SSO sqiud+ldap+samba

0

1

Доброе утро! Возникла проблема SSO аутентификации. Подняла самбу с пользователями в лдапе, сквид тоже работает, но никак не могу настроить что бы пользователь второй раз не вводил логин/пароль в скиде. Какими вообще средствами это можно сделать?

Ссылка

←	переименовать файлы?

[snmpd]Как получить инфо ?

→

google://squid+ntlm

~~no-dashi~~ ★★★★★
(26.04.11 08:47:10 MSK)

Ссылка

клиенты виндовые? тогда

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="somegrp"
auth_param negotiate program /usr/bin/ntlm_auth --helper-protocol=gss-spnego
auth_param ntlm children 5

если линуксовые, то, наверное, керберос должен помочь.. не пробовал..

aol ★★★★★
(26.04.11 08:48:22 MSK)

Ответ на: комментарий от aol 26.04.11 08:48:22 MSK

Клиенты виндовые, но могут быть и лунуксовые. Попробывала как вы сказали, но в логи сразу сыпятся сообщения о неопознанной опции:

You MUST specify at least one Domain Controller. You can use either \ or / as separator between the domain name and the controller name (ntlm_auth): invalid option — 'буква опции' unknown option: -?. Exiting (ntlm_auth) usage: (ntlm_auth) [-b] [-f] [-d] [-l] domain\controller [domain\controller ...] -b enables load-balancing among controllers -f enables failover among controllers (DEPRECATED and always active) -l changes behavior on domain controller failyures to last-ditch. -d enables debugging statements if DEBUG was defined at build-time.

Хотела прикрутить керберос, но нет ни одной внятно статьи про это.

Lillu
(26.04.11 09:16:39 MSK) автор топика

Ответ на: комментарий от Lillu 26.04.11 09:16:39 MSK

чтобы ntlm_auth работал, надо на той же машине установить самбу, и сделать ее членом домена (или контроллером домена, если это единственная самба в сети). и чтобы wbinfo -u показывал доменных пользователей, а wbinfo --own-domain показывал домен, к которому присоединились.

aol ★★★★★
(26.04.11 10:13:26 MSK)

Ссылка

Ответ на: комментарий от Lillu 26.04.11 09:16:39 MSK

Для виндовых клиентов нужен ntlm:

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

От Samba достаточно winbind'а добавленного в домен.

wbinfo -t
wbinfo -u
wbinfo -g
wbinfo -a user.name

после добавления в домен должны успешно отрабатывать.

~~zgen~~ ★★★★★
(26.04.11 11:40:06 MSK)

Ответ на: комментарий от zgen 26.04.11 11:40:06 MSK

Машина в домене, wbinfo --own-domain выдает домен, wbinfo -u выдает nobody. При перезапуске сквида всё равно в лог сыпятся ошибки как писала выше. Конфиг сквида:

auth_param ntlm program /usr/lib/squid3/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="Domain Users"

auth_param negotiate program /usr/lib/squid3/ntlm_auth --helper-protocol=gss-spnego

auth_param basic program /usr/lib/squid3/squid_ldap_auth -u uid -b "ou=Users,dc=наш,dc=суффикс" -D "cn=admin,dc=наш,dc=суффикс" -w "пароль" -f "(&(uid=%s)(objectClass=gosaProxyAccount))" -v 3 -h ип

Lillu
(26.04.11 12:39:27 MSK) автор топика