Squid и AD

0

0

Здравствуйте. Никак не могу победить авторизацию squid в AD

cache.log
[2008/04/11 09:48:30, 0] utils/ntlm_auth.c:winbind_pw_check(515)
  Login for user [MZK]\[ogt]@[OGT] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. 
  Ensure permissions on /var/db/samba/winbindd_privileged are set correctly.]
[2008/04/11 09:48:30, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(776)
  NTLMSSP BH: NT_STATUS_ACCESS_DENIED
2008/04/11 09:48:30| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

Права выставлял
ls -l /var/db/samba/winbindd_privileged
total 0
srwxr-x---  1 root  squid  0 Apr 10 16:44 pipe

wbinfo -p 
ping to winbindd succeeded on fd4
wbinfo -u 
wbinfo -g
Отрабатывают нормально

Хелпер тоже работает
ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="mzk\inet" -d10 -I /tmp
[2007/10/29 10:20:29, 5] lib/debug.c:debug_dump_status(391)
INFO: Current debug levels:
all: True/10
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
locking: False/0
msdfs: False/0
dmapi: False/0
user password
[2007/10/29 10:20:30, 10] utils/ntlm_auth.c:manage_squid_request(2086)
Got 'user password' from squid (length: 16).
[2007/10/29 10:20:30, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
NT_STATUS_OK: Success (0x0)
OK

Кусок squid.conf

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=MZK\\inet
auth_param ntlm children 10
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MZK\\inet
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server 
auth_param basic credentialsttl 2 hours
....
acl MZK proxy_auth REQUIRED
http_access allow MZK

Еще идет ругань в /var/log/samba/log.winbindd 
[2008/04/11 11:37:55, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Operations error
[2008/04/11 11:37:55, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Invalid DN syntax
[2008/04/11 11:37:55, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error No such object
[2008/04/11 11:37:55, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error No such object

Что ему не нравится?

Система FreeBSD6.2, squid2.6

Ссылка

←	доступ ssh и ftp

squid и замена сетевухи

→

Покажи ls -l /var/db/samba/ | grep winbindd

Deleted
(11.04.08 09:10:03 MSD)

Ответ на: комментарий от Deleted 11.04.08 09:10:03 MSD

Да и по правам

srwxr-x--- 1 root squid 0 Apr 10 16:44 pipe

видно, что squid писать в файл не может, только root. w для группы не хватает...

Deleted
(11.04.08 09:11:20 MSD)

Ссылка

Ответ на: комментарий от Deleted 11.04.08 09:10:03 MSD

ls -l /var/db/samba/ | grep winbindd

-rw------- 1 root wheel 53248 Apr 11 15:11 winbindd_cache.tdb -rw-r--r-- 1 root wheel 20480 Apr 10 16:39 winbindd_idmap.tdb drwxr-x--- 2 root squid 512 Apr 11 14:50 winbindd_privileged

anonymous
(11.04.08 10:13:23 MSD)

Ссылка

Ответ на: комментарий от Deleted 11.04.08 09:10:03 MSD

ls -l /var/db/samba/ | grep winbindd

-rw-------  1 root  wheel  53248 Apr 11 15:11 winbindd_cache.tdb
-rw-r--r--  1 root  wheel  20480 Apr 10 16:39 winbindd_idmap.tdb
drwxr-x---  2 root  squid    512 Apr 11 14:50 winbindd_privileged

anonymous
(11.04.08 10:14:41 MSD)

Ответ на: комментарий от anonymous 11.04.08 10:14:41 MSD

Ну и как ты собираешься писать в директорию из-под группы squid, когда этой группе не даны права писать в эту директорию? :)

Deleted
(11.04.08 10:44:19 MSD)

Ответ на: комментарий от Deleted 11.04.08 10:44:19 MSD

т.е. chown root:squid /var/db/samba так? Или на всех файлах внутри samba ставить группу squid?

anonymous
(11.04.08 10:51:38 MSD)

Ответ на: комментарий от Deleted 11.04.08 10:44:19 MSD

А что делать с этим?
/var/log/samba/log.winbindd 
[2008/04/11 11:37:55, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Operations error
[2008/04/11 11:37:55, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error Invalid DN syntax
[2008/04/11 11:37:55, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error No such object
[2008/04/11 11:37:55, 1] libads/ldap_utils.c:ads_do_search_retry_internal(115)
  ads reopen failed after error No such object

anonymous
(11.04.08 11:50:30 MSD)