LINUX.ORG.RU
ФорумAdmin

Помогите с ntlm squid


0

1

Настроил по http://ru.gentoo-wiki.com/wiki/Настройка_Squid_с_поддержкой_ntlm

все тесты для samba по статье пройдены успешно, настроил squid, браузер выдает запрос об автаризации, ввожу логин/пароль пользователя в группе инет, не проходит аутентификацию, в чем может быть проблема?


браузер, конечно же, офтопичный ослик? нтлм будет работать только на офтопике, и в фаерфоксе для офтопика надо делать твики в about:config

в чем может быть проблема

что в логах?

aol ★★★★★
()
Ответ на: комментарий от aol

access.log 1344490469.345 1 10.0.0.151 TCP_DENIED/407 1734 GET http://ya.ru/ - NONE/- text/html 1344490480.683 12 10.0.0.151 TCP_DENIED/407 1794 GET http://ya.ru/ - NONE/- text/html 1344490480.762 78 10.0.0.151 TCP_DENIED/407 1734 GET http://ya.ru/ - NONE/- text/html

cache.log

2012/08/09 09:34:11| Starting Squid Cache version 2.6.STABLE21 for i686-redhat-linux-gnu...

2012/08/09 09:34:11| Process ID 7332

2012/08/09 09:34:11| With 1024 file descriptors available

2012/08/09 09:34:11| Using epoll for the IO loop

2012/08/09 09:34:11| DNS Socket created at 0.0.0.0, port 56803, FD 6

2012/08/09 09:34:11| Adding nameserver 10.0.0.8 from squid.conf

2012/08/09 09:34:11| helperStatefulOpenServers: Starting 5 'ntlm_auth' processes

2012/08/09 09:34:11| helperOpenServers: Starting 5 'ntlm_auth' processes

2012/08/09 09:34:11| User-Agent logging is disabled.

2012/08/09 09:34:11| Referer logging is disabled.

2012/08/09 09:34:11| Unlinkd pipe opened on FD 21

2012/08/09 09:34:11| Swap maxSize 102400 + 8192 KB, estimated 0 objects

2012/08/09 09:34:11| Target number of buckets: 425

2012/08/09 09:34:11| Using 8192 Store buckets

2012/08/09 09:34:11| Max Mem size: 8192 KB

2012/08/09 09:34:11| Max Swap size: 102400 KB

2012/08/09 09:34:11| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec

2012/08/09 09:34:11| Rebuilding storage in /var/spool/squid (CLEAN)

2012/08/09 09:34:11| Using Least Load store dir selection

2012/08/09 09:34:11| Set Current Directory to /var/spool/squid

2012/08/09 09:34:11| Loaded Icons.

2012/08/09 09:34:11| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 23.

2012/08/09 09:34:11| Accepting ICP messages at 0.0.0.0, port 3130, FD 24.

2012/08/09 09:34:11| WCCP Disabled.

2012/08/09 09:34:11| Ready to serve requests.

2012/08/09 09:34:11| Store rebuilding is 79.2% complete

2012/08/09 09:34:11| Done reading /var/spool/squid swaplog (5172 entries)

2012/08/09 09:34:11| Finished rebuilding storage from disk.

2012/08/09 09:34:11| 5172 Entries scanned

2012/08/09 09:34:11| 0 Invalid entries.

2012/08/09 09:34:11| 0 With invalid flags.

2012/08/09 09:34:11| 5172 Objects loaded.

2012/08/09 09:34:11| 0 Objects expired.

2012/08/09 09:34:11| 0 Objects cancelled.

2012/08/09 09:34:11| 0 Duplicate URLs purged.

2012/08/09 09:34:11| 0 Swapfile clashes avoided.

2012/08/09 09:34:11| Took 0.5 seconds (10631.3 objects/sec).

2012/08/09 09:34:11| Beginning Validation Procedure

2012/08/09 09:34:11| Completed Validation Procedure

2012/08/09 09:34:11| Validated 5172 Entries

2012/08/09 09:34:11| store_swap_size = 89180k

2012/08/09 09:34:12| storeLateRelease: released 0 objects

[2012/08/09 09:34:40.760612, 0] utils/ntlm_auth.c:600(winbind_pw_check)

Login for user []\[test]@[YANEV] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2012/08/09 09:34:40.761237, 0] utils/ntlm_auth.c:896(manage_squid_ntlmssp_request_int) NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2012/08/09 09:34:40| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

yanev
() автор топика
Ответ на: комментарий от yanev

1) []\[test] а где домен? у тебя в конфиге указано, какой домен приписывать, если его нет?
2) winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly. авто переводчик там ->

aol ★★★★★
()

браузер выдает запрос об автаризации

=>
NTLM уже не работает, а вводите данные вы в basic

В логах причина указана явно:

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

wbinfo -t
wbinfo -u
wbinfo -g
wbinfo -a user.name

zgen ★★★★★
()
Ответ на: комментарий от zgen

wbinfo -u

YANEV\user01

YANEV\user02

WIN\администратор

WIN\гость

WIN\krbtgt

WIN\sisadmin

WIN\test

WIN\test2

wbinfo -g

WIN\компьютеры домена

WIN\контроллеры домена

WIN\администраторы схемы

WIN\администраторы предприятия

WIN\издатели сертификатов

WIN\администраторы домена

WIN\пользователи домена

WIN\гости домена

WIN\владельцы-создатели групповой политики

WIN\серверы ras и ias

WIN\группа с разрешением репликации паролей rodc

WIN\группа с запрещением репликации паролей rodc

WIN\контроллеры домена - только чтение

WIN\контроллеры домена предприятия - только чтение

WIN\dnsadmins

WIN\dnsupdateproxy

WIN\1234

wbinfo -t

checking the trust secret for domain WIN via RPC calls succeeded

wbinfo -a test

Enter test's password:

plaintext password authentication failed

Could not authenticate user test with plaintext password

squid.conf

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of=WIN.RNIOI\\1234

auth_param ntlm children 5

auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=WIN.RNIOI\\1234

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

yanev
() автор топика
Ответ на: комментарий от yanev

--require-membership-of=WIN.RNIOI\\1234

Уберите для проверки и:

winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.

zgen ★★★★★
()
Ответ на: комментарий от zgen

доступ к /var/lib/samba/winbindd_privileged дал полный

--require-membership-of=WIN.RNIOI\\1234 убрал

winbind перестал запускаться

лог

[2012/08/09 11:27:39, 0] winbindd/winbindd.c:1102(main) winbindd version 3.5.10-0.109.el5_8 started. Copyright Andrew Tridgell and the Samba Team 1992-2010

[2012/08/09 11:27:39.390248, 0] winbindd/winbindd_cache.c:3110(initialize_winbindd_cache) initialize_winbindd_cache: clearing cache and re-creating with version number 2

[2012/08/09 11:27:39.395636, 0] lib/util_sock.c:1714(create_pipe_sock) invalid permissions on socket directory /var/lib/samba/winbindd_privileged

[2012/08/09 11:27:39.396013, 0] winbindd/winbindd.c:1256(main) winbindd_setup_listeners() failed

yanev
() автор топика
Ответ на: комментарий от fbiagent

теперь в логах сквида:

2012/08/09 11:59:29| Starting Squid Cache version 2.6.STABLE21 for i686-redhat-linux-gnu...

2012/08/09 11:59:29| Process ID 4480

2012/08/09 11:59:29| With 1024 file descriptors available

2012/08/09 11:59:29| Using epoll for the IO loop

2012/08/09 11:59:29| DNS Socket created at 0.0.0.0, port 38647, FD 6

2012/08/09 11:59:29| Adding nameserver 10.0.0.8 from squid.conf

2012/08/09 11:59:29| helperStatefulOpenServers: Starting 5 'ntlm_auth' processes

2012/08/09 11:59:29| helperOpenServers: Starting 5 'ntlm_auth' processes

2012/08/09 11:59:29| User-Agent logging is disabled.

2012/08/09 11:59:29| Referer logging is disabled.

2012/08/09 11:59:29| Unlinkd pipe opened on FD 21

2012/08/09 11:59:29| Swap maxSize 102400 + 8192 KB, estimated 0 objects

2012/08/09 11:59:29| Target number of buckets: 425

2012/08/09 11:59:29| Using 8192 Store buckets

2012/08/09 11:59:29| Max Mem size: 8192 KB

2012/08/09 11:59:29| Max Swap size: 102400 KB

2012/08/09 11:59:29| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec

2012/08/09 11:59:29| Rebuilding storage in /var/spool/squid (CLEAN)

2012/08/09 11:59:29| Using Least Load store dir selection

2012/08/09 11:59:29| Set Current Directory to /var/spool/squid

2012/08/09 11:59:29| Loaded Icons.

2012/08/09 11:59:29| Accepting proxy HTTP connections at 0.0.0.0, port 3128, FD 23.

2012/08/09 11:59:29| Accepting ICP messages at 0.0.0.0, port 3130, FD 24.

2012/08/09 11:59:29| WCCP Disabled.

2012/08/09 11:59:29| Ready to serve requests.

2012/08/09 11:59:30| Store rebuilding is 79.2% complete

2012/08/09 11:59:30| Done reading /var/spool/squid swaplog (5172 entries)

2012/08/09 11:59:30| Finished rebuilding storage from disk.

2012/08/09 11:59:30| 5172 Entries scanned

2012/08/09 11:59:30| 0 Invalid entries.

2012/08/09 11:59:30| 0 With invalid flags.

2012/08/09 11:59:30| 5172 Objects loaded.

2012/08/09 11:59:30| 0 Objects expired.

2012/08/09 11:59:30| 0 Objects cancelled.

2012/08/09 11:59:30| 0 Duplicate URLs purged.

2012/08/09 11:59:30| 0 Swapfile clashes avoided.

2012/08/09 11:59:30| Took 0.4 seconds (13736.0 objects/sec).

2012/08/09 11:59:30| Beginning Validation Procedure

2012/08/09 11:59:30| Completed Validation Procedure

2012/08/09 11:59:30| Validated 5172 Entries

2012/08/09 11:59:30| store_swap_size = 89180k

2012/08/09 11:59:30| storeLateRelease: released 0 objects

yanev
() автор топика
Ответ на: комментарий от yanev

Could not authenticate user test with plaintext password

А вот теперь разбирайтесь в другом месте, где у вас пользователь test находится и какой у него пароль.

И вообще, мне ваш подход «не разбираюсь, прочитал ахинею на заборе, а теперь помогайте» не нравится.

Ошибка на ошибке, а сами вы соображать не хотите.

zgen ★★★★★
()
Ответ на: комментарий от fbiagent

[global]

workgroup = WIN

realm = WIN.RNIOI

server string = Samba Server Version %v

security = ADS

encrypt passwords = true

password server = 10.0.0.8

load printers = No

printcap name = /dev/null

disable spoolss = Yes

show add printer wizard = No

os level = 0

local master = No

domain master = No

dns proxy = No

idmap uid = 10000-15000

idmap gid = 10000-15000

winbind enum users = Yes

winbind enum groups = Yes

yanev
() автор топика
Ответ на: комментарий от fbiagent

wbinfo -a WIN.RNIOI\\test

Enter WIN.RNIOI\test's password:

plaintext password authentication succeeded

Enter WIN.RNIOI\test's password:

challenge/response password authentication succeeded

только 2 раза пороль просит ввести!

yanev
() автор топика
Ответ на: комментарий от yanev

Добавь в самбу 

 client NTLMv2 auth = Yes
 client lanman auth = No
 client plaintext auth = No
 winbind use default domain = Yes
 winbind refresh tickets = Yes
 winbind offline logon = Yes
пусть использует авторизацию через дефолтный домен.

fbiagent ★★★
()
Ответ на: комментарий от yanev

самбу и сквид рестартанул?
клиенты на какой ос?
браузер какой?
настройки сквида по статье правильно перенес? раздел acl перепроверь.

fbiagent ★★★
()
Ответ на: комментарий от fbiagent

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/user.list

тогда ncsa_auth работает и понятно откуда тянет логины/пароли

как работает ntlm_auth каких пользователей этот вариант аутентификации видет, существуют ли команды чтоб это проверить

браузер fire fox на centos на нем же samba и squid

samba работает 100% как понять где затык на ntlm_auth

yanev
() автор топика
17 сентября 2012 г.
Ответ на: комментарий от yanev

Можно поподробнее

Здраствуйте. У меня схожая проблема: не работает ntlm авторизация, просит ввести логин и пароль при вводе ничего не происходит.

Вы написали проблема решена, можно пожалуйста поподробнее: у вас заработал вариант auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic (этот вариант у меня работает, ввожу пользователя «Домен»/«Пользователь» и пароль)

или

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

Базовая авторизация у меня работает, ввожу пользователя «Домен»/«Пользователь» и пароль и все ок. Но он не интересен.

Не работает ntlm авторизация в cache.log никаких предупреждений или ошибок. В access.log пишет 1347886461.231 0 192.168.137.1 TCP_DENIED/407 4317 GET http://www.google.ru/ - NONE/- text/html wbinfo -p -t -u - g -a выполняются. Браузеры для теста: Mozila, IE 8.

squid.conf

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

auth_param ntlm children 50 auth_param ntlm keep_alive on

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic

auth_param basic children 50 auth_param basic realm Squid Proxy-Server

auth_param basic credentialsttl 2 hours auth_param basic casesensitive off

acl lan proxy_auth REQUIRED http_access allow lan http_access deny all

jonhy
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin