форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[ Отслеживать ]

"Тематический каталог: Авторизация Windows-пользователей в SQ..."

Сообщение от auto_topic on 06-Фев-03, 08:57

Обсуждение статьи тематического каталога: Авторизация Windows-пользователей в SQUID на основе их доменных аккаунтов. (freebsd squid samba domain auth) Ссылка на текст статьи: http://www.opennet.dev/base/net/win_squid.txt.html

Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Денис on 06-Фев-03, 08:57

Очень мало информации (для новичка) ну неужели это все так просто.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от cr on 24-Фев-03, 15:32

Интересно и обстоятельно :)Уже начал все переделывать-пока работает :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Arthur on 20-Мрт-03, 19:23

Сделал все так как описано. Не работает. Причины вижу 2: 1) Домен в native mode 2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется. Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси, точнее когда должно сработать разрешение, оно не срабатывает. Черт знает...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	52. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от logan (ok) on 13-Окт-06, 10:32
	>Сделал все так как описано. Не работает. Причины вижу 2: >1) Домен в native mode >2) Что-то пробегало на тему прозрачного проксирования - у меня это применяется. >Но не авторизируются юзвери даже когда обращение идет непосредственно к прокси, >точнее когда должно сработать разрешение, оно не срабатывает. Черт знает... native mode здесь ни при чем. Авторизация в прозрачном режиме НЕ-РА-БО-ТА-ЕТ! ее можно включить, вручную отредактировав код сквида, но это developer-only фишка. Обещают к 3-му ее сделать
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от fduch on 28-Апр-03, 13:11

У меня домен простроен на Samba-tng + LDAP. А как в этом случае присоеденить SAMBA-сервер к домену?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от gag on 24-Май-03, 13:28

1. Имеем сеть конторы ок 50 машин в домене вин2к   которые авторизуются как было описано в статье.       2. Сеть нескольких соседних контор тоже ок 50 машин которых в домен пускать не хочется по понятным причинам.   Вопрос такого плана: если применять в добавление к winbind аутентификацию NCSA то как их подружить вместе? С какими оциями компилить сквида?   Спасибо !!!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Дмитрий on 26-Май-03, 16:16

Столкнулся с проблемой: пользователи c русскими именами из домена не проходят авторизацию. Это можно как-то победить? С пользователи с латинскими буквами все без проблем.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Алексей on 16-Июл-03, 11:25

Везде написано как сделать аутентификацию с помощью winbind, если PDC это одна машина, а Squid с Samba+winbind на другой. А у меня должно все работать на одной. Т.е. у меня Samba  должна работать в качестве PDC и в тоже время с winbind. Можно ли как-нибудь это сделать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от alexus on 08-Окт-03, 07:18

Установил я самбу из портов во фрях 4.7 И не обнаружил файлы wbinfo и smbpass Почему изх нет ???

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от Maxim on 10-Окт-03, 12:22
	>Установил я самбу из портов во фрях 4.7 >И не обнаружил файлы wbinfo и smbpass >Почему изх нет ??? smbpass - читай - net join
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от kanat on 08-Окт-03, 10:37

как открыть порты smtp и pop3 в squid.conf

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от alexus on 09-Окт-03, 06:18

а разве можно почтовые программы настроить через прокси-сквид без дополнительных программ, которые перенаправляют пакеты на порт сквида?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Для этого обычно используются ipfw+natd или ipf+ipnat"
	Сообщение от Дмитрий Ю. Карпов on 27-Ноя-03, 12:47
	-
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Piter Ring on 25-Ноя-03, 16:31

А пробовал ктото привязать на Фрибсд5 Самбу3 плюс сквид3 с авторизацией в Вин2003сервер? Я пробовал увязать сие чудо, самба стала нормально и зарегистрилась в домене без проблем (ЛДАП не ставил) но стопорнулся на привязке авторизации свкида к самбе. Если кто сумел уложить это все в одну кучу - поделитесь плиз опытом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от MF_FLIP on 19-Дек-03, 10:32
	Supported Samba Releases Squid 2.5 uses an internal Samba interface to communicate with the winbindd daemon. It is therefore sensitive to any changes the Samba team may make to the interface. The winbind helpers shipped with Squid-2.5.STABLE2 supports Samba-2.2.6 to Samba-2.2.7a and hopefully later Samba-2.X versions. To use Squid-2.5.STABLE2 with Samba versions 2.2.5 or ealier the new --with-samba-sources=... configure option is required. This may also be the case with Samba-2.2.X versions later than 2.2.7a or if you have applied any winbind related patches to your Samba tree. Squid-2.5.STABLE1 supported Samba 2.2.4 or 2.2.5 only. Use of Squid-2.5.STABLE2 or later recommended with current Samba-2.X releases. For Samba-3.X the winbind helpers shipped with Squid should not be used (and won't work if your attempt to do so), instead the ntlm_auth helper shipped as part of the Samba-3 distribution should be used. This helper supports all versions of Squid and both the ntlm and basic authentication schemes. For details on how to use this Samba helper see the Samba documentation. For group membership lookups the wbinfo_group helper shipped with Squid can be used (this is just a wrapper around the samba wbinfo program and works with all versions of Samba) http://www.squid-cache.org/Doc/FAQ/FAQ-23.html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	16. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от inney on 28-Апр-04, 14:05
	читай какой версии winbind юзается в squid'e $squid/include/samba у меня заработало всё только после того как вместо samba 3.0.2a я прикрутил к squid'у 2.5 samba2.2.7a
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Simba on 25-Апр-04, 21:28

Mozilla поддерживает NTLM с 1.4, единственная серьёзная проблема с ней - удалось-ли кому-нибудь научить её не показывать окошко пароль/логин, а подставлять их от вошедшего пользователя? Если удалось - очень хотечется узнать как.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от vlad (??) on 08-Июн-04, 11:21

Маааленькое дополнение.... Если PDC Win 2003 Server (по документации и w2k Advanced server, но я не проверял) при попытке выполнить /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator получаем "NT_STATUS_ACCESS_DENIED". Оказывается, сначала необходимо на PDC в Active directory добавить компьютер, на котором установлена samba, поставив галочку "назначить учетной записи статус пред-Windows 2000 компьютера". После этого - /usr/local/sbin/smbpass -j WORK (наш домен) -r Primary(наш PDC) -UAdministrator. И все. Источник - http://sunportal.sunmanagers.org/pipermail/summaries/2003-Ju...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от gagus (??) on 10-Июл-04, 22:49

Проблема такая, при вводе команды net join -I 192.168.1.1 -r 192.168.1.1 -U user (адреса вместо имён стоят потому что имена самба не находит) получаю такое [2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136)   kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm [2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)   cli_nt_setup_creds: request challenge failed [2004/07/11 00:30:18, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(249)   cli_nt_setup_creds: request challenge failed [2004/07/11 00:30:18, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(319)   Error domain join verification (reused connection): NT_STATUS_INVALID_COMPUTER_NAME Unable to join domain INFORM. что это значит ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	23. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от GreatFoolDad (??) on 04-Окт-04, 15:29
	И что, решил ты эту проблему? Ответов что-то не наблюдаю. У меня что-то похожее. Правда с SAMBA (Linux RH). Когда пытаюсь засунуть машину в NT-шный домен (net join -I xxx.xxx.xxx.xxx -w domain_name -U domain_admin), получаю именно такую ругачку - nt_status_invalid_computer_name еще что-то насчет allow trusted domain пишет. И в домен, соответственно, не пускает. Хотя машина с RH на NT-вом сервере появляется в списке серверов. Но посмотреть какие-либо св-ва машины с RH я не могу. Что-то нигде не могу найти ответа - в чем прикол. Если решил эту проблему, скажи, что сделал - попробую как-то у себя приспособить.....
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	25. "А конфиг для кербероса прописан?"
	Сообщение от Olegas on 11-Окт-04, 21:19
	>[2004/07/11 00:30:18, 0] libads/kerberos.c:ads_kinit_password(136) >  kerberos_kinit_password user@INFORM.LOCAL failed: Cannot find KDC for requested realm Вот это очень похоже на то что нет или неверный /etc/krb5.conf
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от maddog on 12-Июл-04, 15:08

А как при использовании НТ авторизации замутить ограничение доступа, скажем по количеству скаченной инфы?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	20. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от alistro on 13-Июл-04, 17:18
	меня тоже волнует этот вопрос
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от NTLM пользователи вне домена on 10-Авг-04, 14:50

Как быть если есть левые пользователи в не домена? Возможно ли использовать два типа авторизации? Завести для них отдельную базу?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от zmej on 08-Сен-04, 11:41

сделал все работает дистрибутив asp9 samba-3.0.6 из RPM squid пришлось собирать вручную и не забудте дать права сквиду на каталог windindd'a /var/lib/samba/winbindd_privileged/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	24. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от Black_Dragon (ok) on 06-Окт-04, 14:56
	А если у меня winbindd лежит в /usr/sbin и прова на выполнение есть у всех, а wb_auth (при тестировании) его даже под рутом не видит (самба 3.0.6 сквид 2.5-стабле6)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Проблема. В SQUID'е выводится неверный формат имени пользова..."

Сообщение от Olegas on 11-Окт-04, 21:24

FreeBSD 5.2 Squid 2.5 Samba 3.0.6 DС's OS Win2003 server авторизация через ntlm_auth --helper-protocol=squid-2.5-ntlmssp В логе не "ДОМЕН\ЮЗЕР" а просто "Юзер" что делать? Настраивал тоже самое точно также в других доменах - в логах ДОМЕН\ЮЗЕР Может ли быть бага в версии самбы/каких-то настройках домена?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	27. "Проблема. В SQUID'е выводится неверный формат имени пользова..."
	Сообщение от nuz (??) on 18-Окт-04, 04:20
	в smb.conf параметр winbind use default domain = no и будет писать домен по умолчанию
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от arruah (??) on 27-Окт-04, 07:49

у меня самба работает через openldap можно ли сделать так чтобы провера пароля проходила не через посредника (samba) а сразу на openldap ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Nichls (??) on 03-Ноя-04, 16:12

GhjПроал все выше казанное. В домен ввел - все ОК. triton# mount_smbfs -I srv1 //username@srv1/src /mnt/src/ Password: triton# ls /mnt/src/ AntiVir                                         Microsoft Arc                                             NetSoft BankApp                                         Win32App DO_NOT_REMOVE_NtFrs_PreInstall_Directory        develop DRIVERS                                         dos Lotus triton# Все пашет. Начинаю ставить сквид. Так же как и описано выше. И тут начинаются траблы. Не мог бы кто-нибудь подробно разъяснить пункт 4. Аутентификация NTLM не работает в случае если кэши работают в    режиме "ёлки". Авторизацию NTLM over HTTP не работает через иерархию    прокси. Это ФАКТ! Что это значить? У меня в сети имеется два прокси: через один ходят сервера и там не никаких ограничений и эта машина напрямую соеденена с Интернетом; есть вторая машина - proxy.mydomen.com, через корорую ходят все пользователи и на коротой стоит резалка. Все выше описанное я проверяю на третей машине (тестовой). При попытке выйти в интернет через тестовую машину  в логах получаю следующее: 1099488128.601      5 10.66.64.166 TCP_DENIED/407 1724 GET http://www.altlinux.ru/ - NONE/- text/html [Host: www.altlinux.ru\r\nUser-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7b) Gecko/20040316\r\nAccept: application/x-shockwave-flash,text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,image/jpeg,image/gif;q=0.2,*/*;q=0.1\r\nAccept-Language: en-us,en;q=0.5\r\nAccept-Encoding: gzip,deflate\r\nAccept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7\r\nKeep-Alive: 300\r\nProxy-Connection: keep-alive\r\nProxy-Authorization: NTLM TlRMTVNTUAADAAAAGAAYAFYAAAAYABgAbgAAAAAAAABAAAAACgAKAEAAAAAMAAwASgAAAAAAAAAAAAAAAoIAAG5pa29sYWV2YWFjZC0xMjVhLW5pY2uME+GzxF1a+NEjgl5KwIek42QWZVRYpURyrjgHMK+g37ra146VV4c7vQYJXpVzvvc=\r\n] [HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004 13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED 0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r] Система - FreeBSD 4.10 Если кто знает, скажите, куда копать?  И не связано ли все это с п. 4?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	30. "Судя по всему..."
	Сообщение от Olegas on 04-Ноя-04, 00:50
	>[HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004 >13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED >0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r] Вот это вот говорит о том, что прокси не принял авторизацию клиента. (X-Squid-Error: ERR_CACHE_ACCESS_DENIED Proxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=) Также это говорит о том что браузер все-таки что-то послал в прокси для авторизации (NTLM фафли-туфли) Судя по соджержимому пакета NTLM там есть имя юзера и что-то похожее на домен (к сожалоению не в кусре как у вас домен называется но то что юзер nikolaev заходил это видно :) ) Возможные причины и направления копать. 1. Как прописан доступ в конфиге прокси? (proxy_auth REQUIRED или proxy_auth vasya, proxy_auth sveta, etc...) 2. Если прописан для определенных пользователей то прописан ли в именах имя домена? (proxy_auth vasya или proxy_auth SUPA_DUPA_DOMAIN\vasya) 3. Каково значение параметров самбы winbind use default domain и winbind separator.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	31. "Судя по всему..."
	Сообщение от Nichls (??) on 05-Ноя-04, 14:43
	>>[HTTP/1.0 407 Proxy Authentication Required\r\nServer: squid/2.5.STABLE6\r\nMime-Version: 1.0\r\nDate: Wed, 03 Nov 2004 >>13:22:08 GMT\r\nContent-Type: text/html\r\nContent-Length: 1315\r\nExpires: Wed, 03 Nov 2004 13:22:08 GMT\r\nX-Squid-Error: ERR_CACHE_ACCESS_DENIED >>0\r\nProxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r] > >Вот это вот говорит о том, что прокси не принял авторизацию клиента. > >(X-Squid-Error: ERR_CACHE_ACCESS_DENIED >Proxy-Authenticate: NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=) >Также это говорит о том что браузер все-таки что-то послал в прокси >для авторизации (NTLM фафли-туфли) >Судя по соджержимому пакета NTLM там есть имя юзера и что-то похожее >на домен (к сожалоению не в кусре как у вас домен >называется но то что юзер nikolaev заходил это видно :) ) > > >Возможные причины и направления копать. >1. Как прописан доступ в конфиге прокси? (proxy_auth REQUIRED или proxy_auth vasya, >proxy_auth sveta, etc...) >2. Если прописан для определенных пользователей то прописан ли в именах имя >домена? (proxy_auth vasya или proxy_auth SUPA_DUPA_DOMAIN\vasya) >3. Каково значение параметров самбы winbind use default domain и winbind separator. > Привет. Спасибо, что откликнулся. Начну по порядку. 1. acl password proxy_auth REQUIRED далее http_access allow password http_access deny all 2. Пользователи не указаны - их, как я понял, должен домен проверять. 3. Конфиг Самбы triton# cat /usr/local/etc/smb.conf [global] workgroup = BANK netbios name = triton server string = DomainController hosts allow = 10. 127. winbind separator = / winbind use default domain = True winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes template homedir = /home/winnt/%D/%U template shell = /bin/sh max log size = 50 security = domain password server = srv1 srv3 encrypt passwords = yes triton# PS А как ты узнал имя пользователя? С Уважением, Александр.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	32. "Судя по всему..."
	Сообщение от Olegas on 05-Ноя-04, 15:01
	Начнем с конца... Как узнал имя... NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r] Строчки такого вида в пакетах - это NTLM обмен прокси и браузера. Строка закодирована base64. Раскодируем - получаем пакет. В нем челендж и инфа о юзере. Имя, домен и еще что-то. Оттуда и узнал :) а что правильно? :))) >1. acl password proxy_auth REQUIRED >далее >http_access allow password >http_access deny all Тут все ок. Идут в нет те кто прошел авторизацию, независимо от имени. Остальные - лесом. >2. Пользователи не указаны - их, как я понял, должен домен проверять. Да. точно. Я имел ввиду случай где разрешаем достпу только определенным логинам. >3. Конфиг Самбы >triton# cat /usr/local/etc/smb.conf >[global] >workgroup = BANK >netbios name = triton >server string = DomainController >hosts allow = 10. 127. Вот здесь могут быть варианты... Данная строка пускает на самбу только юзеров с сетей 10.0.0.0/8 и 127.0.0.0/8 Не знаю влияет ли это на winbindd но проверить стоит. Решаем траблу дальше... Что дают команды 1. wbinfo -p ? 2. wbinfo -t ? 3. wbinfo -a логин_пользователя_домена%его_пароль_в_домене 4. ntlm_auth --username=логин_пользователя_домена вышеуказанным проверим работоспособность системе авторизации далее 5. squid вижу что 2.5 но не вижу версию самбы. Это вобщем то основное :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	33. "Судя по всему..."
	Сообщение от Nichls (??) on 05-Ноя-04, 18:55
	>Начнем с конца... >Как узнал имя... >NTLM TlRMTVNTUAACAAAABwAHACgAAACCgkEAjJoW2xOCQdsAAAAAAAAAAEJBTktTUEI=\r\n\r] >Строчки такого вида в пакетах - это NTLM обмен прокси и браузера. >Строка закодирована base64. Раскодируем - получаем пакет. В нем челендж и >инфа о юзере. Имя, домен и еще что-то. Оттуда и узнал >:) а что правильно? :))) >>1. acl password proxy_auth REQUIRED >>далее >>http_access allow password >>http_access deny all >Тут все ок. Идут в нет те кто прошел авторизацию, независимо от >имени. Остальные - лесом. > >>2. Пользователи не указаны - их, как я понял, должен домен проверять. >Да. точно. Я имел ввиду случай где разрешаем достпу только определенным логинам. > > >>3. Конфиг Самбы >>triton# cat /usr/local/etc/smb.conf >>[global] >>workgroup = BANK >>netbios name = triton >>server string = DomainController >>hosts allow = 10. 127. >Вот здесь могут быть варианты... Данная строка пускает на самбу только юзеров >с сетей 10.0.0.0/8 и 127.0.0.0/8 >Не знаю влияет ли это на winbindd но проверить стоит. > >Решаем траблу дальше... Что дают команды >1. wbinfo -p ? >2. wbinfo -t ? >3. wbinfo -a логин_пользователя_домена%его_пароль_в_домене >4. ntlm_auth --username=логин_пользователя_домена >вышеуказанным проверим работоспособность системе авторизации >далее >5. squid вижу что 2.5 но не вижу версию самбы. Это вобщем >то основное :) 1. triton# /usr/local/samba/bin/wbinfo -p 'ping' to winbindd succeeded triton# 2. triton# /usr/local/samba/bin/wbinfo -t Secret is good triton# 3. triton# /usr/local/samba/bin/wbinfo -a nikolaevaa%user_password plaintext password authentication succeeded error code was NT_STATUS_OK (0x0) challenge/response password authentication succeeded error code was NT_STATUS_OK (0x0) triton# 4. Насколько я понял, то нужно сделать вот так: triton# /usr/local/squid/libexec/wb_ntlmauth --username=nikolaevaa wb_ntlmauth[703](wb_ntlm_auth.c:352): target domain is NAME_DOMAINE enter_user_password BH illegal request received wb_ntlmauth[703](wb_ntlm_auth.c:297): Illegal request received: 'user_password' Не нашел я на своей машине ntlm_auth, нашел каталог /root/soft/squid-2.5.STABLE6/helpers/ntlm_auth в rокорый заходил и делал следующее: make make install 5. samba-2.2.6pre2 PS Паралельная просьба. Расскажи (или укажи, где почитать) про, цетирую "...Строка закодирована base64. Раскодируем - получаем пакет..." Имя пользователя почти угадал :) nikolaevaa Помоги разобраться со всем этим.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	34. ":("
	Сообщение от Olegas on 08-Ноя-04, 15:31
	>5. samba-2.2.6pre2 > К сожалению я все это проделывал на самбе 3.0.6,поэтому через wb_auth я это ничего не делал а делал именно через ntlm_auth причем не из сквида а из самбы Вот, почитай всю это статейку, там все подробно расписано, я по ней отлаживал конфигурацию http://www.squid-cache.org/Doc/FAQ/FAQ-23.html >PS Паралельная просьба. Расскажи (или укажи, где почитать) про, цетирую "...Строка закодирована >base64. Раскодируем - получаем пакет..." base64 алгоритм, кодирующий любые бинарные данные в тектовые. Например для передачи по почте. При кодировании объем возрастает на 33%. Это не шифрование а именно кодирвоание. Для более удобной передачи. Более подробно о действии алгоритма спроси у яндекса :) Если хоцца поиграцца, на PHP есть функции base64_encode и base64_decode (первая кодирует, вторая раскодирует в обратно) посмотри что они выдают при работе, покорми их строчками из логов :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	35. ":("
	Сообщение от Nichls (ok) on 30-Ноя-04, 19:59
	Привет. Поставил: samba 3.0.8 squid-2.5.STABLE6 На выходе все заработало, за исключением одного НО - IE спрашивает логин/пароль. Как это победить?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	36. ":("
	Сообщение от Olegas on 30-Ноя-04, 21:23
	>Как это победить? 1. Машина с IE в домене? 2. Юзер в домене авторизовался? 3. Машина со сквидом в домене? 4. Самба корректно работает? Зашла в домен? Имеет доступ к PDC? ./winbindd -i -d 3 и смотрим нет ли каких ошибок при запуске винбинда.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	37. ":("
	Сообщение от Nichls (ok) on 02-Дек-04, 11:27
	Привет. 1. Да 2. Да 3. Да 4. Думаю, что да. По шарам на Win2K под логином\паролем юзера из домена пускает и позволяет маунтить шары на Linux-машину. Вывод /usr/local/samba/sbin/winbindd -i -d 3 winbindd version 3.0.8 started. Copyright The Samba Team 2000-2004 lp_load: refreshing parameters Initialising global parameters params.c:pm_process() - Processing configuration file "/usr/local/samba/lib/smb.conf" Processing section "[global]" adding IPC service adding IPC service added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0 added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0 Registered MSG_REQ_POOL_USAGE Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED add_trusted_domain: MYDOMAINE is an NT4  domain Added domain MYDOMAINE  S-0-0 resolve_lmhosts: Attempting lmhosts lookup for name srv1<0x20> resolve_wins: Attempting wins lookup for name srv1<0x20> resolve_wins: WINS server resolution selected and no WINS servers listed. resolve_hosts: Attempting host lookup for name srv1<0x20> resolve_lmhosts: Attempting lmhosts lookup for name srv3<0x20> resolve_wins: Attempting wins lookup for name srv3<0x20> resolve_wins: WINS server resolution selected and no WINS servers listed. resolve_hosts: Attempting host lookup for name srv3<0x20> rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAINE IPC$ connections done anonymously Connecting to host=SRV3 Connecting to 10.66.80.18 at port 445 lsa_io_sec_qos: length c does not match size 8 rpc: trusted_domains rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAINE IPC$ connections done anonymously Connecting to host=SRV3 Connecting to 10.66.80.18 at port 445 add_trusted_domain: CARD is an NT4  domain Added domain CARD  S-1-5-21-790525478-1677128483-839522115 add_trusted_domain: BUILTIN is an NT4  domain Added domain BUILTIN  S-1-5-32 add_trusted_domain: TRITON is an NT4  domain Added domain TRITON  S-1-5-21-4040133165-2314538755-1376563790 rpc: trusted_domains Дальше просто горит постоянно "rpc: trusted_domains" Что дальше делать? С Уважением, Александр.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	38. "Пайпа винбинда!"
	Сообщение от Olegas on 02-Дек-04, 11:38
	Судя по логам пока все ок. А что пишется в логах при попытке авторизации с виндовой машины? Еще вариант - у пользователя www (или под кем там сквид бежит?) нет доступа к пайпе winbind'a http://samba.rinet.ru/devel/docs/html/winbindd.8.html почитай вот тут, там, если дейтсвительно в этом проблема, описано у кого и на что должны быть права. Если проблема в этом то в логах винбинда при авторизации должны появляться строки типа "access denied" или что-то в этом роде. В общем он будет материцца что доступа нет к пайпе.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	39. "Пайпа винбинда!"
	Сообщение от Nichls (ok) on 02-Дек-04, 12:08
	Привет. Начал логинится и вот что увидел: piton# /usr/local/samba/sbin/winbindd -i -d 3 winbindd version 3.0.8 started. Copyright The Samba Team 2000-2004 lp_load: refreshing parameters Initialising global parameters params.c:pm_process() - Processing configuration file "/usr/local/samba/lib/smb.conf" Processing section "[global]" adding IPC service adding IPC service added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0 added interface ip=10.66.4.50 bcast=10.66.4.255 nmask=255.255.255.0 Registered MSG_REQ_POOL_USAGE Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED add_trusted_domain: MYDOMAIN is an NT4  domain Added domain MYDOMAIN  S-0-0 rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAIN IPC$ connections done anonymously Connecting to host=SRV3 Connecting to 10.66.80.18 at port 445 lsa_io_sec_qos: length c does not match size 8 rpc: trusted_domains rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAIN IPC$ connections done anonymously Connecting to host=SRV3 Connecting to 10.66.80.18 at port 445 add_trusted_domain: CARD is an NT4  domain Added domain CARD  S-1-5-21-790525478-1677128483-839522115 add_trusted_domain: BUILTIN is an NT4  domain Added domain BUILTIN  S-1-5-32 add_trusted_domain: TRITON is an NT4  domain Added domain TRITON  S-1-5-21-4040133165-2314538755-1376563790 rpc: trusted_domains [11986]: request interface version [11986]: request location of privileged pipe [11986]: pam auth nikolaevaa rpc_dc_name: Returning DC SRV3 (10.66.80.18) for domain MYDOMAIN IPC$ connections done anonymously Connecting to host=SRV3 Connecting to 10.66.80.18 at port 445 [11994]: request interface version [11994]: request location of privileged pipe [11994]: ping [11994]: gid to sid 65534 [11995]: request interface version [11995]: request location of privileged pipe [11995]: ping [11995]: gid to sid 65534 rpc: trusted_domains [11986]: pam auth pupkinvv Судя по вот этому "pam auth pupkinvv" и "pam auth nikolaevaa" идет не NTLM  аутентификация, а PAM, так? Или я не правльно понял? И если так, то как это побороть? И еще вот лог winbind'a piton# tail -20 /usr/local/samba/var/log.winbindd [2004/11/22 21:00:11, 1] nsswitch/winbindd.c:main(865)   winbindd version 3.0.8 started.   Copyright The Samba Team 2000-2004 [2004/11/22 21:00:16, 1] nsswitch/winbindd_util.c:init_domain_list(327)   Could not fetch sid for our domain MYDOMAIN [2004/11/23 14:53:56, 1] nsswitch/winbindd.c:main(865)   winbindd version 3.0.8 started.   Copyright The Samba Team 2000-2004 Не понятна фраза "Copyright The Samba Team 2000-2004". С Уважением, Александр.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	40. "Пайпа винбинда!"
	Сообщение от Nichls (ok) on 02-Дек-04, 14:23
	Коментарий к: И еще вот лог winbind'a piton# tail -20 /usr/local/samba/var/log.winbindd [2004/11/22 21:00:11, 1] nsswitch/winbindd.c:main(865)   winbindd version 3.0.8 started.   Copyright The Samba Team 2000-2004 [2004/11/22 21:00:16, 1] nsswitch/winbindd_util.c:init_domain_list(327)   Could not fetch sid for our domain MYDOMAIN [2004/11/23 14:53:56, 1] nsswitch/winbindd.c:main(865)   winbindd version 3.0.8 started.   Copyright The Samba Team 2000-2004 ========================== Тут торопился - не ту строку скопировал ========================== Не понятна фраза "Copyright The Samba Team 2000-2004". ========================== Тут торопился - не ту строку скопировал ========================== ========================== Вот так правильнее ========================== Не понятна фраза "Could not fetch sid for our domain MYDOMAIN". ========================== Вот так правильнее ========================== С Уважением, Александр. PS Извините за флуд.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	41. "Пайпа винбинда!"
	Сообщение от Nichls (ok) on 02-Дек-04, 18:55
	Вроде поборол. Теперь при выходе в Интернет IE, если пользователь добавлен в определенную группу, есть выход в Сеть, в противном случае - отказ. Вот мой конфиг: squid.conf #============================================== VARIANT WITH GROUP ======================================     auth_param ntlm program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MYDOMAIN\\proxy-users"     auth_param ntlm children 5     auth_param ntlm max_challenge_reuses 0     auth_param ntlm max_challenge_lifetime 2 minutes     auth_param basic program /usr/local/samba/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MYDOMAIN\\proxy-users"     auth_param basic children 5     auth_param basic realm Squid proxy-caching web server     auth_param basic credentialsttl 2 hours #============================================== VARIANT WITH GROUP ====================================== #============================================== VARIANT WITH GROUP ======================================     acl NTLMauth        proxy_auth      REQUIRED     http_access         allow           NTLMauth #============================================== VARIANT WITH GROUP ====================================== smb.conf        [global]        workgroup = MYDOMAIN        netbios name = piton        server string = piton.mydomain.ru        hosts allow = 10. 127. #       winbind separator=+        winbind use default domain = yes        winbind uid = 10000-20000        winbind gid = 10000-20000        winbind enum users = yes        winbind enum groups = yes        template homedir = /home/winnt/%D/%U        template shell = /bin/bash        max log size = 50        security = domain        password server = srv1 srv3        encrypt passwords = yes squid собирался с опциями: ./configure --enable-auth="basic ntlm" --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind" --with-external-acl-helpers="wbinfo_group" samba - как указано в начале статьи http://www.opennet.dev/base/net/squid_win200_auth.txt.html. (Именно ее и использовал для настройки всего этого) FreeBSD 4.10 samba-3.0.8 squid-2.5.STABLE6 Единственное, что осталось не понятно, так почему в access.log squid'a, если доступ запрещен, не пишется имя пользователя (только IP машины), который ломился в интернет: 1102000944.430      8 10.66.64.230 TCP_DENIED/407 1699 GET http://mail.ru/ - NONE/- text/html
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Pashka (??) on 15-Фев-05, 20:14

вроде запела песня эта хриплая... :) а как можно сделать, чтоб с части IP-ов можно было без авторизации выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне - проверяло бы. и всетаки... есть ли решение с учетными записаями на русском? оно вроде в винбинд юникод пихает если я правильно угадал из дебагмоды.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	43. "Есть решение!"
	Сообщение от Olegas on 15-Фев-05, 22:19
	>вроде запела песня эта хриплая... :) > >а как можно сделать, чтоб с части IP-ов можно было без авторизации >выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне >- проверяло бы. # эти товарищи пойдут без авторизации acl trusted src 192.168.17.1 acl trusted src 192.168.18.0/24 http_access allow trusted #а эти с авторизацией acl auth proxy_auth REQUIRED acl untrusted src 192.168.200.0/24 http_access allow untrusted auth #кажется так, вроде не напутал http_access deny all > >и всетаки... есть ли решение с учетными записаями на русском? оно вроде >в винбинд юникод пихает если я правильно угадал из дебагмоды. Есть, в коях пишешь слудующие штуки (может быть можно и не в коях, все зависит от настроек самбы, у меня настроено на KOI8-R и работает с русскими именами) acl auth_vasya proxy_auth DOMAIN\Вася http_access allow auth_vasya
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	47. "Есть решение!"
	Сообщение от vovan (??) on 04-Май-06, 18:37
	>>вроде запела песня эта хриплая... :) >> >>а как можно сделать, чтоб с части IP-ов можно было без авторизации >>выползать (вообще чтоб проверки не было), а на еще каком-то диапозоне >>- проверяло бы. ># эти товарищи пойдут без авторизации >acl trusted src 192.168.17.1 >acl trusted src 192.168.18.0/24 >http_access allow trusted > >#а эти с авторизацией >acl auth proxy_auth REQUIRED >acl untrusted src 192.168.200.0/24 >http_access allow untrusted auth > >#кажется так, вроде не напутал > >http_access deny all > >> >>и всетаки... есть ли решение с учетными записаями на русском? оно вроде >>в винбинд юникод пихает если я правильно угадал из дебагмоды. > >Есть, в коях пишешь слудующие штуки (может быть можно и не в >коях, все зависит от настроек самбы, у меня настроено на KOI8-R >и работает с русскими именами) >acl auth_vasya proxy_auth DOMAIN\Вася >http_access allow auth_vasya а если у меня этих Вась мнооого?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	48. "Записываешь их всех. Или пишешь скрипт который сделает это з..."
	Сообщение от Olegas on 04-Май-06, 19:06
	Записываешь их всех. Или пишешь скрипт который зделает это за тебя
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от uuu on 26-Янв-06, 17:47

а зачем это надо если pppoe клиент в xp может брать имя и пароль из домена? остается тока настроить pppoe сервер или поставить аппаратные и прописать ему юзеров с пассами из домена

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	49. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от Nichls (ok) on 04-Май-06, 19:37
	Спрашивается, а зачем вообще заводить пользователей с русскими логинами? PS Да и вообще, зачем их самому заводить 8)? Пусть это делает отдел кадров (такое подразделение есть практически в любой конторе), а мудрый скрипт все выгружает в АД. ИМХО.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	50. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от vovan (??) on 05-Май-06, 10:10
	Да не я их заводил... в наследство досталось... вот и пытаюсь как-то подружить
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от hash (??) on 11-Окт-06, 19:08

А кто-нибудь после сквида смог накормить этим хозяйством SquidGuard'а? Т.е. резать не по аресу, а по имени полученному из AD? Если да, то поделитесь опытом плз.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	53. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от Артм on 26-Окт-06, 17:22
	Вопрос:        есть Домен,в нём есть группы iusers1 iusers2 iusers3 как реализовать?: авторизация через winbindd так чтоб группа iusers1 соответствовала своему acl name`у, допустим usr1;а остальные группы соответственно usr2 и usr3 ОГРОМНА ПРОСЬБА ПОМОГИТЕ !!!! ЗЫ: Напишите пример конфига !!!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	54. "Авторизация Windows-пользователей в SQUID на основе их домен..."
	Сообщение от Shapelsa on 28-Окт-06, 16:24
	Зачем winbindd ??? Зачем samba ??? http://group-ldap-auth.sourceforge.net/ нашол тута http://www.squid-cache.org/related-software.html на оффсайти
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Squidnik on 13-Фев-07, 17:10

А если не группы, а пользоватлей раскидать по разным acl например так acl BOSS proxy_auth Admin BOSS acl Client proxy_auth User1 User 2 ...UserX acl Clients proxy_auth REQUIRED # dctостальные так сработает ?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

56. "Авторизация Windows-пользователей в SQUID на основе их домен..."

Сообщение от Bobre (??) on 28-Авг-08, 17:11

очепятки "паролю" а не "раолю"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]