MJ Scorpio
-
Постов
9 -
Зарегистрирован
-
Посещение
Никогда
Сообщения, опубликованные MJ Scorpio
-
-
В общем пока отцепил жирную машину с основным squid-ом от домена, поднял ее виртуально на фантомной сетевухе firewall-а, маленько перерулил правила iptables, чтобы по всей конторе настройки прокси не переписывать, настроил пока squid-а с минимальным кэшаком на том же firewall-е на аутентификацию по IP и буду с понедельника неспеша разбираться с NTLM и ntlm_auth, а то уже сил нет...
Как разгребу траблу, отпишу решение...
-
Belen писал(а) пт, 02 сентября 2005 10:18 попробуйте HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Paramete rs
RequireSecuritySignature=0
Снова поставил SP1 на 2k3, понизил версию SAMBA до 3.0.10, т.е. все вернул к моменту возникновения траблы.
Прописал рекомендованный ключ в реестре и наблюдал следущее:
стандартная NTLM аутентификация юзверей проходит, в логах squid-а стали видны юзвери, однако перловый скрипт аутентификации по группам глючит и отказывается работать.
Причина - не отрабатывает wbinfo -n имя_группы.
Т.е. wbinfo не может зачитать SID группы, хотя SID юзверя нормально зачитывает
Отсюда IMHO вывод - samba 3.0.10 все же косячит с 2k3 доменом после SP1, еще какие то ключики нужно перестроить, если ковырять проблему со стороны MustDie
-
Alan писал(а) вт, 30 августа 2005 00:14 естественно, размер делал разный, про это я в первую очередь, думал, но как видишь из мессаги, гореть, он наченает, еще до создания, разделов....
В Mandrake 10.0 у меня токого не было, в винде тоже все в норме, я подозреваю, что гореть он наченает, именно из за дров которые он ставит...
У меня такая же дрянь была под MustDie-м с одной одной мамой из серии кривых, производства MSI... там Cel 700 стоит...
Пролечилось перешивкой BIOS.
-
Трабла, похоже, на стороне MustDie, он же у тебя PDC, или я что-то не понял...
Что у тебя на MustDie-ном серванте NT, 2k или 2k3?
Под какой осью у тебя workstations?
Если на них не ХРюндель, а 9X, то это, в принципе, нормальное явление.
98 я лечил следующим образом - ставил mdcu (неофициальный пакет обновления) и AD Client для Win98.
-
Цитата: title=Falling писал(а) пт, 02 сентября 2005
Файл /etc/samba/secrets.tdb - существует
Погаси сервисы smb и winbind, снеси secrets.tbl, подожди пока машина с самбой исчезнет в сетевом окружении, переджойни самбовую машину к домену и снова заведи smb и winbind.
Иногда помогает... (конечно если твой домен поднят не на samba, а на MustDie)
-
merlon писал(а) пт, 02 сентября 2005 03:33 сам сегодня столкнулся с похожей проблемой
виноват Мастдай, а точнее его новые политики доменной структуры
а то что я пока накопал,... вообщем пока самба не умеет с 2k3 SP1 работать, ругается на
cli_negprot: SMB signing is mandatory and we have disabled it.
дальше буду копать
Выяснил следующее:
3.0.14a уже умеет, а вот как раз SQUID, последней сботки для FC3 не умеет общаться с /usr/bin/ntlm_auth от этой версии samba, которая была слита с samba.org.
Ведь в режиме хелпера у меня все аутентификаторы работают и /usr/bin/ntlm_auth и перловый скрипт аутентификации группы wbinfo_group.pl
Не работает именно аутентификация в SQUID-е!!!
т.е. он не понимает ответы базового и NTLM методов аутентификации, т.е. ответы ntlm_auth...
Посмотрел пакеты FC4, так там уже в дистрибе 3.0.14
Попробовал на FC3 надеть SQUID, из дистриба FC4, так он у меня запросил свежие секюрные библиотеки (что-то типа libcrypto и libssl) и соответственно не встал
Теперь на стороне *NIX IMHO вариантов два:
a) пересобрать squid из сырцов.
проапдейтиться до FC4.
Мне уже интересней стало победить эту траблу со стороны *NIX
Хотя можно, в принципе, понизить версию samba до 3.0.10 (последняя в update для FC3) и поковырять MustDie-ный реестр.
-
На *NIX-овой машине со SQUID-ом все порты открыты, на MustDie-ной ситуация аналогичная.
Если бы какие-то из нужных портов были бы закрыты (например 88, 137-139), то я бы не смог бы переджойнить samba с никсовой машины на 2k3 домен и всосать юзверей. На эти грабли я уже давно не наступаю ))
Все тесты то работают!!!
Я, конечно, дал dupm по интерфейсу, но ни чего интересного и неожиданного я там не увидел 8(
IMHO у траблы может быть 2 конца:
a) SP1 в процессе установки нафигачил какие то параметры в локальные и доменные политики, которые я пока не могу определить.
просто SQUID сборки команды FC не хочет работать с ntlm_auth, который шел в пакете smb 3.0.14, слитом не FC update, а с samba.org, как следствие, придется пересобирать SQUID из свежеслитых сырцов.
Сейчас мне нужно выястить хоть с какого конца решать эту траблу, со стороны *NIX или со стороны MustDie...
-
Было так:
Первая машина: PDC 2k3 Server (пока без SP1 заплаток)
Вторая машина: FC3 + samba 3.0... (последняя с FC3 update) + Squid, настроенный на NTLM аутентификацию.
От samba использовался только winbind для засасывания с 2k3 домена юзверей и групп.
В виду своей ленивости, прикрутил к SQUID-у аутентификационный скрипт на перле wbinfo_group.pl
Эта фича позволяла добавлять или удалять юзверей, которым можно ходить в I-Net прямо на MustDie-ном серваке не прикасаясь к конфигу сквида. squid -k reconfigure честно ходил по крону и перечитывал членов 2k3 группы которой был разрешен доступ в I-Net и, соответственно, запрешал или разрешал доступ юзверям, которые приходили или уходили из этой хитрой группы.
В таком виде все замечательно работало с середины зимы.
Стало так:
Черт меня дернул надеть на 2k3 SP1 - сразу все отвалилось 8(
Стал разбираться:
Перестало прокатывать wbinfo -n имя_группы, хотя wbinfo -n имя_юзверя честно выдавал SID юзверя.
Естественно у скрипта wbinfo_group.pl начало сносить крышу, т.к. он работает используя SID-ы получаемые от wbinfo.
Качнул samba 3.0.14, кое-как вкорячил, обновил krb5 и все с ним связанное, переджойнил *NIX-овую машину к 2k3 домену, стал тестить.
Вот тут началось самое интересное:
getent group - безупречно;
wbinfo -t (-u, -g) - тоже замечательно;
wbinfo -n - отрабатывает как часы и по юзверям и по группам.
запустил wbinfo_group.pl в режиме хелпера - тоже все нормально отрабатывает.
заустил ntml_auth --helper-protocol=squid-2.5-basic в режиме хелпера - тоже все работает и честно пишет OK и ERR по мере верности набирания юзверей и паролей.
А вот когда запустил SQUID-а сразу вылезла проблема - там это все не работает 8(
Посмотрел по логам - он просто юзверей вообще не всасывает...
Отцепил в котфиге скрипт, настроил на стандартную NTLM аутентификацию - эффект то же.
Перестроил на IP - все заработало, перестроил на другой внешний аутентификатор ни как не связанный с NTLM - тоже работает значит трабла не в SQUD-е.
С другим внешним аутентификатором в логах юзвери полезли!
Снес с 2k3 Server этот долбаный SP1 протестил по кругу все еще раз - эффект то же. Видать он гад (SP1) чего то наваял в политиках безопасности. Что именно, пока отловить не могу... 8(
Я уже всю голову сломал, блин... И в I-Net-е ни какой русскоязычной инфы не нашел... 8(
Народ, у кого ни-ть есть мысли по поводу моей траблы?
Очень нужно!!!
проблемы с Samba
в Linux RedHat/Fedora Core/CentOS
Опубликовано
в том-то и беда, что smbd не работает и FC4-машина в сетевом окружении не видна, зато клиентская часть самбы работает на ура, качает с и записывает на WindowxXP-машину..
samba-client и samba-server - это две большие разницы!!!
А ты уверен, что у тебя в sbm.conf коcяков нету?
Может по этому и не заводится?
winbind настраивал?
wbinfo -t чего говорит?