Было так:
Первая машина: PDC 2k3 Server (пока без SP1 заплаток)
Вторая машина: FC3 + samba 3.0... (последняя с FC3 update) + Squid, настроенный на NTLM аутентификацию.
От samba использовался только winbind для засасывания с 2k3 домена юзверей и групп.
В виду своей ленивости, прикрутил к SQUID-у аутентификационный скрипт на перле wbinfo_group.pl
Эта фича позволяла добавлять или удалять юзверей, которым можно ходить в I-Net прямо на MustDie-ном серваке не прикасаясь к конфигу сквида. squid -k reconfigure честно ходил по крону и перечитывал членов 2k3 группы которой был разрешен доступ в I-Net и, соответственно, запрешал или разрешал доступ юзверям, которые приходили или уходили из этой хитрой группы.
В таком виде все замечательно работало с середины зимы.
Стало так:
Черт меня дернул надеть на 2k3 SP1 - сразу все отвалилось 8(
Стал разбираться:
Перестало прокатывать wbinfo -n имя_группы, хотя wbinfo -n имя_юзверя честно выдавал SID юзверя.
Естественно у скрипта wbinfo_group.pl начало сносить крышу, т.к. он работает используя SID-ы получаемые от wbinfo.
Качнул samba 3.0.14, кое-как вкорячил, обновил krb5 и все с ним связанное, переджойнил *NIX-овую машину к 2k3 домену, стал тестить.
Вот тут началось самое интересное:
getent group - безупречно;
wbinfo -t (-u, -g) - тоже замечательно;
wbinfo -n - отрабатывает как часы и по юзверям и по группам.
запустил wbinfo_group.pl в режиме хелпера - тоже все нормально отрабатывает.
заустил ntml_auth --helper-protocol=squid-2.5-basic в режиме хелпера - тоже все работает и честно пишет OK и ERR по мере верности набирания юзверей и паролей.
А вот когда запустил SQUID-а сразу вылезла проблема - там это все не работает 8(
Посмотрел по логам - он просто юзверей вообще не всасывает...
Отцепил в котфиге скрипт, настроил на стандартную NTLM аутентификацию - эффект то же.
Перестроил на IP - все заработало, перестроил на другой внешний аутентификатор ни как не связанный с NTLM - тоже работает значит трабла не в SQUD-е.
С другим внешним аутентификатором в логах юзвери полезли!
Снес с 2k3 Server этот долбаный SP1 протестил по кругу все еще раз - эффект то же. Видать он гад (SP1) чего то наваял в политиках безопасности. Что именно, пока отловить не могу... 8(
Я уже всю голову сломал, блин... И в I-Net-е ни какой русскоязычной инфы не нашел... 8(
Народ, у кого ни-ть есть мысли по поводу моей траблы?
Очень нужно!!!