Squid3+AD win 2008 R2

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
fatumator
проходил мимо
Сообщения: 3
Зарегистрирован: 2010-03-03 13:01:23

Squid3+AD win 2008 R2

Непрочитанное сообщение fatumator » 2010-03-03 13:45:12

Задача организовать авторизацию в Squid3 по группам AD win 2008R2.
Ставил по статье http://sys-adm.org.ua/www/squid-ad.php
http://www.lissyara.su/?id=2075
Собственно ошибка вот:

Код: Выделить всё

@gateway:~ # wbinfo --authenticate=MY-DOMAIN\\atom%ghjnjrjk
plaintext password authentication failed
error code was NT_STATUS_PIPE_DISCONNECTED (0xc00000b0)
error messsage was: Named pipe dicconnected
Could not authenticate user MY-DOMAIN\atom%ghjnjrjk with plaintext password
challenge/response password authentication failed
error code was NT_STATUS_PIPE_DISCONNECTED (0xc00000b0)
error messsage was: Named pipe dicconnected
Could not authenticate user MY-DOMAIN\atom with challenge/response
то есть winbind захлопывает PIPE и все.
Пробовал samba-3.0.37 и samba-3.4.5

Код: Выделить всё

@gateway:~ # cat /etc/krb5.conf         
[libdefaults]
	default_realm = MY-DOMAIN.ORG

[realms]
        MY-DOMAIN.ORG = {
	kdc = 192.168.0.10
    	admin_server = 192.168.0.10
                        }
[domain_realm]
        .my-domain.org = MY-DOMAIN.ORG
        .my-domain.org = MY-DOMAIN
	
[logging]
	default = FILE:/var/log/kerberos/krb5libs.log
	kdc = FILE:/var/log/kerberos/krb5kdc.log
	admin_server = FILE:/var/log/kerberos/kadmind.log

Код: Выделить всё

@gateway:~ # cat /usr/local/etc/smb.conf
[global]
workgroup = MY-DOMAIN
server string = Corporate Proxy Server
security = ADS
hosts allow = 192.168.0
winbind separator = \\
log file = /var/log/samba/log.%m
max log size = 1024
password server = 192.168.0.10
realm = my-domain.org
passdb backend = tdbsam
socket options = TCP_NODELAY
local master = no
os level = 0
domain master = no
preferred master = no
domain logons = no
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
winbind use default domain = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 0

Код: Выделить всё

@gateway:~ # uname -a
FreeBSD gateway.my-domain.org 8.0-RELEASE FreeBSD 8.0-RELEASE #0: Wed Feb 17 18:19:55 EET 2010     root@gateway.my-domain.org:/usr/obj/usr/src/sys/vpngate_kernel  amd64

Код: Выделить всё

@gateway:~ # cat /etc/pam.d/login 
auth	required	pam_nologin.so	no_warm 
auth	sufficient	/usr/local/lib/pam_winbind.so 
auth	sufficient	pam_opie.so	no_warm	no_fake_prompts 
auth	requisite	pam_opieaccess.so	no_warm allow_local
auth	required	pam_unix.so	no_warm try_first_pass
account	sufficient	/usr/local/lib/pam_winbind.so
account	required	pam_unix.so
session	required	pam_permit.so

Код: Выделить всё

@gateway:~ # wbinfo -p
Ping to winbindd succeeded on fd 4
10:51:57
@gateway:~ # wbinfo -t
checking the trust secret via RPC calls succeeded
@gateway:~ # wbinfo -u
ts
гость
администратор
atom
abakumov_s
tsinternetuser
iwam_fly
iusr_fly
savchenko_l
...
@gateway:~ # wbinfo -g
BUILTIN\administrators
BUILTIN\users
пользователи домена
гости домена
издатели сертификатов
владельцы-создатели групповой политики
администраторы домена
контроллеры домена
компьютеры домена
контроллеры домена - только чтение
dnsupdateproxy
kloperators
sreda_full
statistic
sale
kladmins
manager
verstka
hotline
autor
...
@gateway:~ # net ads info
LDAP server: 192.168.0.10
LDAP server name: master.my-domain.org
Realm: MY-DOMAIN.ORG
Bind Path: dc=MY-DOMAIN,dc=ORG
LDAP port: 389
Server time: Wed, 03 Mar 2010 10:54:27 EET
KDC server: 192.168.0.10
Server time offset: -2

Код: Выделить всё

@gateway:~ # wbinfo -D MY-DOMAIN
Name              : MY-DOMAIN
Alt_Name          : my-domain.org
SID               : S-1-5-21-789336058-1993962763-1708537768
Active Directory  : Yes
Native            : Yes
Primary           : Yes
Sequence          : 251314

Код: Выделить всё

@gateway:~ # id MY-DOMAIN\\atom
uid=10003(atom) gid=10004(администраторы домена) groups=10004(администраторы домена),10003(владельцы-создатели групповой политики),10015(kladmins),10029(tech),10038(vpn),10042(dnsadmins),10048(администраторы предприятия),10049(администраторы схемы)
@gateway:~ # wbinfo --get-auth-user
MY-DOMAIN\#ts%xxxxxx

Заранее благодарен.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

fatumator
проходил мимо
Сообщения: 3
Зарегистрирован: 2010-03-03 13:01:23

Re: Squid3+AD win 2008 R2

Непрочитанное сообщение fatumator » 2010-03-03 13:46:25

Код: Выделить всё

@gateway:~ # testparm
Load smb config files from /usr/local/etc/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
Проблема осталась, хотя :

Код: Выделить всё

@gateway:/usr/ports/net/samba3 # kinit ts
ts@MY-DOMAIN.ORG's Password: 
12:41:04
@gateway:/usr/ports/net/samba3 # 

fatumator
проходил мимо
Сообщения: 3
Зарегистрирован: 2010-03-03 13:01:23

Re: Squid3+AD win 2008 R2

Непрочитанное сообщение fatumator » 2010-03-04 0:51:07

все гуру в отпуске???

Gegemon
ст. сержант
Сообщения: 316
Зарегистрирован: 2007-10-28 16:03:30
Контактная информация:

Re: Squid3+AD win 2008 R2

Непрочитанное сообщение Gegemon » 2010-03-05 15:05:13

А может задать вопрос в ветке обсуждения той ХАУТУ на которую вы сами же ссылались?
http://forum.lissyara.su/viewtopic.php?f=3&t=23992
"Попробую и обязательно отпишусь" - самое популярное последнее сообщение ветки форума

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Squid3+AD win 2008 R2

Непрочитанное сообщение snorlov » 2010-03-06 14:27:54

fatumator писал(а):все гуру в отпуске???
А чего говорить, если winbind пытается у теябя аутенфицироваться открытым текстом, а сервер его в ответ посылает...
Попробуй encrypt password = yes, может еще что-нибудь найдешь в конфигурации самбы, либо что-то поменять на сервере, в его политиках, чтобы он принимал пароль открытым текстом...