Архив форумов ЦИТФорума

[else]

Имеется
SQUID-2.5STABLE6 скомпилированный с исходниками от samba 3.0.7
и сама samba 3.0.7

задача - прикрутить к squid ntlm аутентификацию

проблема - не прикручивается =)

логи чистые, тесты все проходит на ура (wbinfo, wb_auth и как вариант ntlm_auth basic тоже, по plain/text все работает)
та же самба на свои ресурсы пускает молча с той же ntlm, аккуратно пишет в логи логин+пароль+айпи

а сквид - никак по ntlm общаться не желает
в access.log - доступ запрещен 407

Домен 2003 (где-то в конференциях пролетали записи, что 2003 домен реализует NTLM v2, который вроде squid не поддерживает или поддерживает с трудом, но записи староваты, а насчет последней версии я сведений не нашла)
Клиент w2k IE 5.0

Где могут быть грабли? =(
---
PS кэш не ёлкой, прокси не прозрачный, мануалы читала
_________________
nothing else

[and3008]

Если access denied, значит где-то неверно указаны ACL-ки.

Можно из поглядеть?

Еще раз для ясности:
Хочу увидеть кусок файл из squid.conf
Те строчки, которые начинаются на acl и http_access

[else]

acl domain_users proxy_auth REQUIRED
http_access allow domain_users

Поскольку plain/text аутентификация проходит, то можно, наверное, предположить, что правило работает
_________________
nothing else

[and3008]

На squid.opennet.ru есть обстоятельная дока по теме.

Читали?

И неужто это все ACL? Что-то не верится.

[else]

Да, разумеется читала, в общем-то первоначально по нему и делала

А acl гораздо больше - не один лист =)
одних подсетей 15 штук, выкладывать его тут я не буду

Там ничего не может резаться, конфиг проверенный и рабочий, собственно на нем все в данный момент работает, но трафик считается по ip.
_________________
nothing else

[and3008]

http_access allow domain_users
Это самое первое разрешение в списке? Или где-то выше кое-что запрещается?

Очень важна последовательность определения http_access allow

[else]

самое первое
_________________
nothing else

[else]

В общем я его уговорила
пишу как

squid.conf :

auth_param basic program /usr/bin/ntlm_auth -d --diagnostics --helper-protocol=squid-2.5-basic
аналогично для ntlm
-d - дебаг
-diagnostics - с этой опцией при потытках неудачного коннекта мы имеем не скудную инфу в access.log, а очень интересную и разверную в cache.log

дальше все оказалось просто
если устанавливать права на /usr/lib/samba/winbind_priveleges соотвественно мануалу, то winbind тихо падает
а если устанавливать как того желает winbind то сквид не имеет доступа к pipe и не может произвести аутентификацию

Всеобщее счаcтье наступило вот так:

chmod 750 /usr/lib/samba/winbind_priveleges
service winbind start
chmod 777 /usr/lib/samba/winbind_priveleges
service squid start

А вот как это по уму да в автозапуск - я пока не знаю =)
_________________
nothing else

[and3008]

Думаю, если копнуть в сторону PAM (/etc/pam.d), то много шансов на успех.