Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
else
Зарегистрирован: 14.08.2004 Сообщения: 158 Откуда: SPb
|
Добавлено: Пн Окт 11 2004 22:20 Заголовок сообщения: SQUID+NTLM+IE!=work |
|
|
Имеется
SQUID-2.5STABLE6 скомпилированный с исходниками от samba 3.0.7
и сама samba 3.0.7
задача - прикрутить к squid ntlm аутентификацию
проблема - не прикручивается =)
логи чистые, тесты все проходит на ура (wbinfo, wb_auth и как вариант ntlm_auth basic тоже, по plain/text все работает)
та же самба на свои ресурсы пускает молча с той же ntlm, аккуратно пишет в логи логин+пароль+айпи
а сквид - никак по ntlm общаться не желает
в access.log - доступ запрещен 407
Домен 2003 (где-то в конференциях пролетали записи, что 2003 домен реализует NTLM v2, который вроде squid не поддерживает или поддерживает с трудом, но записи староваты, а насчет последней версии я сведений не нашла)
Клиент w2k IE 5.0
Где могут быть грабли? =(
---
PS кэш не ёлкой, прокси не прозрачный, мануалы читала _________________ nothing else |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Окт 12 2004 07:31 Заголовок сообщения: |
|
|
Если access denied, значит где-то неверно указаны ACL-ки.
Можно из поглядеть?
Еще раз для ясности:
Хочу увидеть кусок файл из squid.conf
Те строчки, которые начинаются на acl и http_access |
|
Вернуться к началу |
|
|
else
Зарегистрирован: 14.08.2004 Сообщения: 158 Откуда: SPb
|
Добавлено: Вт Окт 12 2004 09:59 Заголовок сообщения: |
|
|
acl domain_users proxy_auth REQUIRED
http_access allow domain_users
Поскольку plain/text аутентификация проходит, то можно, наверное, предположить, что правило работает _________________ nothing else |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Окт 12 2004 14:47 Заголовок сообщения: |
|
|
На squid.opennet.ru есть обстоятельная дока по теме.
Читали?
И неужто это все ACL? Что-то не верится. |
|
Вернуться к началу |
|
|
else
Зарегистрирован: 14.08.2004 Сообщения: 158 Откуда: SPb
|
Добавлено: Ср Окт 13 2004 21:21 Заголовок сообщения: |
|
|
Да, разумеется читала, в общем-то первоначально по нему и делала
А acl гораздо больше - не один лист =)
одних подсетей 15 штук, выкладывать его тут я не буду
Там ничего не может резаться, конфиг проверенный и рабочий, собственно на нем все в данный момент работает, но трафик считается по ip. _________________ nothing else |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Ср Окт 13 2004 22:15 Заголовок сообщения: |
|
|
http_access allow domain_users
Это самое первое разрешение в списке? Или где-то выше кое-что запрещается?
Очень важна последовательность определения http_access allow |
|
Вернуться к началу |
|
|
else
Зарегистрирован: 14.08.2004 Сообщения: 158 Откуда: SPb
|
Добавлено: Ср Окт 13 2004 22:41 Заголовок сообщения: |
|
|
самое первое _________________ nothing else |
|
Вернуться к началу |
|
|
else
Зарегистрирован: 14.08.2004 Сообщения: 158 Откуда: SPb
|
Добавлено: Вт Окт 19 2004 20:39 Заголовок сообщения: решение |
|
|
В общем я его уговорила
пишу как
squid.conf :
auth_param basic program /usr/bin/ntlm_auth -d --diagnostics --helper-protocol=squid-2.5-basic
аналогично для ntlm
-d - дебаг
-diagnostics - с этой опцией при потытках неудачного коннекта мы имеем не скудную инфу в access.log, а очень интересную и разверную в cache.log
дальше все оказалось просто
если устанавливать права на /usr/lib/samba/winbind_priveleges соотвественно мануалу, то winbind тихо падает
а если устанавливать как того желает winbind то сквид не имеет доступа к pipe и не может произвести аутентификацию
Всеобщее счаcтье наступило вот так:
chmod 750 /usr/lib/samba/winbind_priveleges
service winbind start
chmod 777 /usr/lib/samba/winbind_priveleges
service squid start
А вот как это по уму да в автозапуск - я пока не знаю =) _________________ nothing else |
|
Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001 Сообщения: 14893 Откуда: Н.Новгород
|
Добавлено: Вт Окт 19 2004 21:52 Заголовок сообщения: |
|
|
Думаю, если копнуть в сторону PAM (/etc/pam.d), то много шансов на успех. |
|
Вернуться к началу |
|
|
|