Перейти к содержанию

2k3 Server SP1 + (FC3 + samba winbind + squid + NTLM) = трабла!


Рекомендуемые сообщения

Было так:

Первая машина: PDC 2k3 Server (пока без SP1 заплаток)

Вторая машина: FC3 + samba 3.0... (последняя с FC3 update) + Squid, настроенный на NTLM аутентификацию.

От samba использовался только winbind для засасывания с 2k3 домена юзверей и групп.

В виду своей ленивости, прикрутил к SQUID-у аутентификационный скрипт на перле wbinfo_group.pl

Эта фича позволяла добавлять или удалять юзверей, которым можно ходить в I-Net прямо на MustDie-ном серваке не прикасаясь к конфигу сквида. squid -k reconfigure честно ходил по крону и перечитывал членов 2k3 группы которой был разрешен доступ в I-Net и, соответственно, запрешал или разрешал доступ юзверям, которые приходили или уходили из этой хитрой группы.

В таком виде все замечательно работало с середины зимы.

Стало так:

Черт меня дернул надеть на 2k3 SP1 - сразу все отвалилось 8(

Стал разбираться:

Перестало прокатывать wbinfo -n имя_группы, хотя wbinfo -n имя_юзверя честно выдавал SID юзверя.

Естественно у скрипта wbinfo_group.pl начало сносить крышу, т.к. он работает используя SID-ы получаемые от wbinfo.

Качнул samba 3.0.14, кое-как вкорячил, обновил krb5 и все с ним связанное, переджойнил *NIX-овую машину к 2k3 домену, стал тестить.

Вот тут началось самое интересное:

getent group - безупречно;

wbinfo -t (-u, -g) - тоже замечательно;

wbinfo -n - отрабатывает как часы и по юзверям и по группам.

запустил wbinfo_group.pl в режиме хелпера - тоже все нормально отрабатывает.

заустил ntml_auth --helper-protocol=squid-2.5-basic в режиме хелпера - тоже все работает и честно пишет OK и ERR по мере верности набирания юзверей и паролей.

А вот когда запустил SQUID-а сразу вылезла проблема - там это все не работает 8(

Посмотрел по логам - он просто юзверей вообще не всасывает...

Отцепил в котфиге скрипт, настроил на стандартную NTLM аутентификацию - эффект то же.

Перестроил на IP - все заработало, перестроил на другой внешний аутентификатор ни как не связанный с NTLM - тоже работает значит трабла не в SQUD-е.

С другим внешним аутентификатором в логах юзвери полезли!

Снес с 2k3 Server этот долбаный SP1 протестил по кругу все еще раз - эффект то же. Видать он гад (SP1) чего то наваял в политиках безопасности. Что именно, пока отловить не могу... 8(

Я уже всю голову сломал, блин... И в I-Net-е ни какой русскоязычной инфы не нашел... 8(

Народ, у кого ни-ть есть мысли по поводу моей траблы?

Очень нужно!!!

Ссылка на комментарий
Поделиться на другие сайты

грабли могут быть в настройках файрволла по умолчанию при установке SP1

попробуйте "tcpdump -i eth0" (или какой у вас на сетку внутреннюю)

можно добавить host IP(2k3 сервера)

смотрите отвечает ли вам сервак

Ссылка на комментарий
Поделиться на другие сайты

На *NIX-овой машине со SQUID-ом все порты открыты, на MustDie-ной ситуация аналогичная.

Если бы какие-то из нужных портов были бы закрыты (например 88, 137-139), то я бы не смог бы переджойнить samba с никсовой машины на 2k3 домен и всосать юзверей. На эти грабли я уже давно не наступаю Cool))

Все тесты то работают!!!

Я, конечно, дал dupm по интерфейсу, но ни чего интересного и неожиданного я там не увидел 8(

IMHO у траблы может быть 2 конца:

a) SP1 в процессе установки нафигачил какие то параметры в локальные и доменные политики, которые я пока не могу определить.

B) просто SQUID сборки команды FC не хочет работать с ntlm_auth, который шел в пакете smb 3.0.14, слитом не FC update, а с samba.org, как следствие, придется пересобирать SQUID из свежеслитых сырцов.

Сейчас мне нужно выястить хоть с какого конца решать эту траблу, со стороны *NIX или со стороны MustDie...

Ссылка на комментарий
Поделиться на другие сайты

сам сегодня столкнулся с похожей проблемой

виноват Мастдай, а точнее его новые политики доменной структуры

а то что я пока накопал,... вообщем пока самба не умеет с 2k3 SP1 работать, ругается на

cli_negprot: SMB signing is mandatory and we have disabled it.

дальше буду копать

Ссылка на комментарий
Поделиться на другие сайты

merlon писал(а) пт, 02 сентября 2005 03:33

сам сегодня столкнулся с похожей проблемой

виноват Мастдай, а точнее его новые политики доменной структуры

а то что я пока накопал,... вообщем пока самба не умеет с 2k3 SP1 работать, ругается на

cli_negprot: SMB signing is mandatory and we have disabled it.

дальше буду копать

Выяснил следующее:

3.0.14a уже умеет, а вот как раз SQUID, последней сботки для FC3 не умеет общаться с /usr/bin/ntlm_auth от этой версии samba, которая была слита с samba.org.

Ведь в режиме хелпера у меня все аутентификаторы работают и /usr/bin/ntlm_auth и перловый скрипт аутентификации группы wbinfo_group.pl

Не работает именно аутентификация в SQUID-е!!!

т.е. он не понимает ответы базового и NTLM методов аутентификации, т.е. ответы ntlm_auth...

Посмотрел пакеты FC4, так там уже в дистрибе 3.0.14

Попробовал на FC3 надеть SQUID, из дистриба FC4, так он у меня запросил свежие секюрные библиотеки (что-то типа libcrypto и libssl) и соответственно не встал Sad

Теперь на стороне *NIX IMHO вариантов два:

a) пересобрать squid из сырцов.

B) проапдейтиться до FC4.

Мне уже интересней стало победить эту траблу со стороны *NIX Razz

Хотя можно, в принципе, понизить версию samba до 3.0.10 (последняя в update для FC3) и поковырять MustDie-ный реестр. Laughing

Ссылка на комментарий
Поделиться на другие сайты

Belen писал(а) пт, 02 сентября 2005 10:18

попробуйте HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Paramete rs

RequireSecuritySignature=0

Снова поставил SP1 на 2k3, понизил версию SAMBA до 3.0.10, т.е. все вернул к моменту возникновения траблы.

Прописал рекомендованный ключ в реестре и наблюдал следущее:

стандартная NTLM аутентификация юзверей проходит, в логах squid-а стали видны юзвери, однако перловый скрипт аутентификации по группам глючит и отказывается работать.

Причина - не отрабатывает wbinfo -n имя_группы.

Т.е. wbinfo не может зачитать SID группы, хотя SID юзверя нормально зачитывает Twisted Evil

Отсюда IMHO вывод - samba 3.0.10 все же косячит с 2k3 доменом после SP1, еще какие то ключики нужно перестроить, если ковырять проблему со стороны MustDie Shocked

Ссылка на комментарий
Поделиться на другие сайты

В общем пока отцепил жирную машину с основным squid-ом от домена, поднял ее виртуально на фантомной сетевухе firewall-а, маленько перерулил правила iptables, чтобы по всей конторе настройки прокси не переписывать, настроил пока squid-а с минимальным кэшаком на том же firewall-е на аутентификацию по IP и буду с понедельника неспеша разбираться с NTLM и ntlm_auth, а то уже сил нет... Confused

Как разгребу траблу, отпишу решение...

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...