The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Тематический каталог: Авторизация Windows-пользователей в SQ..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Тематический каталог: Авторизация Windows-пользователей в SQ..."  
Сообщение от auto_topic on 06-Фев-03, 08:57 
Обсуждение статьи тематического каталога: Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов. (freebsd squid samba domain auth)

Ссылка на текст статьи: https://www.opennet.ru/base/net/win_squid.txt.html

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Денис email on 06-Фев-03, 08:57 
Очень мало информации (для новичка) ну неужели это все так просто.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от cr email on 24-Фев-03, 15:32 
Интересно и обстоятельно :)Уже начал все переделывать-пока работает :)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Arthur email on 20-Мрт-03, 19:23 
Сделал все так как описано. Не работает. Причины вижу 2:
1) Домен в native mode
2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется. Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси, точнее когда должно сработать разрешение, оно не срабатывает. Черт знает...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от fduch email on 28-Апр-03, 13:11 
У меня домен простроен на Samba-tng + LDAP. А как в этом случае присоеденить SAMBA-сервер к домену?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от gag email on 24-Май-03, 13:28 
1. Имеем сеть конторы ок 50 машин в домене вин2к
  которые авторизуются как было описано в статье.
      2. Сеть нескольких соседних контор тоже ок 50 машин которых в домен пускать не хочется по понятным причинам.
  Вопрос такого плана: если применять в добавление к winbind аутентификацию NCSA то как их подружить вместе? С какими оциями компилить сквида?


  Спасибо !!!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Дмитрий email on 26-Май-03, 16:16 
Столкнулся с проблемой: пользователи c русскими именами из домена не проходят авторизацию. Это можно как-то победить? С пользователи с латинскими буквами все без проблем.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Алексей email on 16-Июл-03, 11:25 
Везде написано как сделать аутентификацию с помощью winbind, если PDC это одна машина, а Squid с Samba+winbind на другой. А у меня должно все работать на одной. Т.е. у меня Samba  должна работать в качестве PDC и в тоже время с winbind. Можно ли как-нибудь это сделать?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от alexus email on 08-Окт-03, 07:18 
Установил я самбу из портов во фрях 4.7
И не обнаружил файлы wbinfo и smbpass
Почему изх нет ???
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от kanat email on 08-Окт-03, 10:37 
как открыть порты smtp и pop3 в squid.conf
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от alexus email on 09-Окт-03, 06:18 
а разве можно почтовые программы настроить через прокси-сквид без дополнительных программ, которые перенаправляют пакеты на порт сквида?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

11. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Maxim email on 10-Окт-03, 12:22 
>Установил я самбу из портов во фрях 4.7
>И не обнаружил файлы wbinfo и smbpass
>Почему изх нет ???

smbpass - читай - net join

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

12. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Piter Ring on 25-Ноя-03, 16:31 
А пробовал ктото привязать на Фрибсд5 Самбу3 плюс сквид3 с авторизацией в Вин2003сервер?
Я пробовал увязать сие чудо, самба стала нормально и зарегистрилась в домене без проблем (ЛДАП не ставил) но стопорнулся на привязке авторизации свкида к самбе.
Если кто сумел уложить это все в одну кучу - поделитесь плиз опытом.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

13. "Для этого обычно используются ipfw+natd или ipf+ipnat"  
Сообщение от Дмитрий Ю. Карпов email on 27-Ноя-03, 12:47 
-
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

14. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от MF_FLIP email on 19-Дек-03, 10:32 
Supported Samba Releases
Squid 2.5 uses an internal Samba interface to communicate with the winbindd daemon. It is therefore sensitive to any changes the Samba team may make to the interface.


The winbind helpers shipped with Squid-2.5.STABLE2 supports Samba-2.2.6 to Samba-2.2.7a and hopefully later Samba-2.X versions. To use Squid-2.5.STABLE2 with Samba versions 2.2.5 or ealier the new --with-samba-sources=... configure option is required. This may also be the case with Samba-2.2.X versions later than 2.2.7a or if you have applied any winbind related patches to your Samba tree.


Squid-2.5.STABLE1 supported Samba 2.2.4 or 2.2.5 only. Use of Squid-2.5.STABLE2 or later recommended with current Samba-2.X releases.


For Samba-3.X the winbind helpers shipped with Squid should not be used (and won't work if your attempt to do so), instead the ntlm_auth helper shipped as part of the Samba-3 distribution should be used. This helper supports all versions of Squid and both the ntlm and basic authentication schemes. For details on how to use this Samba helper see the Samba documentation. For group membership lookups the wbinfo_group helper shipped with Squid can be used (this is just a wrapper around the samba wbinfo program and works with all versions of Samba)


http://www.squid-cache.org/Doc/FAQ/FAQ-23.html

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

15. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Simba email on 25-Апр-04, 21:28 
Mozilla поддерживает NTLM с 1.4, единственная серьёзная проблема с ней - удалось-ли кому-нибудь научить её не показывать окошко пароль/логин, а подставлять их от вошедшего пользователя? Если удалось - очень хотечется узнать как.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

16. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от inney on 28-Апр-04, 14:05 
читай какой версии winbind юзается в squid'e $squid/include/samba

у меня заработало всё только после того как вместо samba 3.0.2a я прикрутил к squid'у 2.5 samba2.2.7a

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

17. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от vlad email(??) on 08-Июн-04, 11:21 
Маааленькое дополнение....
Если PDC Win 2003 Server (по документации и w2k Advanced server, но я не проверял) при попытке выполнить /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator получаем "NT_STATUS_ACCESS_DENIED". Оказывается, сначала необходимо на PDC в Active directory добавить компьютер, на котором установлена samba, поставив галочку "назначить учетной записи статус пред-Windows 2000 компьютера". После этого - /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator. И все.
Источник - http://sunportal.sunmanagers.org/pipermail/summaries/2003-Ju...
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

18. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от gagus email(??) on 10-Июл-04, 22:49 
Проблема такая, при вводе команды

net join -I 192.168.1.1 -r 192.168.1.1 -U user
(адреса вместо имён стоят потому что имена самба не находит)
получаю такое

[2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)
  kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm
[2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
  cli_nt_setup_creds: request challenge failed
[2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)
  cli_nt_setup_creds: request challenge failed
[2004/07/11 00:30:18, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(319)
  Error domain join verification (reused connection): NT_STATUS_INVALID_COMPUTER_NAME

Unable to join domain INFORM.

что это значит ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

19. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от maddog email on 12-Июл-04, 15:08 
А как при использовании НТ авторизации замутить ограничение доступа, скажем по количеству скаченной инфы?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

20. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от alistro email on 13-Июл-04, 17:18 
меня тоже волнует этот вопрос
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

21. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от NTLM пользователи вне домена email on 10-Авг-04, 14:50 
Как быть если есть левые пользователи в не домена?
Возможно ли использовать два типа авторизации?
Завести для них отдельную базу?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

22. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от zmej email on 08-Сен-04, 11:41 
сделал все работает
дистрибутив asp9
samba-3.0.6 из RPM
squid пришлось собирать вручную
и не забудте дать права сквиду на каталог windindd'a /var/lib/samba/winbindd_privileged/
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

23. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от GreatFoolDad email(??) on 04-Окт-04, 15:29 
И что, решил ты эту проблему?
Ответов что-то не наблюдаю.
У меня что-то похожее.
Правда с SAMBA (Linux RH).
Когда пытаюсь засунуть машину в NT-шный домен (net join -I xxx.xxx.xxx.xxx -w domain_name -U domain_admin), получаю именно такую ругачку - nt_status_invalid_computer_name
еще что-то насчет allow trusted domain пишет.
И в домен, соответственно, не пускает. Хотя машина с RH на NT-вом сервере появляется в списке серверов. Но посмотреть какие-либо св-ва машины с RH я не могу.
Что-то нигде не могу найти ответа - в чем прикол.
Если решил эту проблему, скажи, что сделал - попробую как-то у себя приспособить.....
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

24. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Black_Dragon (ok) on 06-Окт-04, 14:56 
А если у меня winbindd лежит в /usr/sbin
и прова на выполнение есть у всех,
а wb_auth (при тестировании) его даже под рутом не видит
(самба 3.0.6 сквид 2.5-стабле6)
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

25. "А конфиг для кербероса прописан?"  
Сообщение от Olegas email on 11-Окт-04, 21:19 
>[2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)
>  kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm
Вот это очень похоже на то что нет или неверный /etc/krb5.conf
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

26. "Проблема. В SQUID'е выводится неверный формат имени пользова..."  
Сообщение от Olegas email on 11-Окт-04, 21:24 
FreeBSD 5.2
Squid 2.5
Samba 3.0.6
DС's OS Win2003 server

авторизация через ntlm_auth --helper-protocol=squid-2.5-ntlmssp
В логе не "ДОМЕН\ЮЗЕР" а просто "Юзер" что делать?

Настраивал тоже самое точно также в других доменах - в логах ДОМЕН\ЮЗЕР
Может ли быть бага в версии самбы/каких-то настройках домена?


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

27. "Проблема. В SQUID'е выводится неверный формат имени пользова..."  
Сообщение от nuz email(??) on 18-Окт-04, 04:20 
в smb.conf параметр winbind use default domain = no и будет писать домен по умолчанию
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

28. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от arruah email(??) on 27-Окт-04, 07:49 
у меня самба работает через openldap можно ли сделать так чтобы провера пароля проходила не через посредника (samba) а сразу на openldap ?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

29. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Nichls email(??) on 03-Ноя-04, 16:12 
GhjПроал все выше казанное.
В домен ввел - все ОК.

triton# mount_smbfs -I srv1 //username@srv1/src /mnt/src/
Password:
triton# ls /mnt/src/
AntiVir                                         Microsoft
Arc                                             NetSoft
BankApp                                         Win32App
DO_NOT_REMOVE_NtFrs_PreInstall_Directory        develop
DRIVERS                                         dos
Lotus
triton#

Все пашет.
Начинаю ставить сквид. Так же как и описано выше.
И тут начинаются траблы.

Не мог бы кто-нибудь подробно разъяснить пункт
4. Аутентификация NTLM не работает в случае если кэши работают в
   режиме "ёлки". Авторизацию NTLM over HTTP не работает через иерархию
   прокси. Это ФАКТ!

Что это значить? У меня в сети имеется два прокси: через один ходят сервера и там не никаких ограничений и эта машина напрямую соеденена с Интернетом; есть вторая машина - proxy.mydomen.com, через корорую ходят все пользователи и на коротой стоит резалка. Все выше описанное я проверяю на третей машине (тестовой).

При попытке выйти в интернет через тестовую машину  в логах получаю следующее:

1099488128.601      5 10.66.64.166 TCP_DENIED/407 1724 GET http://www.altlinux.ru/ - NONE/- text/html [Host: www.altlinux.ru\r\nUser-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7b) Gecko/20040316\r\nAccept: application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,image/jpeg,image/gif;q=0.2,*/*;q=0.1\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Encoding: gzip,deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 300\r\nProxy-Connection: keep-alive\r\nProxy-Authorization: NTLM TlRMTVNTUAADAAAAGAAYAFYAAAAYABgAbgAAAAAAAABAAAAACgAKAEAAAAAMAAwASgAAAAAAAAAAAAAAAoIAAG5pa29sYWV2YWFjZC0xMjVhLW5pY2uME+GzxF1a+NEjgl5KwIek42QWZVRYpURyrjgHMK+g37ra146VV4c7vQYJXpVzvvc=\r\n] [HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004 13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED 0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]

Система - FreeBSD 4.10
Если кто знает, скажите, куда копать?  И не связано ли все это с п. 4?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

30. "Судя по всему..."  
Сообщение от Olegas email on 04-Ноя-04, 00:50 
>[HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004
>13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED
>0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]

Вот это вот говорит о том, что прокси не принял авторизацию клиента.
(X-Squid-Error: ERR_CACHE_ACCESS_DENIED
Proxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=)
Также это говорит о том что браузер все-таки что-то послал в прокси для авторизации (NTLM фафли-туфли)
Судя по соджержимому пакета NTLM там есть имя юзера и что-то похожее на домен (к сожалоению не в кусре как у вас домен называется но то что юзер nikolaev заходил это видно :) )

Возможные причины и направления копать.
1. Как прописан доступ в конфиге прокси? (proxy_auth REQUIRED или proxy_auth vasya, proxy_auth sveta, etc...)
2. Если прописан для определенных пользователей то прописан ли в именах имя домена? (proxy_auth vasya или proxy_auth SUPA_DUPA_DOMAIN\vasya)
3. Каково значение параметров самбы winbind use default domain и winbind separator.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

31. "Судя по всему..."  
Сообщение от Nichls email(??) on 05-Ноя-04, 14:43 
>>[HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004
>>13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED
>>0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
>
>Вот это вот говорит о том, что прокси не принял авторизацию клиента.
>
>(X-Squid-Error: ERR_CACHE_ACCESS_DENIED
>Proxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=)
>Также это говорит о том что браузер все-таки что-то послал в прокси
>для авторизации (NTLM фафли-туфли)
>Судя по соджержимому пакета NTLM там есть имя юзера и что-то похожее
>на домен (к сожалоению не в кусре как у вас домен
>называется но то что юзер nikolaev заходил это видно :) )
>
>
>Возможные причины и направления копать.
>1. Как прописан доступ в конфиге прокси? (proxy_auth REQUIRED или proxy_auth vasya,
>proxy_auth sveta, etc...)
>2. Если прописан для определенных пользователей то прописан ли в именах имя
>домена? (proxy_auth vasya или proxy_auth SUPA_DUPA_DOMAIN\vasya)
>3. Каково значение параметров самбы winbind use default domain и winbind separator.
>


Привет. Спасибо, что откликнулся.

Начну по порядку.

1. acl password proxy_auth REQUIRED
далее
http_access allow password
http_access deny all

2. Пользователи не указаны - их, как я понял, должен домен проверять.

3. Конфиг Самбы
triton# cat /usr/local/etc/smb.conf
[global]
workgroup = BANK
netbios name = triton
server string = DomainController
hosts allow = 10. 127.
winbind separator = /
winbind use default domain = True
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/sh
max log size = 50
security = domain
password server = srv1 srv3
encrypt passwords = yes
triton#

PS А как ты узнал имя пользователя?

С Уважением, Александр.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

32. "Судя по всему..."  
Сообщение от Olegas email on 05-Ноя-04, 15:01 
Начнем с конца...
Как узнал имя...
NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
Строчки такого вида в пакетах - это NTLM обмен прокси и браузера. Строка закодирована base64. Раскодируем - получаем пакет. В нем челендж и инфа о юзере. Имя, домен и еще что-то. Оттуда и узнал :) а что правильно? :)))
>1. acl password proxy_auth REQUIRED
>далее
>http_access allow password
>http_access deny all
Тут все ок. Идут в нет те кто прошел авторизацию, независимо от имени. Остальные - лесом.

>2. Пользователи не указаны - их, как я понял, должен домен проверять.
Да. точно. Я имел ввиду случай где разрешаем достпу только определенным логинам.

>3. Конфиг Самбы
>triton# cat /usr/local/etc/smb.conf
>[global]
>workgroup = BANK
>netbios name = triton
>server string = DomainController
>hosts allow = 10. 127.
Вот здесь могут быть варианты... Данная строка пускает на самбу только юзеров с сетей 10.0.0.0/8 и 127.0.0.0/8
Не знаю влияет ли это на winbindd но проверить стоит.

Решаем траблу дальше... Что дают команды
1. wbinfo -p ?
2. wbinfo -t ?
3. wbinfo -a логин_пользователя_домена%его_пароль_в_домене
4. ntlm_auth --username=логин_пользователя_домена
вышеуказанным проверим работоспособность системе авторизации
далее
5. squid вижу что 2.5 но не вижу версию самбы. Это вобщем то основное :)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

33. "Судя по всему..."  
Сообщение от Nichls email(??) on 05-Ноя-04, 18:55 
>Начнем с конца...
>Как узнал имя...
>NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r]
>Строчки такого вида в пакетах - это NTLM обмен прокси и браузера.
>Строка закодирована base64. Раскодируем - получаем пакет. В нем челендж и
>инфа о юзере. Имя, домен и еще что-то. Оттуда и узнал
>:) а что правильно? :)))
>>1. acl password proxy_auth REQUIRED
>>далее
>>http_access allow password
>>http_access deny all
>Тут все ок. Идут в нет те кто прошел авторизацию, независимо от
>имени. Остальные - лесом.
>
>>2. Пользователи не указаны - их, как я понял, должен домен проверять.
>Да. точно. Я имел ввиду случай где разрешаем достпу только определенным логинам.
>
>
>>3. Конфиг Самбы
>>triton# cat /usr/local/etc/smb.conf
>>[global]
>>workgroup = BANK
>>netbios name = triton
>>server string = DomainController
>>hosts allow = 10. 127.
>Вот здесь могут быть варианты... Данная строка пускает на самбу только юзеров
>с сетей 10.0.0.0/8 и 127.0.0.0/8
>Не знаю влияет ли это на winbindd но проверить стоит.
>
>Решаем траблу дальше... Что дают команды
>1. wbinfo -p ?
>2. wbinfo -t ?
>3. wbinfo -a логин_пользователя_домена%его_пароль_в_домене
>4. ntlm_auth --username=логин_пользователя_домена
>вышеуказанным проверим работоспособность системе авторизации
>далее
>5. squid вижу что 2.5 но не вижу версию самбы. Это вобщем
>то основное :)


1. triton# /usr/local/samba/bin/wbinfo -p
'ping' to winbindd succeeded
triton#

2. triton# /usr/local/samba/bin/wbinfo -t
Secret is good
triton#

3. triton# /usr/local/samba/bin/wbinfo -a nikolaevaa%user_password
plaintext password authentication succeeded
error code was NT_STATUS_OK (0x0)
challenge/response password authentication succeeded
error code was NT_STATUS_OK (0x0)
triton#

4. Насколько я понял, то нужно сделать вот так:
triton# /usr/local/squid/libexec/wb_ntlmauth --username=nikolaevaa
wb_ntlmauth[703](wb_ntlm_auth.c:352): target domain is NAME_DOMAINE
enter_user_password
BH illegal request received
wb_ntlmauth[703](wb_ntlm_auth.c:297): Illegal request received: 'user_password'

Не нашел я на своей машине ntlm_auth, нашел каталог /root/soft/squid-2.5.STABLE6/helpers/ntlm_auth в rокорый заходил и делал следующее:

make
make install

5. samba-2.2.6pre2

PS Паралельная просьба. Расскажи (или укажи, где почитать) про, цетирую "...Строка закодирована base64. Раскодируем - получаем пакет..."
Имя пользователя почти угадал :) nikolaevaa
Помоги разобраться со всем этим.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

34. ":("  
Сообщение от Olegas email on 08-Ноя-04, 15:31 

>5. samba-2.2.6pre2
>
К сожалению я все это проделывал на самбе 3.0.6,поэтому через wb_auth я это ничего не делал а делал именно через ntlm_auth причем не из сквида а из самбы
Вот, почитай всю это статейку, там все подробно расписано, я по ней отлаживал конфигурацию
http://www.squid-cache.org/Doc/FAQ/FAQ-23.html

>PS Паралельная просьба. Расскажи (или укажи, где почитать) про, цетирую "...Строка закодирована
>base64. Раскодируем - получаем пакет..."

base64 алгоритм, кодирующий любые бинарные данные в тектовые. Например для передачи по почте. При кодировании объем возрастает на 33%. Это не шифрование а именно кодирвоание. Для более удобной передачи. Более подробно о действии алгоритма спроси у яндекса :)

Если хоцца поиграцца, на PHP есть функции base64_encode и base64_decode
(первая кодирует, вторая раскодирует в обратно) посмотри что они выдают при работе, покорми их строчками из логов :)


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

35. ":("  
Сообщение от Nichls email(ok) on 30-Ноя-04, 19:59 
Привет.
Поставил:
samba 3.0.8
squid-2.5.STABLE6

На выходе все заработало, за исключением одного НО - IE спрашивает логин/пароль.

Как это победить?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

36. ":("  
Сообщение от Olegas email on 30-Ноя-04, 21:23 
>Как это победить?

1. Машина с IE в домене?
2. Юзер в домене авторизовался?
3. Машина со сквидом в домене?
4. Самба корректно работает? Зашла в домен? Имеет доступ к PDC?
./winbindd -i -d 3
и смотрим нет ли каких ошибок при запуске винбинда.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

37. ":("  
Сообщение от Nichls email(ok) on 02-Дек-04, 11:27 
Привет.

1. Да
2. Да
3. Да
4. Думаю, что да. По шарам на Win2K под логином\паролем юзера из домена пускает и позволяет маунтить шары на Linux-машину.

Вывод /usr/local/samba/sbin/winbindd -i -d 3

winbindd version 3.0.8 started.
Copyright The Samba Team 2000-2004
lp_load: refreshing parameters
Initialising global parameters
params.c:pm_process() - Processing configuration file "/usr/local/samba/lib/smb.conf"
Processing section "[global]"
adding IPC service
adding IPC service
added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0
added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
add_trusted_domain: MYDOMAINE is an NT4  domain
Added domain MYDOMAINE  S-0-0
resolve_lmhosts: Attempting lmhosts lookup for name srv1<0x20>
resolve_wins: Attempting wins lookup for name srv1<0x20>
resolve_wins: WINS server resolution selected and no WINS servers listed.
resolve_hosts: Attempting host lookup for name srv1<0x20>
resolve_lmhosts: Attempting lmhosts lookup for name srv3<0x20>
resolve_wins: Attempting wins lookup for name srv3<0x20>
resolve_wins: WINS server resolution selected and no WINS servers listed.
resolve_hosts: Attempting host lookup for name srv3<0x20>
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAINE
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
lsa_io_sec_qos: length c does not match size 8
rpc: trusted_domains
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAINE
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
add_trusted_domain: CARD is an NT4  domain
Added domain CARD  S-1-5-21-790525478-1677128483-839522115
add_trusted_domain: BUILTIN is an NT4  domain
Added domain BUILTIN  S-1-5-32
add_trusted_domain: TRITON is an NT4  domain
Added domain TRITON  S-1-5-21-4040133165-2314538755-1376563790
rpc: trusted_domains

Дальше просто горит постоянно "rpc: trusted_domains"

Что дальше делать?

С Уважением, Александр.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

38. "Пайпа винбинда!"  
Сообщение от Olegas email on 02-Дек-04, 11:38 
Судя по логам пока все ок.
А что пишется в логах при попытке авторизации с виндовой машины?

Еще вариант - у пользователя www (или под кем там сквид бежит?) нет доступа к пайпе winbind'a
http://samba.rinet.ru/devel/docs/html/winbindd.8.html
почитай вот тут, там, если дейтсвительно в этом проблема, описано у кого и на что должны быть права.

Если проблема в этом то в логах винбинда при авторизации должны появляться строки типа "access denied" или что-то в этом роде. В общем он будет материцца что доступа нет к пайпе.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

39. "Пайпа винбинда!"  
Сообщение от Nichls email(ok) on 02-Дек-04, 12:08 
Привет.

Начал логинится и вот что увидел:

piton# /usr/local/samba/sbin/winbindd -i -d 3
winbindd version 3.0.8 started.
Copyright The Samba Team 2000-2004
lp_load: refreshing parameters
Initialising global parameters
params.c:pm_process() - Processing configuration file "/usr/local/samba/lib/smb.conf"
Processing section "[global]"
adding IPC service
adding IPC service
added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0
added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
add_trusted_domain: MYDOMAIN is an NT4  domain
Added domain MYDOMAIN  S-0-0
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAIN
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
lsa_io_sec_qos: length c does not match size 8
rpc: trusted_domains
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAIN
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
add_trusted_domain: CARD is an NT4  domain
Added domain CARD  S-1-5-21-790525478-1677128483-839522115
add_trusted_domain: BUILTIN is an NT4  domain
Added domain BUILTIN  S-1-5-32
add_trusted_domain: TRITON is an NT4  domain
Added domain TRITON  S-1-5-21-4040133165-2314538755-1376563790
rpc: trusted_domains
[11986]: request interface version
[11986]: request location of privileged pipe
[11986]: pam auth nikolaevaa
rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAIN
IPC$ connections done anonymously
Connecting to host=SRV3
Connecting to 10.66.80.18 at port 445
[11994]: request interface version
[11994]: request location of privileged pipe
[11994]: ping
[11994]: gid to sid 65534
[11995]: request interface version
[11995]: request location of privileged pipe
[11995]: ping
[11995]: gid to sid 65534
rpc: trusted_domains
[11986]: pam auth pupkinvv

Судя по вот этому "pam auth pupkinvv" и "pam auth nikolaevaa" идет не NTLM  аутентификация, а PAM, так? Или я не правльно понял?
И если так, то как это побороть?

И еще вот лог winbind'a

piton# tail -20 /usr/local/samba/var/log.winbindd
[2004/11/22 21:00:11, 1] nsswitch/winbindd.c:main(865)
  winbindd version 3.0.8 started.
  Copyright The Samba Team 2000-2004
[2004/11/22 21:00:16, 1] nsswitch/winbindd_util.c:init_domain_list(327)
  Could not fetch sid for our domain MYDOMAIN
[2004/11/23 14:53:56, 1] nsswitch/winbindd.c:main(865)
  winbindd version 3.0.8 started.
  Copyright The Samba Team 2000-2004

Не понятна фраза "Copyright The Samba Team 2000-2004".

С Уважением, Александр.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

40. "Пайпа винбинда!"  
Сообщение от Nichls email(ok) on 02-Дек-04, 14:23 
Коментарий к:

И еще вот лог winbind'a

piton# tail -20 /usr/local/samba/var/log.winbindd
[2004/11/22 21:00:11, 1] nsswitch/winbindd.c:main(865)
  winbindd version 3.0.8 started.
  Copyright The Samba Team 2000-2004
[2004/11/22 21:00:16, 1] nsswitch/winbindd_util.c:init_domain_list(327)
  Could not fetch sid for our domain MYDOMAIN
[2004/11/23 14:53:56, 1] nsswitch/winbindd.c:main(865)
  winbindd version 3.0.8 started.
  Copyright The Samba Team 2000-2004

========================== Тут торопился - не ту строку скопировал ==========================
Не понятна фраза "Copyright The Samba Team 2000-2004".
========================== Тут торопился - не ту строку скопировал ==========================

========================== Вот так правильнее ==========================
Не понятна фраза "Could not fetch sid for our domain MYDOMAIN".
========================== Вот так правильнее ==========================

С Уважением, Александр.

PS Извините за флуд.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

41. "Пайпа винбинда!"  
Сообщение от Nichls email(ok) on 02-Дек-04, 18:55 
Вроде поборол.

Теперь при выходе в Интернет IE, если пользователь добавлен в определенную группу, есть выход в Сеть, в противном случае - отказ.

Вот мой конфиг:

squid.conf

#============================================== VARIANT WITH GROUP ======================================
    auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMAIN\\proxy-users"
    auth_param ntlm children 5
    auth_param ntlm max_challenge_reuses 0
    auth_param ntlm max_challenge_lifetime 2 minutes

    auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MYDOMAIN\\proxy-users"
    auth_param basic children 5
    auth_param basic realm Squid proxy-caching web server
    auth_param basic credentialsttl 2 hours
#============================================== VARIANT WITH GROUP ======================================

#============================================== VARIANT WITH GROUP ======================================
    acl NTLMauth        proxy_auth      REQUIRED
    http_access         allow           NTLMauth
#============================================== VARIANT WITH GROUP ======================================

smb.conf

       [global]
       workgroup = MYDOMAIN
       netbios name = piton
       server string = piton.mydomain.ru
       hosts allow = 10. 127.
#       winbind separator=+
       winbind use default domain = yes
       winbind uid = 10000-20000
       winbind gid = 10000-20000
       winbind enum users = yes
       winbind enum groups = yes
       template homedir = /home/winnt/%D/%U
       template shell = /bin/bash
       max log size = 50
       security = domain
       password server = srv1 srv3
       encrypt passwords = yes

squid собирался с опциями:
./configure --enable-auth="basic ntlm" --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind" --with-external-acl-helpers="wbinfo_group"

samba - как указано в начале статьи https://www.opennet.ru/base/net/squid_win200_auth.txt.html.
(Именно ее и использовал для настройки всего этого)

FreeBSD 4.10
samba-3.0.8
squid-2.5.STABLE6

Единственное, что осталось не понятно, так почему в access.log squid'a, если доступ запрещен, не пишется имя пользователя (только IP машины), который ломился в интернет:
1102000944.430      8 10.66.64.230 TCP_DENIED/407 1699 GET http://mail.ru/ - NONE/- text/html

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

42. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Pashka (??) on 15-Фев-05, 20:14 
вроде запела песня эта хриплая... :)

а как можно сделать, чтоб с части IP-ов можно было без авторизации выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне - проверяло бы.

и всетаки... есть ли решение с учетными записаями на русском? оно вроде в винбинд юникод пихает если я правильно угадал из дебагмоды.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

43. "Есть решение!"  
Сообщение от Olegas email on 15-Фев-05, 22:19 
>вроде запела песня эта хриплая... :)
>
>а как можно сделать, чтоб с части IP-ов можно было без авторизации
>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
>- проверяло бы.
# эти товарищи пойдут без авторизации
acl trusted src 192.168.17.1
acl trusted src 192.168.18.0/24
http_access allow trusted

#а эти с авторизацией
acl auth proxy_auth REQUIRED
acl untrusted src 192.168.200.0/24
http_access allow untrusted auth

#кажется так, вроде не напутал

http_access deny all

>
>и всетаки... есть ли решение с учетными записаями на русском? оно вроде
>в винбинд юникод пихает если я правильно угадал из дебагмоды.

Есть, в коях пишешь слудующие штуки (может быть можно и не в коях, все зависит от настроек самбы, у меня настроено на KOI8-R и работает с русскими именами)
acl auth_vasya proxy_auth DOMAIN\Вася
http_access allow auth_vasya

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

45. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от uuu on 26-Янв-06, 17:47 
а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена?
остается тока настроить pppoe сервер или поставить аппаратные и прописать ему юзеров с пассами из домена
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

47. "Есть решение!"  
Сообщение от vovan email(??) on 04-Май-06, 18:37 
>>вроде запела песня эта хриплая... :)
>>
>>а как можно сделать, чтоб с части IP-ов можно было без авторизации
>>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне
>>- проверяло бы.
># эти товарищи пойдут без авторизации
>acl trusted src 192.168.17.1
>acl trusted src 192.168.18.0/24
>http_access allow trusted
>
>#а эти с авторизацией
>acl auth proxy_auth REQUIRED
>acl untrusted src 192.168.200.0/24
>http_access allow untrusted auth
>
>#кажется так, вроде не напутал
>
>http_access deny all
>
>>
>>и всетаки... есть ли решение с учетными записаями на русском? оно вроде
>>в винбинд юникод пихает если я правильно угадал из дебагмоды.
>
>Есть, в коях пишешь слудующие штуки (может быть можно и не в
>коях, все зависит от настроек самбы, у меня настроено на KOI8-R
>и работает с русскими именами)
>acl auth_vasya proxy_auth DOMAIN\Вася
>http_access allow auth_vasya


а если у меня этих Вась мнооого?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

48. "Записываешь их всех. Или пишешь скрипт который сделает это з..."  
Сообщение от Olegas email on 04-Май-06, 19:06 
Записываешь их всех. Или пишешь скрипт который зделает это за тебя

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

49. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Nichls email(ok) on 04-Май-06, 19:37 
Спрашивается, а зачем вообще заводить пользователей с русскими логинами?

PS
Да и вообще, зачем их самому заводить 8)?
Пусть это делает отдел кадров (такое подразделение есть практически в любой конторе), а мудрый скрипт все выгружает в АД. ИМХО.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

50. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от vovan email(??) on 05-Май-06, 10:10 
Да не я их заводил... в наследство досталось... вот и пытаюсь как-то подружить
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

51. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от hash email(??) on 11-Окт-06, 19:08 
А кто-нибудь после сквида смог накормить этим хозяйством SquidGuard'а? Т.е. резать не по аресу, а по имени полученному из AD? Если да, то поделитесь опытом плз.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

52. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от logan (ok) on 13-Окт-06, 10:32 
>Сделал все так как описано. Не работает. Причины вижу 2:
>1) Домен в native mode
>2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется.
>Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси,
>точнее когда должно сработать разрешение, оно не срабатывает. Черт знает...


native mode здесь ни при чем. Авторизация в прозрачном режиме НЕ-РА-БО-ТА-ЕТ! ее можно включить, вручную отредактировав код сквида, но это developer-only фишка. Обещают к 3-му ее сделать

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

53. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Артм email on 26-Окт-06, 17:22 
Вопрос:
       есть Домен,в нём есть группы iusers1 iusers2 iusers3
как реализовать?:

авторизация через winbindd
так чтоб группа iusers1 соответствовала своему acl name`у, допустим usr1;а остальные группы соответственно usr2 и usr3

ОГРОМНА ПРОСЬБА ПОМОГИТЕ !!!!

ЗЫ: Напишите пример конфига !!!

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

54. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Shapelsa email on 28-Окт-06, 16:24 
Зачем winbindd ???
Зачем samba ???

http://group-ldap-auth.sourceforge.net/
нашол тута http://www.squid-cache.org/related-software.html
на оффсайти

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

55. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Squidnik email on 13-Фев-07, 17:10 
А если не группы, а пользоватлей раскидать по разным acl например так
acl BOSS proxy_auth Admin BOSS
acl Client proxy_auth User1 User 2 ...UserX
acl Clients proxy_auth REQUIRED # dctостальные

так сработает ?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

56. "Авторизация Windows-пользователей в SQUID на основе их домен..."  
Сообщение от Bobre (??) on 28-Авг-08, 17:11 
очепятки "паролю" а не "раолю"
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру