BSDPORTAL.RU
http://bsdportal.ru/

squid+ad+ntlm - опять эта избитая тема...
http://bsdportal.ru/viewtopic.php?f=13&t=28696
Страница 1 из 1

Автор:  MistentiQ [ Ср 06 июн, 2018 12:20 pm ]
Заголовок сообщения:  squid+ad+ntlm - опять эта избитая тема...

Салют.
По наследству досталась связка squid+sams+rejik+AD с прозрачной авторизацией доменных юзверей.
И вся эта радость вращается на Фряхе 9.2 и на виртуальном Xen Server.
И самая грустная новость - Фряху я вижу 1 раз в жизни.

Случилось так, что неделю назад squidlog доел всё свободное место на диске и успешно положил всю систему.
Сделал trancate всей таблице, освободил место, написал скриптик чтоб чистить логи старше 2ух месяцев.
Всё вроде заработало, но как только добавил нового пользователя в самс, убедился что не всё так гладко.
Все новые пользователи, добавленные после вышеописанных событий не могут ходить в интернеты, блокируются проксей. В ходе расследования выяснилось что wbinfo -u не видит пользователей, хотя wbinfo -t говорит что всё ОК, а wbinfo -g замечательно видит все группы
nsswitch
group: files winbind
group_compat: nis
hosts: files dns
networks: files
#passwd: compat
passwd: files winbind
passwd_compat: nis
shells: files
services: compat
services_compat: nis
protocols: files
rpc: files


krb5
[libdefaults]
default_realm = MAIN.RUSSIANPOST.RU
dns_lookup_realm = no
dns_lookup_kdc = no
ticket_lifetime = 24h
kdc_timesync = true
forwardable = true
proxiable = true
v4_instance_resolve = false
fcc-mit-ticketflags = true
[realms]
MAIN.RUSSIANPOST.RU = {
kdc = a78eskdc1.main.russianpost.ru
kdc = a78eskdc2.main.russianpost.ru
kdc = r00eskdc01.main.russianpost.ru
admin_server = a78DHCP01.main.russianpost.ru
default_domain = MAIN.RUSSIANPOST.RU
}

[domain_realm]
.main.russianpost.ru = MAIN.RUSSIANPOST.RU
main.russianpost.ru = MAIN.RUSSIANPOST.RU
.spb.asc.local = SPB.ASC.LOCAL
spb.asc.local = SPB.ASC.LOCAL


smb
[global]
workgroup = MAIN
server string = A78Proxy
security = ads
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes
log file = /var/log/samba/log.%m
max log size = 50
realm = MAIN.RUSSIANPOST.RU
password server = *
# password server = a78eskdc1.main.russianpost.ru, r00eskdc01.main.russianpost.ru
local master = no
os level = 0
domain master = no
preferred master = no
domain logons = no
dns proxy = no
winbind refresh tickets = true
# Добавил строки ниже. Без них не получалось найти
# соответствие между пользователем и его группой
# При 'winbind use default domain = yes' в логах
# Squid будет указан только пользователь без домена
# winbind separator = +
winbind use default domain = yes
winbind uid = 10000-400000
winbind gid = 10000-400000
winbind enum users = yes
winbind enum groups = yes
lanman auth = No
ntlm auth = No
client ntlmv2 auth = Yes
client lanman auth = No
client plaintext auth = No


Подскажите куда копать.

Автор:  skeletor [ Пн 11 июн, 2018 12:43 pm ]
Заголовок сообщения:  Re: squid+ad+ntlm - опять эта избитая тема...

restart samb'ы и посмотреть, будут ли работать wbinfo -u/-t/-g

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/