форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение		[ Отслеживать ]

"Squid ntlm + basic авторизация"	+/–
Сообщение от imonkey (ok) on 19-Мрт-13, 18:01
Здравствуйте, начал настраивать squid с ntlm и basic авторизацией в домене win2003. Настроил Samba, получил билет kerberos, ввел машину в домен. wbinfo -t, -u и -g отрабатывают правильно, но wbinfo -a не хочет авторизовывать NT_STATUS_ACCESS_DENIED (0xc0000022). Соответственно ntlm_auth не хочет авторизировать пользователей. Если использовать squid_ldap_auth то проходит только basic авторизация, а с ntlm_auth вообще никак. конфиг сквида auth_param ntlm  program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp auth_param ntlm children 5 auth_param ntlm keep_alive on auth_param basic  program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off # TAG: acl acl manager proto cache_object acl localhost src 127.0.0.1/32 acl localhost src 192.168.1.128/32 acl to_localhost dst 127.0.0.0/8 acl DOMAIN proxy_auth REQUIRED acl SSL_ports port 443 acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost DOMAIN http_access deny manager http_access allow purge localhost http_access deny purge http_access allow DOMAIN http_access allow localhost http_access deny all http_reply_access allow all конфиг samba [global]         log file = /var/log/samba/log.%m         socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192         null passwords = yes         interfaces = eth0         hosts allow = 192.168.1.128 127.0.0.1         encrypt passwords = yes         idmap uid = 10000-20000         idmap gid = 10000-20000         auth methods = winbind         winbind enum groups = yes         winbind enum users = yes         winbind use default domain = yes         name resolve order = hosts wins bcast lmhosts         case sensitive = no         dns proxy = no         netbios name = squid         server string = proxy         password server = 192.168.1.1         realm = DOMAIN         client use spnego = yes         client signing = yes         local master = no         domain master = no         preferred master = no         workgroup = DOMAIN         debug level = 2         security = ads         dos charset = 866         unix charset = UTF-8         max log size = 50         os level = 0         wins server = 192.168.1.1         template shell = /bin/false Подскажите пожалуйста в чем дело, а то пол инета уже перерыл.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Squid ntlm + basic авторизация"	+/–
Сообщение от ipmanyak (ok) on 20-Мрт-13, 12:16
Почитайте статью https://www.opennet.ru/base/net/win_squid.txt.html или она же тут http://www.linuxcenter.ru/lib/articles/networking/nnz-sqland... возможно наведет на мысли и найдете свои ошибки. >  realm = DOMAIN А у вас разве имя домена DOMAIN?  Это не есть гуд, будете путаться при анализе ошибок, дайте домену нормальное имя, например monkey.local, или то правильное имя, которое у вас в винде указано. в помощь еще урла http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/d...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Squid ntlm + basic авторизация"	+/–
	Сообщение от imonkey (ok) on 20-Мрт-13, 14:15
	> Почитайте статью https://www.opennet.ru/base/net/win_squid.txt.html > или она же тут > http://www.linuxcenter.ru/lib/articles/networking/nnz-sqland... > возможно наведет на мысли и найдете свои ошибки. >>  realm = DOMAIN > А у вас разве имя домена DOMAIN?  Это не есть гуд, > будете путаться при анализе ошибок, дайте домену нормальное имя, например monkey.local, > или то правильное имя, которое у вас в винде указано. > в помощь еще урла > http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/d... К сожалению ничего не помогло. Имя домена не DOMAIN а STO. В данный момент менять нельзя. Попробую все сделать на фре, правда я с ней не общался с 6 версии.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Squid ntlm + basic авторизация"	+/–
	Сообщение от Punck on 20-Мрт-13, 19:51
	> К сожалению ничего не помогло. Имя домена не DOMAIN а STO. В > данный момент менять нельзя. Попробую все сделать на фре, правда я > с ней не общался с 6 версии. А вот это точно верно hosts allow = 192.168.1.128 127.0.0.1 ? Я так понимаю что это адрес самой самбы, у меня тут таки подъсеть локальная. # The following parameter need only be specified if present. # The default setting if not present is Yes. encrypt passwords = yes тоже не видно.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "Squid ntlm + basic авторизация"	+/–
	Сообщение от imonkey (ok) on 22-Мрт-13, 09:28
	>> К сожалению ничего не помогло. Имя домена не DOMAIN а STO. В >> данный момент менять нельзя. Попробую все сделать на фре, правда я >> с ней не общался с 6 версии. > А вот это точно верно hosts allow = 192.168.1.128 127.0.0.1 ? > Я так понимаю что это адрес самой самбы, у меня тут таки > подъсеть локальная. > # The following parameter need only be specified if present. > # The default setting if not present is Yes. > encrypt passwords = yes > тоже не видно. Проблема решилась очень странно, надо два раза сделать попытку ввода в домен net join -U Admin%pass первый раз он говорит что пустил и все хорошо, второй раз говорит что все плохо с керберосом и посылает. НО все начинает работать нормально.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема