPPORT
#
acl deny_site dstdomain "/usr/local/etc/squid/deny_site.txt"
#
#### ZAPRESCHENNIE v URL VIRAJENIYA
#
acl bad_url url_regex "/usr/local/etc/squid/deny_url.txt"
#
#### DENY DOMAIN NAMES
#
acl deny_domains dstdomain "/usr/local/etc/squid/deny_domains.txt"
#
####DENY IP & NETWORKS
#
acl bad_networks dst "/usr/local/etc/squid/bad_networks.txt"
#
#### LIST NOT AUTORIZED USERS
#
##acl not_autorized src "/usr/local/etc/squid/not_autorized.txt"
#
### Time limit
#
acl work-time time SMTWHFA 10:00-14:00
acl unwork-time time SMTWHFA 14:00-16:00
acl wokr-time time SMTWHFA 16:00-20:00
acl unwork-time time SMTWHFA 20:00-24:00
acl unwork-time time SMTWHFA 00:00-10:00
#
#
####DENY URL
#
http_access deny bad_url
#
####DENY Networks & IP
#
http_access deny bad_networks
#
####Deny domain names
#
http_access deny deny_domains
#
#
#
#### RAZRESHENIYA
#
#
#
http_access allow developers allow_site work-time
http_access deny developers work-time

http_access allow developers unwork-time

http_access deny all

если последним поставить разреш правило, то все работает

[oP]

Ничего не понял, пользователей и группы стал показывать из домена ?

Да да да! после синхронизации времени и рестарта winbindd

UPD после перезагрузки wbinfo заработал корректно

Сейчас проблема со Squid встала.(см выше)

[vovanj7]

отвечаю сам себе, после того, как вывел фрю из домена, удалил ее на КД и ввел ее заново, удалил и заново дал права
chown -R root:squid /var/db/samba/winbindd_privileged/
chmod -R 750 /var/db/samba/winbindd_privileged/
squid начал понимать внешние группы из АД

[oP]

попробовал сделать как описано выше - результатов 0.
на всякий случай имена и пользователей и группы перевел в нижний регистр - опять же результата никакого, разве что wbinfo_group.pl очухался

Код: Выделить всё

[root@GW /]# echo oP allowwww | /usr/local/libexec/squid/wbinfo_group.pl
OK

в ходе дальнейшего пинания полуживого трупика возник вопрос, который показался мне до жути глупым.

Необходимо ли принудительное создание пользователя и группы "squid" для функционирования squid с AD? ведь в процессе настройки именно оному даются права на общение с winbindd. Я, из-за неполного понимания течения процесса создал пользователя squid в домене и через него идентифицировался в керберосе, а также вводил в домен. Может в этом и кроется ошибка?

Кусок лога, где мы запросили доступ к сайту и на нужной строчке конфига получаем отказ:

Код: Выделить всё

2009/10/29 17:45:10.784| parseHttpRequest: Complete request received
2009/10/29 17:45:10.784| clientParseRequest: FD 60: parsed a request
2009/10/29 17:45:10.784| commSetTimeout: FD 60 timeout 86400
2009/10/29 17:45:10.784| clientSetKeepaliveFlag: http_ver = 1.1
2009/10/29 17:45:10.784| clientSetKeepaliveFlag: method = GET
2009/10/29 17:45:10.784| client_side_request.cc(124) 0x293fc010 ClientRequestContext constructed
2009/10/29 17:45:10.784| client_side_request.cc(1004) Doing calloutContext->clientAccessCheck()
2009/10/29 17:45:10.784| ACLChecklist::preCheck: 0x29443010 checking 'http_access allow manager localhost'
2009/10/29 17:45:10.784| ACLList::matches: checking manager
2009/10/29 17:45:10.784| ACL::checklistMatches: checking 'manager'
2009/10/29 17:45:10.784| ACL::ChecklistMatches: result for 'manager' is 0
2009/10/29 17:45:10.784| ACLList::matches: result is false
2009/10/29 17:45:10.784| aclmatchAclList: 0x29443010 returning false (AND list entry failed to match)
2009/10/29 17:45:10.784| aclmatchAclList: async=0 nodeMatched=0 async_in_progress=0 lastACLResult() = 0 finished() = 0
2009/10/29 17:45:10.784| ACLChecklist::preCheck: 0x29443010 checking 'http_access deny manager'
2009/10/29 17:45:10.784| ACLList::matches: checking manager
2009/10/29 17:45:10.784| ACL::checklistMatches: checking 'manager'
2009/10/29 17:45:10.784| ACL::ChecklistMatches: result for 'manager' is 0
2009/10/29 17:45:10.784| ACLList::matches: result is false
2009/10/29 17:45:10.784| aclmatchAclList: 0x29443010 returning false (AND list entry failed to match)
2009/10/29 17:45:10.784| aclmatchAclList: async=0 nodeMatched=0 async_in_progress=0 lastACLResult() = 0 finished() = 0
2009/10/29 17:45:10.784| ACLChecklist::preCheck: 0x29443010 checking 'http_access     allow   allowwww  net'
2009/10/29 17:45:10.784| ACLList::matches: checking allowwww
2009/10/29 17:45:10.784| ACL::checklistMatches: checking 'allowwww'
2009/10/29 17:45:10.784| authenticateValidateUser: Auth_user_request was NULL!
2009/10/29 17:45:10.784| authenticateAuthenticate: broken auth or no proxy_auth header. Requesting auth header.
2009/10/29 17:45:10.784| aclMatchAcl: returning 0 sending authentication challenge.
2009/10/29 17:45:10.784| aclMatchExternal: ntgroup user not authenticated (0)
2009/10/29 17:45:10.784| ACL::ChecklistMatches: result for 'allowwww' is 0
2009/10/29 17:45:10.784| ACLList::matches: result is false
2009/10/29 17:45:10.784| aclmatchAclList: 0x29443010 returning false (AND list entry failed to match)
2009/10/29 17:45:10.784| ACLChecklist::markFinished: 0x29443010 checklist processing finished
2009/10/29 17:45:10.784| aclmatchAclList: async=1 nodeMatched=0 async_in_progress=0 lastACLResult() = 0 finished() = 1
2009/10/29 17:45:10.784| ACLChecklist::check: 0x29443010 match found, calling back with 2
2009/10/29 17:45:10.784| ACLChecklist::checkCallback: 0x29443010 answer=2
2009/10/29 17:45:10.784| The request GET http://portal.seomaste.ru/ is DENIED, because it matched 'allowwww'
2009/10/29 17:45:10.784| Access Denied: http://portal.seomaste.ru/

[oP]

Код: Выделить всё

2009/10/30 16:08:31.086| authenticateAuthenticate: no connection authentication type
2009/10/30 16:08:31.086| AuthUser::AuthUser: Initialised auth_user '0x29453240' with refcount '0'.
2009/10/30 16:08:31.086| AuthUserRequest::AuthUserRequest: initialised request 0x29457034
2009/10/30 16:08:31.086| authenticateValidateUser: Validated Auth_user request '0x29457034'.
2009/10/30 16:08:31.086| authenticateValidateUser: Validated Auth_user request '0x29457034'.
2009/10/30 16:08:31.086| authenticateValidateUser: Validated Auth_user request '0x29457034'.
2009/10/30 16:08:31.086| aclMatchAcl: returning 0 sending credentials to helper.
2009/10/30 16:08:31.086| aclMatchExternal: ntgroup user not authenticated (0)
2009/10/30 16:08:31.086| ACL::ChecklistMatches: result for 'allowwww' is 0
2009/10/30 16:08:31.086| ACLList::matches: result is false

Нашел вот такой вот кусок, судя по всему он не совсем въезжает, что за юзер к нему въезжает. Есть у кого идеи от чего такое может произойти?

[oP]

Код: Выделить всё

2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.572| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)

А вот это рисует squid -d, при попытке забраться куда-нибудь в просторы всемирной сети.

Пробовал вышеперечисленное с конфигом squid.conf в http://www.lissyara.su/?id=1375 , результат тот же самый

[snorlov]

Код: Выделить всё

2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.570| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)
2009/11/02 16:31:11.572| externalAclLookup: 'ntgroup' queue overload (ch=0x2925a010)

А вот это рисует squid -d, при попытке забраться куда-нибудь в просторы всемирной сети.

Пробовал вышеперечисленное с конфигом squid.conf в http://www.lissyara.su/?id=1375 , результат тот же самый

Попробуй отказаться от проверки вхождения в группы, т.е. оставь только аутенфикацию пользователя, потом добавь туда аутенфикацию через
одну группу --require-membership-of. Что я имею ввиду, а именно выяснить на чем отваливается, на wbinfo_group.pl или же трудности в самой аутенфикации...

[oP]

Попробуй отказаться от проверки вхождения в группы, т.е. оставь только аутенфикацию пользователя, потом добавь туда аутенфикацию через
одну группу --require-membership-of. Что я имею ввиду, а именно выяснить на чем отваливается, на wbinfo_group.pl или же трудности в самой аутенфикации...

Пробовал, помогает. Все проходит. Даже список запрещенных доменов лочится(!deny_domains).Но нужно разграничение по группам ( можно конечно списки пользователей ввести и определить каждому списку права, но не спортивно это)

[snorlov]

А скрипт wbinfo_group.pl работает?
echo <имя пользователя> <имя группы> | /usr/local/libexec/squid/wbinfo_group.pl что дает в случае правильности/неправильности параметров?
Еще раз посмотри права на скрипт и каталог winbind_privileged, у меня с этим были трудности, которые я обьехал путем включения acl на том и добавления соответсвующих прав squid:squid пользователю/группе через setfacl..., через chmod/chown не получалось....
По поводу скрипта, может прав не хватает на использование одного или нескольких модулей из перла пользователю squid. Сам squid можно попытаться запустить из под root'a

[oP]

с этим все корректно:

Код: Выделить всё

[root@GW /home/op]# echo oP allowwww | /usr/local/libexec/squid/wbinfo_group.pl
OK
[root@GW /home/op]# echo oP www | /usr/local/libexec/squid/wbinfo_group.pl
ERR