Jump to content

Squid mit NTLM


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

MEINEDOMÄNE\internet-erweitert

 

das hast du ja hoffentlich nur hier gepostet und nicht in deiner conf drinstehen?

:)

Spaß beiseite poste mal deine krb5.conf und die smb.conf

 

Gruß

Jens

 

Ach was mir da grad auffällt lass mal die "" weg

 

"MEINEDOMNE\internet-erweitert"

 

und folgende Einträge kannst du komplett auskommentieren, brauchst keine basic auth.

 

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MEINEDOMNE\internet-erweitert"

auth_param basic children 10

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

authenticate_ttl 1 hour

authenticate_cache_garbage_interval 10 minutes

bearbeitet von Sonic
Link zu diesem Kommentar

Also ich hab jetzt mal die Basic Authentifizierung auskommentiert und die Anführungsstriche weggemacht - alles neu gestartet kommt immer noch das gleiche:

 

Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts!

 

Meinedomäne\Internet-Erweitert habe ich natürlich nur hier und nicht in der config ;-)

 

Hier meine krb5.conf:

 

[libdefaults]

default_realm = MEINEDOMÄNE.COM

 

[realms]

MEINEDOMÄNE.COM = {

kdc = MEINDCWin2003.MEINEDOMÄNE.COM

default_domain = MEINEDOMÄNE.COM

kpasswd_server = meindcwin2003.MEINEDOMÄNE.com

admin_server = meindcwin2003.MEINEDOMÄNE.com

}

 

 

[domain_relm]

.meinedomäne.com = MEINEDOMÄNE.COM

 

[logging]

kdc = FILE:/var/log/krb5/krb5kdc.log

admin_server = FILE:/var/log/krb5/kadmind.log

default = SYSLOG:NOTICE:DAEMON

 

[appdefaults]

pam = {

ticket_lifetime = 1d

renew_lifetime = 1d

forwardable = true

proxiable = true

retain_after_close = false

minimum_uid = 1

}

 

 

 

 

------------------------------------------------------------

Und hier die smb.conf:

 

# smb.conf is the main Samba configuration file. You find a full commented

# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the

# samba-doc package is installed.

# Date: 2010-04-13

[global]

workgroup = MEINEDOMÄNE

passdb backend = tdbsam

printing = cups

printcap name = cups

printcap cache time = 750

cups options = raw

map to guest = Bad User

logon path = \\%L\profiles\.msprofile

logon home = \\%L\%U\.9xprofile

logon drive = P:

usershare allow guests = No

idmap gid = 10000-20000

security = ADS

winbind use default domain = yes

add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %***

domain logons = No

domain master = No

wins server =MEINDCWIN2003.MEINEDOMÄNE.COM

wins support = No

realm = MEINEDOMÄNE.COM

template homedir = /home/%D/%U

winbind refresh tickets = yes

[homes]

comment = Home Directories

valid users = %S, %D%w%S

browseable = No

read only = No

inherit acls = Yes

[profiles]

comment = Network Profiles Service

path = %H

read only = No

store dos attributes = Yes

create mask = 0600

directory mask = 0700

[users]

comment = All users

path = /home

read only = No

inherit acls = Yes

veto files = /aquota.user/groups/shares/

[groups]

comment = All groups

path = /home/groups

read only = No

inherit acls = Yes

[printers]

comment = All Printers

path = /var/tmp

printable = Yes

create mask = 0600

browseable = No

[print$]

comment = Printer Drivers

path = /var/lib/samba/drivers

write list = @ntadmin root

force group = ntadmin

create mask = 0664

directory mask = 0775

 

## Share disabled by YaST

# [netlogon]

Link zu diesem Kommentar

hier mal meine smb.conf, die krb5 ist identisch.

 

[global]

workgroup = DOMÄNE

realm = DOMÄNE.COM

security = ads

encrypt passwords = yes

password server =DC.DOMÄNE.COM

winbind separator = /

idmap uid = 10000-20000

idmap gid = 10000-20000

winbind enum users = yes

winbind enum groups = yes

winbind use default domain = yes

printing = cups

printcap name = cups

printcap cache time = 750

cups options = raw

map to guest = Bad User

include = /etc/samba/dhcp.conf

logon path = \\%L\profiles\.msprofile

logon home = \\%L\%U\.9xprofile

logon drive = P:

usershare allow guests = No

[homes]

comment = Home Directories

valid users = %S, %D%w%S

browseable = No

read only = No

inherit acls = Yes

[profiles]

comment = Network Profiles Service

path = %H

read only = No

store dos attributes = Yes

create mask = 0600

directory mask = 0700

[users]

comment = All users

path = /home

read only = No

inherit acls = Yes

veto files = /aquota.user/groups/shares/

[groups]

comment = All groups

path = /home/groups

read only = No

inherit acls = Yes

[printers]

comment = All Printers

path = /var/tmp

printable = Yes

create mask = 0600

browseable = No

[print$]

comment = Printer Drivers

path = /var/lib/samba/drivers

write list = @ntadmin root

force group = ntadmin

create mask = 0664

directory mask = 0775

 

Gruß

Link zu diesem Kommentar

ich glaub ich hab noch nen Fehler gefunden.

schau mal in der smb.conf welchen Winbind Seperator du angegeben hast? Steht da:

winbind seperator = /

 

wenn ja musst du diesen Seperator auch in deiner Squid.conf bei folgendem Eintrag nutzen. Sorry hatte ich übersehen.

 

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MEINEDOMNE\internet-erweitert

 

dort muss im Abschnitt MEINEDOMNE\internet-erweitert dann kein Backslash rein sonder ein / da du diesen als winbind seperator definiert hast. Sprich MEINEDOMNE/internet-erweitert

 

Teste auf jeden Fall erst mal mit ner AD Gruppe im Users Container!

 

Gruß

Jens

bearbeitet von Sonic
Link zu diesem Kommentar

O.K. Tatsache. Das wars wirklich.

 

Jetzt splittet er es auch richtig - allerdings kommt jetzt eine andere Fehlermeldung:

 

Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2010/05/06 10:35:45, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request)

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2010/05/06 10:35:45| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

Link zu diesem Kommentar

ok schon mal ein Schritt weiter.

 

versuch folgendes in der Konsole:

 

groupadd squid

chown squid:squid /var/cache/squid

chown squid:squid /var/log/squid

chgrp squid /var/lib/samba/winbind_privileged

 

danach die Datei /etc/group mit dem Editor öffnen und folgenden Eintrag hinzufügen falls nicht vorhanden.

 

squid:!:10157:squid 10157 steht für die Gruppenkennung die kannst du über Yast herausbekommen.

Link zu diesem Kommentar

Sorry. Leider immer noch das gleiche.

 

Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2010/05/06 11:03:20, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request)

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2010/05/06 11:03:20| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

 

Hab deine Angaben an der Console durchgeführt. Kam zwar keine bestätigung aber gemekert hat er auch nicht...

Link zu diesem Kommentar

Mega Geil!

 

Also in etc/group stand nur:

 

squid:!:1000:

 

hab ich ersetzt durch

 

squid:!:1000:squid wie du geschrieben hast. Ebenso stand in der nsswitch folgendes:

 

passwd: compact

group: compact

 

Hab ich ausgeklammert und deine Zeilen eingefügt.

 

Kompletten Rechner neu gestartet....

 

Jetzt geht. Nehm ich meinen User aus der Gruppe raus kommt gleich die Abfrage - da ich ja dann nicht berechtigt bin.

 

VVVVVIIIIIIIIEEEEEEEEEELLLLLLLLEEEEEEEEEENNNNNNNN DANK!

 

Vielleicht noch eine Frage - dann ist das Thema erledigt.

 

Ich habe 2 Gruppen.

Eine kann nur bestimmte Seiten ansurfen - die andere kann alles.

 

Wie realisiere ich das im Squid? Hab schon gesehen, dass die einfach die Standardregel für die ca. 15 offenen WEbsites für alle freischalten - den reste Sperren - außer für die Gruppe die alles kann....

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...