Squid mit NTLM

[Sonic 10]

MEINEDOMÄNE\internet-erweitert

 

das hast du ja hoffentlich nur hier gepostet und nicht in deiner conf drinstehen?

:)

Spaß beiseite poste mal deine krb5.conf und die smb.conf

 

Gruß

Jens

 

Ach was mir da grad auffällt lass mal die "" weg

 

"MEINEDOMNE\internet-erweitert"

 

und folgende Einträge kannst du komplett auskommentieren, brauchst keine basic auth.

 

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MEINEDOMNE\internet-erweitert"

auth_param basic children 10

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

authenticate_ttl 1 hour

authenticate_cache_garbage_interval 10 minutes

bearbeitet 30. April 2010 von Sonic

[batman00 10]

Also ich hab jetzt mal die Basic Authentifizierung auskommentiert und die Anführungsstriche weggemacht - alles neu gestartet kommt immer noch das gleiche:

 

Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts!

 

Meinedomäne\Internet-Erweitert habe ich natürlich nur hier und nicht in der config ;-)

 

Hier meine krb5.conf:

 

[libdefaults]

default_realm = MEINEDOMÄNE.COM

 

[realms]

MEINEDOMÄNE.COM = {

kdc = MEINDCWin2003.MEINEDOMÄNE.COM

default_domain = MEINEDOMÄNE.COM

kpasswd_server = meindcwin2003.MEINEDOMÄNE.com

admin_server = meindcwin2003.MEINEDOMÄNE.com

}

 

 

[domain_relm]

.meinedomäne.com = MEINEDOMÄNE.COM

 

[logging]

kdc = FILE:/var/log/krb5/krb5kdc.log

admin_server = FILE:/var/log/krb5/kadmind.log

default = SYSLOG:NOTICE:DAEMON

 

[appdefaults]

pam = {

ticket_lifetime = 1d

renew_lifetime = 1d

forwardable = true

proxiable = true

retain_after_close = false

minimum_uid = 1

}

 

 

 

 

------------------------------------------------------------

Und hier die smb.conf:

 

# smb.conf is the main Samba configuration file. You find a full commented

# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the

# samba-doc package is installed.

# Date: 2010-04-13

[global]

workgroup = MEINEDOMÄNE

passdb backend = tdbsam

printing = cups

printcap name = cups

printcap cache time = 750

cups options = raw

map to guest = Bad User

logon path = \\%L\profiles\.msprofile

logon home = \\%L\%U\.9xprofile

logon drive = P:

usershare allow guests = No

idmap gid = 10000-20000

security = ADS

winbind use default domain = yes

add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %***

domain logons = No

domain master = No

wins server =MEINDCWIN2003.MEINEDOMÄNE.COM

wins support = No

realm = MEINEDOMÄNE.COM

template homedir = /home/%D/%U

winbind refresh tickets = yes

[homes]

comment = Home Directories

valid users = %S, %D%w%S

browseable = No

read only = No

inherit acls = Yes

[profiles]

comment = Network Profiles Service

path = %H

read only = No

store dos attributes = Yes

create mask = 0600

directory mask = 0700

[users]

comment = All users

path = /home

read only = No

inherit acls = Yes

veto files = /aquota.user/groups/shares/

[groups]

comment = All groups

path = /home/groups

read only = No

inherit acls = Yes

[printers]

comment = All Printers

path = /var/tmp

printable = Yes

create mask = 0600

browseable = No

[print$]

comment = Printer Drivers

path = /var/lib/samba/drivers

write list = @ntadmin root

force group = ntadmin

create mask = 0664

directory mask = 0775

 

## Share disabled by YaST

# [netlogon]

[Sonic 10]

hier mal meine smb.conf, die krb5 ist identisch.

 

[global]

workgroup = DOMÄNE

realm = DOMÄNE.COM

security = ads

encrypt passwords = yes

password server =DC.DOMÄNE.COM

winbind separator = /

idmap uid = 10000-20000

idmap gid = 10000-20000

winbind enum users = yes

winbind enum groups = yes

winbind use default domain = yes

printing = cups

printcap name = cups

printcap cache time = 750

cups options = raw

map to guest = Bad User

include = /etc/samba/dhcp.conf

logon path = \\%L\profiles\.msprofile

logon home = \\%L\%U\.9xprofile

logon drive = P:

usershare allow guests = No

[homes]

comment = Home Directories

valid users = %S, %D%w%S

browseable = No

read only = No

inherit acls = Yes

[profiles]

comment = Network Profiles Service

path = %H

read only = No

store dos attributes = Yes

create mask = 0600

directory mask = 0700

[users]

comment = All users

path = /home

read only = No

inherit acls = Yes

veto files = /aquota.user/groups/shares/

[groups]

comment = All groups

path = /home/groups

read only = No

inherit acls = Yes

[printers]

comment = All Printers

path = /var/tmp

printable = Yes

create mask = 0600

browseable = No

[print$]

comment = Printer Drivers

path = /var/lib/samba/drivers

write list = @ntadmin root

force group = ntadmin

create mask = 0664

directory mask = 0775

 

Gruß

[batman00 10]

Ich dreh durch. Immer noch:

 

[2010/05/03 15:58:43, 0] utils/ntlm_auth.c:263(get_require_membership_sid)

Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts!

[Sonic 10]

bin mir zwar überhaupt nicht sicher aber ich glaub da gabs Probleme wenn die AD Gruppe nicht im Standard Container Users liegt. Leg mal ne neu Gruppe z.B Internet direkt im AD Container Users an.

 

Gruß

Jens

[batman00 10]

Gleiches Problem: Could not parse MEINEDOMÄNETestSquid into seperate domain/name parts!

 

Ich denke der hat irgendwie ein Problem zwischen der Domäne und der Gruppe aufzulösen

[Sonic 10]

ich glaub ich hab noch nen Fehler gefunden.

schau mal in der smb.conf welchen Winbind Seperator du angegeben hast? Steht da:

winbind seperator = /

 

wenn ja musst du diesen Seperator auch in deiner Squid.conf bei folgendem Eintrag nutzen. Sorry hatte ich übersehen.

 

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MEINEDOMNE\internet-erweitert

 

dort muss im Abschnitt MEINEDOMNE\internet-erweitert dann kein Backslash rein sonder ein / da du diesen als winbind seperator definiert hast. Sprich MEINEDOMNE/internet-erweitert

 

Teste auf jeden Fall erst mal mit ner AD Gruppe im Users Container!

 

Gruß

Jens

bearbeitet 6. Mai 2010 von Sonic

[batman00 10]

O.K. Tatsache. Das wars wirklich.

 

Jetzt splittet er es auch richtig - allerdings kommt jetzt eine andere Fehlermeldung:

 

Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2010/05/06 10:35:45, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request)

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2010/05/06 10:35:45| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

[Sonic 10]

ok schon mal ein Schritt weiter.

 

versuch folgendes in der Konsole:

 

groupadd squid

chown squid:squid /var/cache/squid

chown squid:squid /var/log/squid

chgrp squid /var/lib/samba/winbind_privileged

 

danach die Datei /etc/group mit dem Editor öffnen und folgenden Eintrag hinzufügen falls nicht vorhanden.

 

squid:!:10157:squid 10157 steht für die Gruppenkennung die kannst du über Yast herausbekommen.

[batman00 10]

Sorry. Leider immer noch das gleiche.

 

Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2010/05/06 11:03:20, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request)

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2010/05/06 11:03:20| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

 

Hab deine Angaben an der Console durchgeführt. Kam zwar keine bestätigung aber gemekert hat er auch nicht...

[Sonic 10]

hast du den Eintrag in /etc/group gesetzt?

 

squid:!:10157:squid

 

10157 steht fr die Gruppenkennung die kannst du ber Yast herausbekommen.

 

schau mal auf den Ordner /var/lib/samba/winbind_privileged ob dort unter Permissions jetz die Squid Gruppe mit 750 drin steht.

 

Starte danach mal winbind und squid neu.

[Sonic 10]

nochwas,

in der Datei nsswitch.conf unter /etc/ müssen folgende Einträge stehen.

 

passwd: files winbind

group: files winbind

shadow: files

 

danach winbind neu starten.

[batman00 10]

Mega Geil!

 

Also in etc/group stand nur:

 

squid:!:1000:

 

hab ich ersetzt durch

 

squid:!:1000:squid wie du geschrieben hast. Ebenso stand in der nsswitch folgendes:

 

passwd: compact

group: compact

 

Hab ich ausgeklammert und deine Zeilen eingefügt.

 

Kompletten Rechner neu gestartet....

 

Jetzt geht. Nehm ich meinen User aus der Gruppe raus kommt gleich die Abfrage - da ich ja dann nicht berechtigt bin.

 

VVVVVIIIIIIIIEEEEEEEEEELLLLLLLLEEEEEEEEEENNNNNNNN DANK!

 

Vielleicht noch eine Frage - dann ist das Thema erledigt.

 

Ich habe 2 Gruppen.

Eine kann nur bestimmte Seiten ansurfen - die andere kann alles.

 

Wie realisiere ich das im Squid? Hab schon gesehen, dass die einfach die Standardregel für die ca. 15 offenen WEbsites für alle freischalten - den reste Sperren - außer für die Gruppe die alles kann....

[Sonic 10]

:jau:

Freut mich das es läuft, also das Content Filtering mach ich nicht mit dem Squid da kann ich dir leider nicht weiter helfen. Hab das ganze mit dansguardian gelöst. Allerdings geht dann das gebastel in die nächste Runde ;-)

Schau mal hier:

 

DansGuardian - True Web Content Filtering for All

 

Gruß

Jens

[batman00 10]

O.K. Vielen Dank und vielen Dank für die SUPER UNTERSTÜTZUNG!

 

Gleich mal alles als pdf abgespeichert und sicher abgelegt :-)

 

Danke!!!!!!!!!!!!