Не происходит авторизации в домене

0

0

Вообщем как я понимаю и исходя из содержимого логов, не происходит авторизации в домене при заходе на проксю. Вот конфиги:

# cat /etc/squid/squid.conf
http_port 10.0.1.11:3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 100 MB
cache_dir ufs /var/cache/squid 3000 16 256
quick_abort_pct 80

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 25
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Jabber_ports port 5222 5223
acl Safe_ports port 80      # http
acl Safe_ports port 21      # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70      # gopher
acl Safe_ports port 210     # wais
acl Safe_ports port 1025-65535  # unregistered ports
acl Safe_ports port 280     # http-mgmt
acl Safe_ports port 488     # gss-http
acl Safe_ports port 591     # filemaker
acl Safe_ports port 777     # multiling http
acl CONNECT method CONNECT

acl localnet src 10.0.0.0/16
acl myusers proxy_auth REQUIRED

#http_access allow manager localhost
#http_access deny manager
http_access deny !Safe_ports
http_access allow localhost

http_access allow localnet
http_access allow myusers


icp_access allow all
coredump_dir /var/spool/squid

logformat squid  %ts.%03tu %6tr %>a %Ss/%03Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/access.log squid

# cat /etc/krb5.conf
[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = true
default_realm = DOMAIN.LOCAL
clockskew = 300

[realms]
DOMAIN.LOCAL = {
kdc = 10.0.1.2
default_domain = 10.0.1.2
admin_server = 10.0.1.2
}

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

[domain_realm]
.DOMAIN.LOCAL = DOMAIN.LOCAL

[KDC]
profile= /etc/kdc.conf

# cat /etc/kdc.conf
[kdcdefaults]
        kdc_ports = 88,750

[realms]
        DOMAIN.LOCAL = {
        database_name = /etc/krb5kdc/principal
        admin_keytab = /etc/krb5kdc/kadm5.keytab
        acl_file = /etc/krb5kdc/kadm5.acl
        dict_file = /etc/krb5kdc/kadm5.dict
        key_stash_file = /etc/krb5kdc/.k5.DOMAIN.LOCAL
        kadmind_port = 749
        max_life = 10h 0m 0s
        max_renewable_life = 7d 0h 0m 0s
        master_key_type = des3-hmac-sha1
        supported_enctypes = des3-hmac-sha1:normal des-cbc-crc:normal
        }

# cat /etc/samba/smb.conf
[global]
workgroup = WORKGROUP
netbios name = linux
server string = linux
log file = /var/log/samba/log.%m
max log size = 50
hosts allow = 10.0.0. 127.
security = ads
password server = 10.0.1.2
encrypt passwords = yes
realm = DOMAIN.LOCAL
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R

вот такие вот конфиги. И что интересно в логах сквида вообще нет 
упоминания о попытке авторизации. Если убрать часть отвечающую за логин
то прокся нормально пашет. Т.е. не рабоатет именно логинг.
Проверил, в логи вообще ничего не пишется.

При этом запуск /usr/bin/ntlm_auth --username=NAME с дальнейшим вводом
пароля проходит нормально. Так же как и kinit и пр.

Дистриб джента, сквид 2.5.11, самба последняя. winbindd запущен с -d 3
но в логах самбы так же ничего не появляется.

Что делать?

Заранее спасибо!!!

Ссылка

←	Бесплатного сервера-то нет.

Переустановка Mysql

→

хм, заменил

auth_param basic realm Squid proxy-caching web server

на

auth_param basic realm DOMAIN.LOCAL

и он стал пускать, вот только в логах по прежнему нету именю юзера

1130916839.698 660 10.0.1.57 TCP_MISS/200 3978 GET http://www.linux.org.ru/profile/cyclon/comment-message.jsp? - - - DIRECT/217.76.32.61 text/html

три чёрточки это %ul, %un и %ui. Как видно их нет а есть тире.

Может это можно как то пофиксить?

cyclon ★★★★★
(02.11.05 10:38:05 MSK) автор топика

Ответ на: комментарий от cyclon 02.11.05 10:38:05 MSK

Вот ещё попрбовал залезть в проксю с тачки и юзера которых нет в домене, а прокся всёравно пускает.

cyclon ★★★★★
(02.11.05 10:46:03 MSK) автор топика

Ответ на: комментарий от cyclon 02.11.05 10:46:03 MSK

вернул http_access deny all результат тот же, т.е. такое ощущение что сквид просто не проверяет юзеров а пускает всех подряд.

cyclon ★★★★★
(02.11.05 10:49:31 MSK) автор топика

Ссылка

Ответ на: комментарий от cyclon 02.11.05 10:46:03 MSK

acl localnet src 10.0.0.0/16
http_access allow localnet

~~sdio~~ ★★★★★
(02.11.05 10:52:32 MSK)

Ответ на: комментарий от sdio 02.11.05 10:52:32 MSK

> acl localnet src 10.0.0.0/16 > http_access allow localnet

дык стоит, просто acl через несколько строчек от http_access

cyclon ★★★★★
(02.11.05 11:00:23 MSK) автор топика

Ответ на: комментарий от cyclon 02.11.05 11:00:23 MSK

Ты не понял, что ли?
Это срабатывает раньше всех.
Убери.

~~sdio~~ ★★★★★
(02.11.05 11:08:46 MSK)

Ответ на: комментарий от sdio 02.11.05 11:08:46 MSK

ОГРОМНОЕ СПАСИБО!!! А то я уже просто не знал что делать!!!

cyclon ★★★★★
(02.11.05 11:23:02 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Бесплатного сервера-то нет.

General

Переустановка Mysql

→

Похожие темы