Re: sams & squid
On Tue, Jul 06, 2004 at 09:28:41AM +0400, Комаров Алексей wrote: > > Уже не первый день идет неравная борьба по прикручиванию авторизации в > > домене Windows через sams > Еще бы в пакет его кто не поленился запихать... > > Немного опыта набирусь и возможно сделаю ... Я завертывал его :-) то-ли предыдущую, толи предпредыдущую версию... до свежей всё как-то руки не доходят -- With best regards, Alexander S. Gordienko. mailto:[EMAIL PROTECTED]
RE: sams & squid
Продолжение неравной борьбы ... До пересборок (возвращал обратно (напомню, что система testing)) самбы с параметрами --with-winbind --with-winbind-auth-challenge и сквида с параметрами --enable-auth="ntlm,basic" --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind" Ситуация координально не изменилась. Basic авторизация проходит успешно NTLM - нет. Вот что обнаружено /var/log/squid/ceache.log Меня смущают позиции подчеркнутые *** В squid.conf как доктор прописал: auth_param ntlm program /usr/bin/ntlm_auth -d 10 --helper-protocol=squid-2.5-ntlmssp #auth_param ntlm children 5 #auth_param ntlm max_challenge_reuses 0 #auth_param ntlm max_challenge_lifetime 2 minutes #auth_param ntlm use_ntlm_negotiate off auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours раскоментирование закомментированных строк - нулевой результат. У кого есть мысли по этому соображению? 2004/07/06 17:02:28| DNS Socket created at 0.0.0.0, port 32918, FD 7 2004/07/06 17:02:28| Adding nameserver 192.168.0.245 from /etc/resolv.conf 2004/07/06 17:02:28| Adding nameserver 192.168.0.1 from /etc/resolv.conf 2004/07/06 17:02:28| helperOpenServers: Starting 5 'ntlm_auth' processes 2004/07/06 17:02:28| helperStatefulOpenServers: Starting 5 'ntlm_auth' processes [2004/07/06 17:02:28, 5] lib/debug.c:debug_dump_status(369) INFO: Current debug levels: all: True/10 tdb: False/0 printdrivers: False/0 lanman: False/0 smb: False/0 rpc_parse: False/0 rpc_srv: False/0 rpc_cli: False/0 passdb: False/0 sam: False/0 auth: False/0 * winbind: False/0 vfs: False/0 idmap: False/0 quota: False/0 acls: False/0 [2004/07/06 17:02:28, 5] lib/debug.c:debug_dump_status(369) INFO: Current debug levels: all: True/10 tdb: False/0 printdrivers: False/0 lanman: False/0 smb: False/0 rpc_parse: False/0 rpc_srv: False/0 rpc_cli: False/0 passdb: False/0 sam: False/0 auth: False/0 winbind: False/0 vfs: False/0 idmap: False/0 quota: False/0 acls: False/0 [2004/07/06 17:02:28, 5] lib/debug.c:debug_dump_status(369) INFO: Current debug levels: all: True/10 tdb: False/0 printdrivers: False/0 lanman: False/0 smb: False/0 rpc_parse: False/0 rpc_srv: False/0 rpc_cli: False/0 passdb: False/0 sam: False/0 auth: False/0 winbind: False/0 vfs: False/0 idmap: False/0 quota: False/0 acls: False/0 [2004/07/06 17:02:28, 5] lib/debug.c:debug_dump_status(369) INFO: Current debug levels: all: True/10 tdb: False/0 printdrivers: False/0 lanman: False/0 smb: False/0 rpc_parse: False/0 rpc_srv: False/0 rpc_cli: False/0 passdb: False/0 sam: False/0 auth: False/0 winbind: False/0 vfs: False/0 idmap: False/0 quota: False/0 acls: False/0 [2004/07/06 17:02:28, 5] lib/debug.c:debug_dump_status(369) INFO: Current debug levels: all: True/10 tdb: False/0 printdrivers: False/0 lanman: False/0 smb: False/0 rpc_parse: False/0 rpc_srv: False/0 rpc_cli: False/0 passdb: False/0 sam: False/0 auth: False/0 winbind: False/0 vfs: False/0 idmap: False/0 quota: False/0 acls: False/0 2004/07/06 17:02:28| Unlinkd pipe opened on FD 21 2004/07/06 17:02:28| Accepting HTTP connections at 0.0.0.0, port 3128, FD 19. 2004/07/06 17:02:28| Accepting ICP messages at 0.0.0.0, port 3130, FD 20. 2004/07/06 17:02:28| HTCP Disabled. 2004/07/06 17:02:28| WCCP Disabled. 2004/07/06 17:02:28| Loaded Icons. 2004/07/06 17:02:28| Ready to serve requests.
RE: sams & squid
-Original Message- From: Max Kosmach [mailto:[EMAIL PROTECTED] Sent: Monday, July 05, 2004 7:35 PM To: Комаров Алексей Анатольевич Cc: debian-russian@lists.debian.org Subject: Re: sams & squid Комаров Алексей Анатольевич wrote: > Уже не первый день идет неравная борьба по прикручиванию авторизации в > домене Windows через sams Еще бы в пакет его кто не поленился запихать... Немного опыта набирусь и возможно сделаю ...
Re: sams & squid
Комаров Алексей Анатольевич wrote: Уже не первый день идет неравная борьба по прикручиванию авторизации в домене Windows через sams Еще бы в пакет его кто не поленился запихать... Делаю, как написано на сайте: Серевер SQUID нужно скомпилировать с поддержкой схем авторизации и модулем winbind, --enable-auth="ntlm,basic" --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind" Делаю. Пересобираю пакет, но авторизатор SQUIDа не работает Не надо пересобирать - все из коробки работает Вернее работает из коробки в таком варианте squid, samba, winbind из unstable (наверно можно и testing - не пробовал) Далее в конфиге squid что-то типа auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --enable-helper-fail-open auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm use_ntlm_negotiate off auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours далее все работает # ./wb_auth -d /wb_auth[2839](wb_basic_auth.c:183): basic winbindd auth helper build Jun 30 2004, 16:24:03 starting up... /wb_auth[2839](wb_basic_auth.c:160): Can't contact winbindd. Dying Раньше там был кривой wb_auth - работает но с самбой 2.x Хотя wbinfo работает. угу ибо он-то собран с нужными хидерами # wbinfo -a users+user%user plaintext password authentication succeeded challenge/response password authentication succeeded угу -- With Best Wishes Max
RE: sams & squid
-Original Message- From: Sergey [mailto:[EMAIL PROTECTED] Sent: Friday, July 02, 2004 4:48 PM To: Комаров Алексей Cc: debian-russian@lists.debian.org Subject: RE: sams & squid On Fri, 2 Jul 2004, Комаров Алексей wrote: > > > > Где грабли? Не пойму. > > > > Помогите, кто настраивал данную связку. > > > А свой аутентификатор не потянет? > > Если я правильно понял, то его писать надо? > Вопрос немного в другом - написано, что должно работать, значит либо я > что-то не то делаю, либо это "забор". > Слышал, что данная связка эксплуатируется и проблем не вызывает, а вот > связаться с такими людьми нет возможности. > > Если есть нормально работающий аутентификатор, приму в дар, с инструкциями > :) > > Выглядит примерно так (для basic auth): #!/usr/bin/perl $| = 1; while () { # ($user,$pass) = split /\s+/; $_=~m/^([^\s]+)\s(.+)$/; $user=$1; $pass=$2; &test_user($1,$2); select STDOUT; } sub test_user { $res=`wbinfo -a [EMAIL PROTECTED]@_[1] | grep succeeded`; if ($res) {print STDOUT "ERR\n"} else {print STDOUT "OK\n"}; } Я с wbinfo не работал, нужно правильно сунуть пользователя и пароль... Можно еще для отладки что-нить писать в какой-нить файл.. Если надо, то у меня есть скрипты для ldap-а + схема + "ограничения по квотам", могу выслать... Это следующий шаг, буду признателен за информацию. -- echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sb20293A2058554E494Csnlbxq'|dc Best Regardsmailto:[EMAIL PROTECTED] Mokeev Sergey http://sux.csu.ac.ru/ ICQ UIN:168860082 ICQ UIN_for_sms: 157961200
RE: sams & squid
On Fri, 2 Jul 2004, Комаров Алексей wrote: > > > > Где грабли? Не пойму. > > > > Помогите, кто настраивал данную связку. > > > А свой аутентификатор не потянет? > > Если я правильно понял, то его писать надо? > Вопрос немного в другом - написано, что должно работать, значит либо я > что-то не то делаю, либо это "забор". > Слышал, что данная связка эксплуатируется и проблем не вызывает, а вот > связаться с такими людьми нет возможности. > > Если есть нормально работающий аутентификатор, приму в дар, с инструкциями > :) > > Выглядит примерно так (для basic auth): #!/usr/bin/perl $| = 1; while () { # ($user,$pass) = split /\s+/; $_=~m/^([^\s]+)\s(.+)$/; $user=$1; $pass=$2; &test_user($1,$2); select STDOUT; } sub test_user { $res=`wbinfo -a [EMAIL PROTECTED]@_[1] | grep succeeded`; if ($res) {print STDOUT "ERR\n"} else {print STDOUT "OK\n"}; } Я с wbinfo не работал, нужно правильно сунуть пользователя и пароль... Можно еще для отладки что-нить писать в какой-нить файл.. Если надо, то у меня есть скрипты для ldap-а + схема + "ограничения по квотам", могу выслать... -- echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sb20293A2058554E494Csnlbxq'|dc Best Regardsmailto:[EMAIL PROTECTED] Mokeev Sergey http://sux.csu.ac.ru/ ICQ UIN:168860082 ICQ UIN_for_sms: 157961200
RE: sams & squid
> > Хотя wbinfo работает. > > # wbinfo -a users+user%user > > plaintext password authentication succeeded > > challenge/response password authentication succeeded > > > > Машина заведена в домен. > > Debian testing > > > > Где грабли? Не пойму. > > Помогите, кто настраивал данную связку. > А свой аутентификатор не потянет? Если я правильно понял, то его писать надо? Вопрос немного в другом - написано, что должно работать, значит либо я что-то не то делаю, либо это "забор". Слышал, что данная связка эксплуатируется и проблем не вызывает, а вот связаться с такими людьми нет возможности. Если есть нормально работающий аутентификатор, приму в дар, с инструкциями :) > > > > > Комаров Алексей Анатольевич > > ЗАО "ИКТ-Холдинг" > > тел. 232-25-01, факс 232-25-04 > > > > -- echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sb20293A2058554E494Csnlbxq'|dc Best Regardsmailto:[EMAIL PROTECTED] Mokeev Sergey http://sux.csu.ac.ru/ ICQ UIN:168860082 ICQ UIN_for_sms: 157961200 -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: sams & squid
On Wed, 30 Jun 2004, Комаров Алексей Анатольевич wrote: > Date: Wed, 30 Jun 2004 16:48:20 +0400 > From: Комаров Алексей Анатольевич <[EMAIL PROTECTED]> > To: debian-russian@lists.debian.org > Subject: sams & squid > Resent-Date: Wed, 30 Jun 2004 07:48:31 -0500 (CDT) > Resent-From: debian-russian@lists.debian.org > > Привет всем! > > > > Уже не первый день идет неравная борьба по прикручиванию авторизации в > домене Windows через sams > > Делаю, как написано на сайте: > > Серевер SQUID нужно скомпилировать с поддержкой схем авторизации и модулем > winbind, > > --enable-auth="ntlm,basic" > --enable-basic-auth-helpers="winbind" > --enable-ntlm-auth-helpers="winbind" > > Делаю. Пересобираю пакет, но авторизатор SQUIDа не работает > > > > # ./wb_auth -d > > /wb_auth[2839](wb_basic_auth.c:183): basic winbindd auth helper build Jun 30 > 2004, 16:24:03 starting up... > > /wb_auth[2839](wb_basic_auth.c:160): Can't contact winbindd. Dying > > > > Хотя wbinfo работает. > > # wbinfo -a users+user%user > > plaintext password authentication succeeded > > challenge/response password authentication succeeded > > > > Машина заведена в домен. > > Debian testing > > > > Где грабли? Не пойму. > > Помогите, кто настраивал данную связку. > А свой аутентификатор не потянет? > > > > > Комаров Алексей Анатольевич > > ЗАО "ИКТ-Холдинг" > > тел. 232-25-01, факс 232-25-04 > > > > -- echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sb20293A2058554E494Csnlbxq'|dc Best Regardsmailto:[EMAIL PROTECTED] Mokeev Sergey http://sux.csu.ac.ru/ ICQ UIN:168860082 ICQ UIN_for_sms: 157961200
sams & squid
Привет всем! Уже не первый день идет неравная борьба по прикручиванию авторизации в домене Windows через sams Делаю, как написано на сайте: Серевер SQUID нужно скомпилировать с поддержкой схем авторизации и модулем winbind, --enable-auth="ntlm,basic" --enable-basic-auth-helpers="winbind" --enable-ntlm-auth-helpers="winbind" Делаю. Пересобираю пакет, но авторизатор SQUIDа не работает # ./wb_auth -d /wb_auth[2839](wb_basic_auth.c:183): basic winbindd auth helper build Jun 30 2004, 16:24:03 starting up... /wb_auth[2839](wb_basic_auth.c:160): Can't contact winbindd. Dying Хотя wbinfo работает. # wbinfo -a users+user%user plaintext password authentication succeeded challenge/response password authentication succeeded Машина заведена в домен. Debian testing Где грабли? Не пойму. Помогите, кто настраивал данную связку. Комаров Алексей Анатольевич ЗАО "ИКТ-Холдинг" тел. 232-25-01, факс 232-25-04