Sonic 10 Geschrieben 30. April 2010 Melden Teilen Geschrieben 30. April 2010 (bearbeitet) MEINEDOMÄNE\internet-erweitert das hast du ja hoffentlich nur hier gepostet und nicht in deiner conf drinstehen? :) Spaß beiseite poste mal deine krb5.conf und die smb.conf Gruß Jens Ach was mir da grad auffällt lass mal die "" weg "MEINEDOMNE\internet-erweitert" und folgende Einträge kannst du komplett auskommentieren, brauchst keine basic auth. auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MEINEDOMNE\internet-erweitert" auth_param basic children 10 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off authenticate_ttl 1 hour authenticate_cache_garbage_interval 10 minutes bearbeitet 30. April 2010 von Sonic Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 3. Mai 2010 Autor Melden Teilen Geschrieben 3. Mai 2010 Also ich hab jetzt mal die Basic Authentifizierung auskommentiert und die Anführungsstriche weggemacht - alles neu gestartet kommt immer noch das gleiche: Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts! Meinedomäne\Internet-Erweitert habe ich natürlich nur hier und nicht in der config ;-) Hier meine krb5.conf: [libdefaults] default_realm = MEINEDOMÄNE.COM [realms] MEINEDOMÄNE.COM = { kdc = MEINDCWin2003.MEINEDOMÄNE.COM default_domain = MEINEDOMÄNE.COM kpasswd_server = meindcwin2003.MEINEDOMÄNE.com admin_server = meindcwin2003.MEINEDOMÄNE.com } [domain_relm] .meinedomäne.com = MEINEDOMÄNE.COM [logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = true retain_after_close = false minimum_uid = 1 } ------------------------------------------------------------ Und hier die smb.conf: # smb.conf is the main Samba configuration file. You find a full commented # version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the # samba-doc package is installed. # Date: 2010-04-13 [global] workgroup = MEINEDOMÄNE passdb backend = tdbsam printing = cups printcap name = cups printcap cache time = 750 cups options = raw map to guest = Bad User logon path = \\%L\profiles\.msprofile logon home = \\%L\%U\.9xprofile logon drive = P: usershare allow guests = No idmap gid = 10000-20000 security = ADS winbind use default domain = yes add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %*** domain logons = No domain master = No wins server =MEINDCWIN2003.MEINEDOMÄNE.COM wins support = No realm = MEINEDOMÄNE.COM template homedir = /home/%D/%U winbind refresh tickets = yes [homes] comment = Home Directories valid users = %S, %D%w%S browseable = No read only = No inherit acls = Yes [profiles] comment = Network Profiles Service path = %H read only = No store dos attributes = Yes create mask = 0600 directory mask = 0700 [users] comment = All users path = /home read only = No inherit acls = Yes veto files = /aquota.user/groups/shares/ [groups] comment = All groups path = /home/groups read only = No inherit acls = Yes [printers] comment = All Printers path = /var/tmp printable = Yes create mask = 0600 browseable = No [print$] comment = Printer Drivers path = /var/lib/samba/drivers write list = @ntadmin root force group = ntadmin create mask = 0664 directory mask = 0775 ## Share disabled by YaST # [netlogon] Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 hier mal meine smb.conf, die krb5 ist identisch. [global] workgroup = DOMÄNE realm = DOMÄNE.COM security = ads encrypt passwords = yes password server =DC.DOMÄNE.COM winbind separator = / idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = yes winbind enum groups = yes winbind use default domain = yes printing = cups printcap name = cups printcap cache time = 750 cups options = raw map to guest = Bad User include = /etc/samba/dhcp.conf logon path = \\%L\profiles\.msprofile logon home = \\%L\%U\.9xprofile logon drive = P: usershare allow guests = No [homes] comment = Home Directories valid users = %S, %D%w%S browseable = No read only = No inherit acls = Yes [profiles] comment = Network Profiles Service path = %H read only = No store dos attributes = Yes create mask = 0600 directory mask = 0700 [users] comment = All users path = /home read only = No inherit acls = Yes veto files = /aquota.user/groups/shares/ [groups] comment = All groups path = /home/groups read only = No inherit acls = Yes [printers] comment = All Printers path = /var/tmp printable = Yes create mask = 0600 browseable = No [print$] comment = Printer Drivers path = /var/lib/samba/drivers write list = @ntadmin root force group = ntadmin create mask = 0664 directory mask = 0775 Gruß Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 3. Mai 2010 Autor Melden Teilen Geschrieben 3. Mai 2010 Ich dreh durch. Immer noch: [2010/05/03 15:58:43, 0] utils/ntlm_auth.c:263(get_require_membership_sid) Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts! Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 3. Mai 2010 Melden Teilen Geschrieben 3. Mai 2010 bin mir zwar überhaupt nicht sicher aber ich glaub da gabs Probleme wenn die AD Gruppe nicht im Standard Container Users liegt. Leg mal ne neu Gruppe z.B Internet direkt im AD Container Users an. Gruß Jens Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 5. Mai 2010 Autor Melden Teilen Geschrieben 5. Mai 2010 Gleiches Problem: Could not parse MEINEDOMÄNETestSquid into seperate domain/name parts! Ich denke der hat irgendwie ein Problem zwischen der Domäne und der Gruppe aufzulösen Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 (bearbeitet) ich glaub ich hab noch nen Fehler gefunden. schau mal in der smb.conf welchen Winbind Seperator du angegeben hast? Steht da: winbind seperator = / wenn ja musst du diesen Seperator auch in deiner Squid.conf bei folgendem Eintrag nutzen. Sorry hatte ich übersehen. auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=MEINEDOMNE\internet-erweitert dort muss im Abschnitt MEINEDOMNE\internet-erweitert dann kein Backslash rein sonder ein / da du diesen als winbind seperator definiert hast. Sprich MEINEDOMNE/internet-erweitert Teste auf jeden Fall erst mal mit ner AD Gruppe im Users Container! Gruß Jens bearbeitet 6. Mai 2010 von Sonic Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 O.K. Tatsache. Das wars wirklich. Jetzt splittet er es auch richtig - allerdings kommt jetzt eine andere Fehlermeldung: Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.] [2010/05/06 10:35:45, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request) NTLMSSP BH: NT_STATUS_ACCESS_DENIED 2010/05/06 10:35:45| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED' Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 ok schon mal ein Schritt weiter. versuch folgendes in der Konsole: groupadd squid chown squid:squid /var/cache/squid chown squid:squid /var/log/squid chgrp squid /var/lib/samba/winbind_privileged danach die Datei /etc/group mit dem Editor öffnen und folgenden Eintrag hinzufügen falls nicht vorhanden. squid:!:10157:squid 10157 steht für die Gruppenkennung die kannst du über Yast herausbekommen. Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Sorry. Leider immer noch das gleiche. Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.] [2010/05/06 11:03:20, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request) NTLMSSP BH: NT_STATUS_ACCESS_DENIED 2010/05/06 11:03:20| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED' Hab deine Angaben an der Console durchgeführt. Kam zwar keine bestätigung aber gemekert hat er auch nicht... Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 hast du den Eintrag in /etc/group gesetzt? squid:!:10157:squid 10157 steht fr die Gruppenkennung die kannst du ber Yast herausbekommen. schau mal auf den Ordner /var/lib/samba/winbind_privileged ob dort unter Permissions jetz die Squid Gruppe mit 750 drin steht. Starte danach mal winbind und squid neu. Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 nochwas, in der Datei nsswitch.conf unter /etc/ müssen folgende Einträge stehen. passwd: files winbind group: files winbind shadow: files danach winbind neu starten. Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 Mega Geil! Also in etc/group stand nur: squid:!:1000: hab ich ersetzt durch squid:!:1000:squid wie du geschrieben hast. Ebenso stand in der nsswitch folgendes: passwd: compact group: compact Hab ich ausgeklammert und deine Zeilen eingefügt. Kompletten Rechner neu gestartet.... Jetzt geht. Nehm ich meinen User aus der Gruppe raus kommt gleich die Abfrage - da ich ja dann nicht berechtigt bin. VVVVVIIIIIIIIEEEEEEEEEELLLLLLLLEEEEEEEEEENNNNNNNN DANK! Vielleicht noch eine Frage - dann ist das Thema erledigt. Ich habe 2 Gruppen. Eine kann nur bestimmte Seiten ansurfen - die andere kann alles. Wie realisiere ich das im Squid? Hab schon gesehen, dass die einfach die Standardregel für die ca. 15 offenen WEbsites für alle freischalten - den reste Sperren - außer für die Gruppe die alles kann.... Zitieren Link zu diesem Kommentar
Sonic 10 Geschrieben 6. Mai 2010 Melden Teilen Geschrieben 6. Mai 2010 :jau: Freut mich das es läuft, also das Content Filtering mach ich nicht mit dem Squid da kann ich dir leider nicht weiter helfen. Hab das ganze mit dansguardian gelöst. Allerdings geht dann das gebastel in die nächste Runde ;-) Schau mal hier: DansGuardian - True Web Content Filtering for All Gruß Jens Zitieren Link zu diesem Kommentar
batman00 10 Geschrieben 6. Mai 2010 Autor Melden Teilen Geschrieben 6. Mai 2010 O.K. Vielen Dank und vielen Dank für die SUPER UNTERSTÜTZUNG! Gleich mal alles als pdf abgespeichert und sicher abgelegt :-) Danke!!!!!!!!!!!! Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.