LINUX.ORG.RU
решено ФорумAdmin

ad+squid не удается авторизоваться


0

2

Добрый день! Никак не могу пройти авторизацию в squid, когда он выдает диалоговое окно в браузере. Установлены:squid-3.1.20,samba-3.3.6,samba-client,samba-common. nsswitch.conf

passwd: compat winbind
group: compat winbind
shadow: files
smb.conf
[global]
workgroup = DOMAINSERVER (в сетях xp отображается не как domain.local, а именно domainserver)
netbios name = proxy-server
server string = Samba Server
hosts allow = 192.168.3.
log file = var/log/samba/%m.log
max log size = 50
security = ADS
password server = domain.domain.local
realm = DOMAIN.LOCAL
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = no
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/false
winbind use default domain = yes
krb5.conf
[loggining]
    Default = FILE:/var/log/krb5libs.log
    kdc = FILE:/var/log/krb5kdc.log
    admin_server = FILE:/var/log/kadmin.log

[libdefaults]
    default_realm = DOMAIN.LOCAL
    dns_lookup_realm = false
    dns_lookup_kdc = true
    licket_lifetime = 24h
    forwardable = yes

[realms]
    DOMAIN.LOCAL = {
    kdc = domain.domain.local
    admin_server = domain.domain.local
    default_domain = domain.local
}

[domain_realm]
    .domain.local = DOMAIN.LOCAL
    domain.local = DOMAIN.LOCAL
версия и опции squid
squid3 -v
Squid Cache: Version 3.1.20
configure options:  '--build=x86_64-linux-gnu' '--prefix=/usr' '--includedir=${prefix}/include' '--mandir=${prefix}/share/man' '--infodir=${prefix}/share/info' '--sysconfdir=/etc' '--localstatedir=/var' '--libexecdir=${prefix}/lib/squid3' '--srcdir=.' '--disable-maintainer-mode' '--disable-dependency-tracking' '--disable-silent-rules' '--datadir=/usr/share/squid3' '--sysconfdir=/etc/squid3' '--mandir=/usr/share/man' '--with-cppunit-basedir=/usr' '--enable-inline' '--enable-async-io=8' '--enable-storeio=ufs,aufs,diskd' '--enable-removal-policies=lru,heap' '--enable-delay-pools' '--enable-cache-digests' '--enable-underscores' '--enable-icap-client' '--enable-follow-x-forwarded-for' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-basic-auth-helpers=LDAP,MSNT,NCSA,PAM,SASL,SMB,YP,DB,POP3,getpwnam,squid_radius_auth,multi-domain-NTLM' '--enable-ntlm-auth-helpers=smb_lm,' '--enable-digest-auth-helpers=ldap,password' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-external-acl-helpers=ip_user,ldap_group,session,unix_group,wbinfo_group' '--enable-arp-acl' '--enable-esi' '--enable-zph-qos' '--enable-wccpv2' '--disable-translation' '--with-logdir=/var/log/squid3' '--with-pidfile=/var/run/squid3.pid' '--with-filedescriptors=65536' '--with-large-files' '--with-default-user=proxy' '--enable-linux-netfilter' 'build_alias=x86_64-linux-gnu' 'CFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security -Wall' 'LDFLAGS=-fPIE -pie -Wl,-z,relro -Wl,-z,now' 'CPPFLAGS=-D_FORTIFY_SOURCE=2' 'CXXFLAGS=-g -O2 -fPIE -fstack-protector --param=ssp-buffer-size=4 -Wformat -Werror=format-security' --with-squid=/tmp/buildd/squid3-3.1.20
resolve.conf
domain domain.local
serach domain.local
nameserver 192.168.3.3 - адрес контроллера домена
nameserver 109.... - адрес провайдера
nameserver 109.....- адрес провайдера
squid.conf
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 10
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Domain Proxy Server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
authenticate_cache_garbage_interval 10 seconds
authenticate_ttl 0 seconds
#external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl

acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl localnet src 192.168.3.0/24
acl SSL_ports port 443
acl Safe_ports port 80          # http
acl Safe_ports port 21          # ftp
acl Safe_ports port 443         # https
acl Safe_ports port 70          # gopher
acl Safe_ports port 210         # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECT
acl lan src 192.168.3.0/24
acl auth proxy_auth REQUIRED
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow auth
http_access deny all
http_port 3128
Соответственно на dns сервере, там же находится и контроллер домена создал ptr запись тестирую
ping domain.local
PING domain.local (192.168.3.3) 56(84) bytes of data.
64 bytes from domain.domain.local (192.168.3.3): icmp_req=1 ttl=128 time=0.380 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=2 ttl=128 time=0.504 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=3 ttl=128 time=0.622 ms

ping domain
PING domain.local (192.168.3.3) 56(84) bytes of data.
64 bytes from domain.domain.local (192.168.3.3): icmp_req=1 ttl=128 time=0.380 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=2 ttl=128 time=0.504 ms
64 bytes from domain.domain.local (192.168.3.3): icmp_req=3 ttl=128 time=0.622 ms

ping proxy-server
Обмен пакетами с proxy-server [192.168.3.6] с 32 байтами данных:
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=4мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=2мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=1мс TTL=64

ping proxy-server.domain.local

Обмен пакетами с proxy-server.domain.local [192.168.3.6] с 32 байтами данных:
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время=1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64
Ответ от 192.168.3.6: число байт=32 время<1мс TTL=64

nslookup domain
Server:         192.168.3.3
Address:        192.168.3.3#53

Name:   domain.domain.local
Address: 192.168.3.3

nslookup proxy-server.domain.local
&#9572;хЁтхЁ:  ipv6-localhost
Address: ::1

&#9562;ь :     proxy-server.domain.local
Address:  192.168.3.6
перезапускаю все сервисы
service samba restart
[ ok ] Stopping Samba daemons: nmbd smbd.
[ ok ] Starting Samba daemons: nmbd smbd.
root@proxy-server:/etc/squid3# service winbind restart
[ ok ] Stopping the Winbind daemon: winbind.
[ ok ] Starting the Winbind daemon: winbind.
root@proxy-server:/etc/squid3# service squid3 restart
[ ok ] Restarting Squid HTTP Proxy 3.x: squid3[....]  Waiting.....................done.
. ok
Далее проверяю самбу
net join -U proxy-server
Enter proxy-server's password:
Using short domain name -- domainserver
Joined 'PROXY-SERVER' to realm 'domain.local'

wbinfo -t
checking the trust secret for domain DOMAINSERVER via RPC calls succeeded

wbinfo -p
Ping to winbindd succeeded

wbinfo -u
администратор
гость
юзер1
юзер2
......

testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
WARNING: The "idmap uid" option is deprecated
WARNING: The "idmap gid" option is deprecated
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
Проверяю kerberos
kinit
Password for proxy-server@DOMAIN.LOCAL:
root@proxy-server:/etc/squid3# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: proxy-server@DOMAIN.LOCAL

Valid starting       Expires              Service principal
27.12.2013 12:37:24  27.12.2013 22:37:36  krbtgt/DOMAIN.LOCAL@DOMAIN.LOCAL
        renew until 28.12.2013 12:37:24

Открываю браузер, например мозила, в настройках прокси сервера ввожу proxy-server.domain.local порт 3128, ip также пытался указывать, после чего открываю сайт, где выходит окно авторизации, ввожу доменного пользователя и его пароль, спустя 1 секунду снова это окно и до бесконечности, значит что-то меня не пускает, но что - не понятно, я уже с 12 сайтов конфиги перебробовал мб я делаю что-то не так?. Грешу на ntlm авторизацию, в руководстве по freebsd предлагает проверить хелпер
После установки при запущенном winbindd необходимо проверить работу
helper'а. Для этого запускаем 
/usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Запускаю
/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
user passwords
OK

Покажи кусок логов сквида, когда пользователь в интернет стучится.

hellstad ()
Ответ на: комментарий от hellstad

ad+squid не удается авторизоваться

после выходных обязательно покажу!

unkgsom ()

Не смотрели в сторону negotiate squid_kerb_auth? Пользователи избавляются от необходимости вводить пароли, вы избавляетесь от самбы.

strnd ()
Ответ на: комментарий от hellstad

прикладываю логи

access.log

1390125501.855      0 192.168.3.57 TCP_DENIED/407 3741 CONNECT www.google.com:443 - NONE/- text/html
1390125502.170      4 192.168.3.57 TCP_DENIED/407 4379 GET http://download.cdn.mozilla.net/pub/firefox/releases/26.0/update/win32/ru/firefox-25.0.1-26.0.partial.mar - NONE/- text/html
1390125502.210      7 192.168.3.57 TCP_DENIED/407 4716 GET http://download.cdn.mozilla.net/pub/firefox/releases/26.0/update/win32/ru/firefox-25.0.1-26.0.partial.mar - NONE/- text/html
1390125502.223      0 192.168.3.57 TCP_DENIED/407 5039 GET http://download.cdn.mozilla.net/pub/firefox/releases/26.0/update/win32/ru/firefox-25.0.1-26.0.partial.mar - NONE/- text/html
1390125502.336      0 192.168.3.57 TCP_DENIED/407 4287 GET http://download.mozilla.org/? - NONE/- text/html
1390125502.361      4 192.168.3.57 TCP_DENIED/407 4624 GET http://download.mozilla.org/? - NONE/- text/html
1390125502.386      0 192.168.3.57 TCP_DENIED/407 4935 GET http://download.mozilla.org/? - NONE/- text/html
1390125506.954   5014 192.168.3.57 TCP_DENIED/407 4078 CONNECT www.google.com:443 - NONE/- text/html
1390125506.970      0 192.168.3.57 TCP_DENIED/407 4371 CONNECT www.google.com:443 - NONE/- text/html
1390125519.083      2 192.168.3.57 TCP_DENIED/407 4078 CONNECT www.google.com:443 - NONE/- text/html
1390125519.121      0 192.168.3.57 TCP_DENIED/407 4357 CONNECT www.google.com:443 - NONE/- text/html
1390125531.323      3 192.168.3.57 TCP_DENIED/407 4078 CONNECT www.google.com:443 - NONE/- text/html
1390125531.336      0 192.168.3.57 TCP_DENIED/407 4395 CONNECT www.google.com:443 - NONE/- text/html
1390125552.506      0 192.168.3.57 TCP_DENIED/407 4780 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1390125552.535      5 192.168.3.57 TCP_DENIED/407 5117 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1390125552.541      0 192.168.3.57 TCP_DENIED/407 5450 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1390125555.809      0 192.168.3.57 TCP_DENIED/407 3757 CONNECT addons.mozilla.org:443 - NONE/- text/html
1390125555.818      2 192.168.3.57 TCP_DENIED/407 4094 CONNECT addons.mozilla.org:443 - NONE/- text/html
1390125555.836      0 192.168.3.57 TCP_DENIED/407 4399 CONNECT addons.mozilla.org:443 - NONE/- text/html
1390125612.599      0 192.168.3.57 TCP_DENIED/407 4780 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1390125612.614      5 192.168.3.57 TCP_DENIED/407 5117 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1390125612.619      0 192.168.3.57 TCP_DENIED/407 5450 POST http://safebrowsing.clients.google.com/safebrowsing/downloads? - NONE/- text/html
1390125697.418      0 192.168.3.57 TCP_DENIED/407 4342 GET http://yandex.ru/ - NONE/- text/html
1390125697.475      5 192.168.3.57 TCP_DENIED/407 4679 GET http://yandex.ru/ - NONE/- text/html
1390125697.479      0 192.168.3.57 TCP_DENIED/407 4962 GET http://yandex.ru/ - NONE/- text/html
1390125705.455      4 192.168.3.57 TCP_DENIED/407 4679 GET http://yandex.ru/ - NONE/- text/html
1390125705.458      0 192.168.3.57 TCP_DENIED/407 4950 GET http://yandex.ru/ - NONE/- text/html
1390125712.945      4 192.168.3.57 TCP_DENIED/407 4679 GET http://yandex.ru/ - NONE/- text/html
1390125712.949      0 192.168.3.57 TCP_DENIED/407 4948 GET http://yandex.ru/ - NONE/- text/html
1390125727.381      6 192.168.3.57 TCP_DENIED/407 4679 GET http://yandex.ru/ - NONE/- text/html
1390125727.436      0 192.168.3.57 TCP_DENIED/407 4974 GET http://yandex.ru/ - NONE/- text/html
1390125737.806      5 192.168.3.57 TCP_DENIED/407 4679 GET http://yandex.ru/ - NONE/- text/html
1390125737.812      0 192.168.3.57 TCP_DENIED/407 4976 GET http://yandex.ru/ - NONE/- text/html
1390125758.808      0 192.168.3.57 TCP_DENIED/407 4342 GET http://yandex.ru/ - NONE/- text/html
1390125758.822      4 192.168.3.57 TCP_DENIED/407 4679 GET http://yandex.ru/ - NONE/- text/html
1390125758.851      0 192.168.3.57 TCP_DENIED/407 4964 GET http://yandex.ru/ - NONE/- text/html
1390125766.635      5 192.168.3.57 TCP_DENIED/407 4679 GET http://yandex.ru/ - NONE/- text/html
1390125766.641      0 192.168.3.57 TCP_DENIED/407 4952 GET http://yandex.ru/ - NONE/- text/html
1390125776.545      5 192.168.3.57 TCP_DENIED/407 4679 GET http://yandex.ru/ - NONE/- text/html
1390125776.556      0 192.168.3.57 TCP_DENIED/407 4980 GET http://yandex.ru/ - NONE/- text/html
1390125785.297      4 192.168.3.57 TCP_DENIED/407 4679 GET http://yandex.ru/ - NONE/- text/html
1390125785.303      0 192.168.3.57 TCP_DENIED/407 4948 GET http://yandex.ru/ - NONE/- text/html
1390125916.796      0 192.168.3.57 TCP_DENIED/407 4119 POST http://ocsp.thawte.com/ - NONE/- text/html
1390125916.835      2 192.168.3.57 TCP_DENIED/407 4456 POST http://ocsp.thawte.com/ - NONE/- text/html
1390125916.847      0 192.168.3.57 TCP_DENIED/407 4753 POST http://ocsp.thawte.com/ - NONE/- text/html
1390125917.610      0 192.168.3.57 TCP_DENIED/407 4293 GET http://download.mozilla.org/? - NONE/- text/html
1390125917.632     15 192.168.3.57 TCP_DENIED/407 4630 GET http://download.mozilla.org/? - NONE/- text/html
cache.log
2014/01/19 13:09:47| Starting Squid Cache version 3.1.20 for x86_64-pc-linux-gnu...
2014/01/19 13:09:47| Process ID 2581
2014/01/19 13:09:47| With 65535 file descriptors available
2014/01/19 13:09:47| Initializing IP Cache...
2014/01/19 13:09:47| DNS Socket created at [::], FD 7
2014/01/19 13:09:47| DNS Socket created at 0.0.0.0, FD 8
2014/01/19 13:09:47| Adding nameserver 109.197.192.1 from /etc/resolv.conf
2014/01/19 13:09:47| Adding nameserver 109.197.192.78 from /etc/resolv.conf
2014/01/19 13:09:47| helperOpenServers: Starting 10/10 'ntlm_auth' processes
2014/01/19 13:09:47| helperOpenServers: Starting 5/5 'ntlm_auth' processes
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
could not obtain winbind domain name!
2014/01/19 13:09:48| Unlinkd pipe opened on FD 43
2014/01/19 13:09:48| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2014/01/19 13:09:48| Store logging disabled
2014/01/19 13:09:48| Swap maxSize 0 + 262144 KB, estimated 20164 objects
2014/01/19 13:09:48| Target number of buckets: 1008
2014/01/19 13:09:48| Using 8192 Store buckets
2014/01/19 13:09:48| Max Mem  size: 262144 KB
2014/01/19 13:09:48| Max Swap size: 0 KB
2014/01/19 13:09:48| Using Least Load store dir selection
2014/01/19 13:09:48| Current Directory is /
2014/01/19 13:09:48| Loaded Icons.
2014/01/19 13:09:48| Accepting  HTTP connections at [::]:3128, FD 44.
2014/01/19 13:09:48| HTCP Disabled.
2014/01/19 13:09:48| Squid plugin modules loaded: 0
2014/01/19 13:09:48| Adaptation support is off.
2014/01/19 13:09:48| Ready to serve requests.
2014/01/19 13:09:49| storeLateRelease: released 0 objects

unkgsom ()
Ответ на: прикладываю логи от unkgsom

Ну, кажется собаку надо выкапывать в районе «could not obtain winbind domain name!». Самба сама нормально пускает по логину-паролю?

hellstad ()
Ответ на: комментарий от hellstad

ad+squid не удается авторизоваться

проблема решена путем добавления прав для winbindd_privileged

chown -R root:proxy /var/run/samba/winbindd_privileged

unkgsom ()
Ответ на: ad+squid не удается авторизоваться от unkgsom

исправить то исправил, а вот права на это файл переписываются после рестарта системы, кто может подсказать почему и как это исправить?

unkgsom ()
Ответ на: комментарий от unkgsom

решение

и вновь, наконец-то уже решил проблему своими силами. В скрипте запуска /etc/init.d/winbind изменил конфигурацию на

mkdir -p /var/run/samba/winbindd_privileged || return 1
                chgrp proxy $PIDDIR/winbindd_privileged/ || return 1
                chmod 0750 $PIDDIR/winbindd_privileged/ || return 1
изменил группу winbindd_priv на proxy (нужна для squid)/

unkgsom ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.