forum.lissyara.su

Добавлено: **2013-11-22 14:49:43**

вводные:
Ubuntu Server 12.04,
samba Version: 2:3.6.3-2ubuntu2.8,
squid3 Version: 3.1.19-1ubuntu3.12.04.2
настроена NTLM авторизация пользователей в AD 2008R2, и реализованно ограничение инетрнета по доменным группам.
изначально все работало на Freebsd 8.2, подобных проблем не наблюдалось.

Проблема в следующем:
Авторизация проходит нормально, инетрнет раздается только авторизованным пользователям, авот распределение по группам не отрабатывает

Winbind не показывает всех групп в кторые входит пользователь, и в проблемные группы как раз попали те, которыми рулился доступ.

Код: Выделить всё

squid3# getent group | grep l-inet-admin
l-inet-admin:x:10389:user1,user2

а вот по запросу wbinfo -r User1 такой группы (10389) уже нет # wbingo -u и wbinfo -g отрабатывают корректно

Код: Выделить всё

соответственно скрипт для определения вхождения в ту или иную группу говорит не правду
echo User1 l-INET-ADMIN | ./wbinfo_group.pl -d

Код: Выделить всё

Debugging mode ON.
Got User1 l-INET-ADMIN from squid
User:  -User1
Group: -l-INET-ADMIN-
SID:   -S-1-5-21-1448603101-632465354--//-//--17192- # [u]SID определяется верно![/u]
GID:   -10389-
Sending ERR to squid
ERR

нашел на просторах интернета 2 темы с точно такой же проблемой но на разных платформах, но обе темы без ответа....
если нужно, могу дать ссылки на темы, там м.б. подробностей больше

Добавлено: **2013-11-25 12:04:25**

Выяснил некотоые ообенности работы winbind. Winbind не понимает локальные группы в AD, только глобальные и универсальные. Так же не понмиает вложенность групп. Фактически первентивной мерой может быть создание глобальных групп и внесение туда пользователей. Но узеров у меня больше 200. Да и на FreeBSD 8.2 таких проблем не было. были как раз созданы локальные группы с вложенными подгруппами.

forum.lissyara.su

ubuntu winbind squid

ubuntu winbind squid

Re: ubuntu winbind squid