MJ Scorpio Опубликовано 1 сентября, 2005 Жалоба Опубликовано 1 сентября, 2005 Было так: Первая машина: PDC 2k3 Server (пока без SP1 заплаток) Вторая машина: FC3 + samba 3.0... (последняя с FC3 update) + Squid, настроенный на NTLM аутентификацию. От samba использовался только winbind для засасывания с 2k3 домена юзверей и групп. В виду своей ленивости, прикрутил к SQUID-у аутентификационный скрипт на перле wbinfo_group.pl Эта фича позволяла добавлять или удалять юзверей, которым можно ходить в I-Net прямо на MustDie-ном серваке не прикасаясь к конфигу сквида. squid -k reconfigure честно ходил по крону и перечитывал членов 2k3 группы которой был разрешен доступ в I-Net и, соответственно, запрешал или разрешал доступ юзверям, которые приходили или уходили из этой хитрой группы. В таком виде все замечательно работало с середины зимы. Стало так: Черт меня дернул надеть на 2k3 SP1 - сразу все отвалилось 8( Стал разбираться: Перестало прокатывать wbinfo -n имя_группы, хотя wbinfo -n имя_юзверя честно выдавал SID юзверя. Естественно у скрипта wbinfo_group.pl начало сносить крышу, т.к. он работает используя SID-ы получаемые от wbinfo. Качнул samba 3.0.14, кое-как вкорячил, обновил krb5 и все с ним связанное, переджойнил *NIX-овую машину к 2k3 домену, стал тестить. Вот тут началось самое интересное: getent group - безупречно; wbinfo -t (-u, -g) - тоже замечательно; wbinfo -n - отрабатывает как часы и по юзверям и по группам. запустил wbinfo_group.pl в режиме хелпера - тоже все нормально отрабатывает. заустил ntml_auth --helper-protocol=squid-2.5-basic в режиме хелпера - тоже все работает и честно пишет OK и ERR по мере верности набирания юзверей и паролей. А вот когда запустил SQUID-а сразу вылезла проблема - там это все не работает 8( Посмотрел по логам - он просто юзверей вообще не всасывает... Отцепил в котфиге скрипт, настроил на стандартную NTLM аутентификацию - эффект то же. Перестроил на IP - все заработало, перестроил на другой внешний аутентификатор ни как не связанный с NTLM - тоже работает значит трабла не в SQUD-е. С другим внешним аутентификатором в логах юзвери полезли! Снес с 2k3 Server этот долбаный SP1 протестил по кругу все еще раз - эффект то же. Видать он гад (SP1) чего то наваял в политиках безопасности. Что именно, пока отловить не могу... 8( Я уже всю голову сломал, блин... И в I-Net-е ни какой русскоязычной инфы не нашел... 8( Народ, у кого ни-ть есть мысли по поводу моей траблы? Очень нужно!!! Цитата
merlon Опубликовано 1 сентября, 2005 Жалоба Опубликовано 1 сентября, 2005 грабли могут быть в настройках файрволла по умолчанию при установке SP1 попробуйте "tcpdump -i eth0" (или какой у вас на сетку внутреннюю) можно добавить host IP(2k3 сервера) смотрите отвечает ли вам сервак Цитата
MJ Scorpio Опубликовано 1 сентября, 2005 Автор Жалоба Опубликовано 1 сентября, 2005 На *NIX-овой машине со SQUID-ом все порты открыты, на MustDie-ной ситуация аналогичная. Если бы какие-то из нужных портов были бы закрыты (например 88, 137-139), то я бы не смог бы переджойнить samba с никсовой машины на 2k3 домен и всосать юзверей. На эти грабли я уже давно не наступаю )) Все тесты то работают!!! Я, конечно, дал dupm по интерфейсу, но ни чего интересного и неожиданного я там не увидел 8( IMHO у траблы может быть 2 конца: a) SP1 в процессе установки нафигачил какие то параметры в локальные и доменные политики, которые я пока не могу определить. просто SQUID сборки команды FC не хочет работать с ntlm_auth, который шел в пакете smb 3.0.14, слитом не FC update, а с samba.org, как следствие, придется пересобирать SQUID из свежеслитых сырцов. Сейчас мне нужно выястить хоть с какого конца решать эту траблу, со стороны *NIX или со стороны MustDie... Цитата
merlon Опубликовано 1 сентября, 2005 Жалоба Опубликовано 1 сентября, 2005 сам сегодня столкнулся с похожей проблемой виноват Мастдай, а точнее его новые политики доменной структуры а то что я пока накопал,... вообщем пока самба не умеет с 2k3 SP1 работать, ругается на cli_negprot: SMB signing is mandatory and we have disabled it. дальше буду копать Цитата
Belen Опубликовано 2 сентября, 2005 Жалоба Опубликовано 2 сентября, 2005 попробуйте HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Paramete rs RequireSecuritySignature=0 Цитата
MJ Scorpio Опубликовано 2 сентября, 2005 Автор Жалоба Опубликовано 2 сентября, 2005 merlon писал(а) пт, 02 сентября 2005 03:33 сам сегодня столкнулся с похожей проблемой виноват Мастдай, а точнее его новые политики доменной структуры а то что я пока накопал,... вообщем пока самба не умеет с 2k3 SP1 работать, ругается на cli_negprot: SMB signing is mandatory and we have disabled it. дальше буду копать Выяснил следующее: 3.0.14a уже умеет, а вот как раз SQUID, последней сботки для FC3 не умеет общаться с /usr/bin/ntlm_auth от этой версии samba, которая была слита с samba.org. Ведь в режиме хелпера у меня все аутентификаторы работают и /usr/bin/ntlm_auth и перловый скрипт аутентификации группы wbinfo_group.pl Не работает именно аутентификация в SQUID-е!!! т.е. он не понимает ответы базового и NTLM методов аутентификации, т.е. ответы ntlm_auth... Посмотрел пакеты FC4, так там уже в дистрибе 3.0.14 Попробовал на FC3 надеть SQUID, из дистриба FC4, так он у меня запросил свежие секюрные библиотеки (что-то типа libcrypto и libssl) и соответственно не встал Теперь на стороне *NIX IMHO вариантов два: a) пересобрать squid из сырцов. проапдейтиться до FC4. Мне уже интересней стало победить эту траблу со стороны *NIX Хотя можно, в принципе, понизить версию samba до 3.0.10 (последняя в update для FC3) и поковырять MustDie-ный реестр. Цитата
MJ Scorpio Опубликовано 3 сентября, 2005 Автор Жалоба Опубликовано 3 сентября, 2005 Belen писал(а) пт, 02 сентября 2005 10:18 попробуйте HKLM\SYSTEM\CurrentControlSet\Services\LanManServer\Paramete rs RequireSecuritySignature=0 Снова поставил SP1 на 2k3, понизил версию SAMBA до 3.0.10, т.е. все вернул к моменту возникновения траблы. Прописал рекомендованный ключ в реестре и наблюдал следущее: стандартная NTLM аутентификация юзверей проходит, в логах squid-а стали видны юзвери, однако перловый скрипт аутентификации по группам глючит и отказывается работать. Причина - не отрабатывает wbinfo -n имя_группы. Т.е. wbinfo не может зачитать SID группы, хотя SID юзверя нормально зачитывает Отсюда IMHO вывод - samba 3.0.10 все же косячит с 2k3 доменом после SP1, еще какие то ключики нужно перестроить, если ковырять проблему со стороны MustDie Цитата
MJ Scorpio Опубликовано 3 сентября, 2005 Автор Жалоба Опубликовано 3 сентября, 2005 В общем пока отцепил жирную машину с основным squid-ом от домена, поднял ее виртуально на фантомной сетевухе firewall-а, маленько перерулил правила iptables, чтобы по всей конторе настройки прокси не переписывать, настроил пока squid-а с минимальным кэшаком на том же firewall-е на аутентификацию по IP и буду с понедельника неспеша разбираться с NTLM и ntlm_auth, а то уже сил нет... Как разгребу траблу, отпишу решение... Цитата
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.