Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
a zauważyłeś, że zrobiłeś literówkę "gropus" a "groups" ;)
sprawdziłeś
iptables-save
że nie masz przekierowania
zmień u siebie w smb.conf:
usuń
winbind uid = 1000-20000 winbind gid = 1000-20000
dodaj:
idmap config * : backend = tdb idmap config * : range = 10001-20000 idmap config ECE : default = yes idmap config ECE : backend = rid idmap config ECE : range = 20001-40000 idmap config ECE : schema_mode = rfc2307
sprawdź
testparm
przeładuj sambe i winbind
pokaż mi jeszcze z ciekawości
echo "login Internet" | /usr/lib/squid/wbinfo_group.pl -d -- net rpc testjoin net ads testjoin
Ostatnio edytowany przez meciarz (2014-05-09 08:31:11)
Offline
Jej.. literówka... już poprawiona.
Wykonałem zmiany z smb.conf wg tego ca napisałeś.
Poniżej sprawdzenia o których pisałaś.
root@ecv027:/home/proxyece# iptables-save # Generated by iptables-save v1.4.14 on Fri May 9 09:43:47 2014 *nat :PREROUTING ACCEPT [348:51169] :INPUT ACCEPT [238:36668] :OUTPUT ACCEPT [108:19236] :POSTROUTING ACCEPT [108:19236] COMMIT # Completed on Fri May 9 09:43:47 2014 # Generated by iptables-save v1.4.14 on Fri May 9 09:43:47 2014 *filter :INPUT ACCEPT [928:137800] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [274:45293] -A INPUT -i lo -j ACCEPT -A OUTPUT -o lo -j ACCEPT COMMIT # Completed on Fri May 9 09:43:47 2014
root@ecv027:/home/proxyece# testparm Load smb config files from /etc/samba/smb.conf rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384) Loaded services file OK. WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter. (by default Samba will discover the correct DC to contact automatically). Server role: ROLE_DOMAIN_MEMBER Press enter to see a dump of your service definitions [global] workgroup = ECE realm = ECE.LOCAL interfaces = 192.168.1.92/24 bind interfaces only = Yes security = ADS map to guest = Bad User password server = 192.168.0.9 map untrusted to domain = Yes printcap name = cups logon path = \\%L\profiles\.msprofile logon drive = P: logon home = \\%L\%U\.9xprofile local master = No wins server = 192.168.0.9 remote announce = 192.168.1.92 winbind enum users = Yes winbind enum groups = Yes winbind use default domain = Yes winbind refresh tickets = Yes idmap config ECE : schema_mode = rfc2307 idmap config ECE : range = 20001-40000 idmap config ECE : backend = rid idmap config ECE : default = yes idmap config * : range = 10001-20000 idmap config * : backend = tdb cups options = raw
root@ecv027:/home/proxyece# echo "login Internet" | /usr/lib/squid/wbinfo_group.pl -d -- Debugging mode ON. Got login Internet from squid failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND Could not lookup name Internet failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM Could not convert sid to gid User: -login- Group: -Internet- SID: -- GID: -- Sending ERR to squid ERR root@ecv027:/home/proxyece# net rpc testjoin Join to 'ECE' is OK root@ecv027:/home/proxyece# net ads testjoin Join is OK root@ecv027:/home/proxyece#
Offline
hmm, trochę mało wyraźnie napisałem
echo "login Internet" | /usr/lib/squid/wbinfo_group.pl -d --
zamiast Internet wpisz grupę z domeny dla której ma być internet, czyli u ciebie InernetUsers, a zamiast login wpisz login użytkownika z domeny
Skrypt sprawdza przynależność użytkownika do grupy, jeśli się w niej znajduje to będzie OK, w przeciwnym przypadku ERR
Zmiany idmap gid/uid mogą wymagać ponownego mapowania sid do gid/uid, spróbuj usunąć pliki /var/run/samba/*.tdb oraz przeładować po tym sambę
Offline
Tu wydaje się być ok.
root@ecv027:/home/proxyece# echo "proxytest1 InternetUsers" | /usr/lib/squid/wbinfo_group.pl -d -- Debugging mode ON. Got proxytest1 InternetUsers from squid User: -proxytest1- Group: -InternetUsers- SID: -S-1-5-21-1934186044-4195826105-4176119453-13695- GID: -33696- Sending OK to squid OK
Usunąłem wszystkie pliki z rozszerzeniem *.tdb zostało:
root@ecv027:/var/run/samba# ls nmbd.pid smbd.pid smb_krb5 unexpected winbindd.pid winbindd_privileged
i restart... i dalej to samo;(
Ostatnio edytowany przez zbyszekgit (2014-05-09 11:11:16)
Offline
coś bardzo topornie nam to idzie...albo coś nie do końca robisz jak powinieneś na serwerze, albo problemem nie jest proxy a windows
sprawdź w logach squida czy odbywa się negocjacja między stacją a serwerem, może wymagać zwiększenie poziomu logowania (np: debug_options ALL,2)
Może potrzebujesz na win włączyć negocjacje, choć wydaje mi się, że to bardziej powinno być dla kerberosa), ale może spróbować:
dla IE
włączyć zintegrowane uwierzytelnianie systemu Windows, ustawiając wartość EnableNegotiate typu DWORD na 1 w następującym kluczu rejestru: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
dla FF
[url]http://grolmsnet.de/kerbtut/firefox.html[/url]
Gdzieś masz babola, choć nie widząc pełnego obrazu sytuacji co się dzieje w danej chwili, nie wiem w którym miejscu...
Ktoś chyba kieeeedyś wspominał mi, że miał problem z autoryzacją i musiał zmienić grupę dla pików tdb samby, możesz spróbować:
chgrp -R proxy /var/run/samba/
A sprawdzałeś może (po odpowiednich poprawkach) konfig squida który ci wkleiłem kilka postów wcześniej?
Ostatnio edytowany przez meciarz (2014-05-10 13:20:10)
Offline
1) W rejestrze nie miałem tej wartości EnableNegotiate. ALe nawet jak j utworzyłem to bez zmian. Czy to może mieć jakiś wpływ? (chodzi mi o brak tego klucza)
2) Wykonałem zmianę uprawnień: chgrp -R proxy /var/run/samba/
3) Zmieniłem poziom logowania i pojawiło się sporo wpisów tej treści:
Widzę, że coś z Kaperskym. Odinstalowałem go na stacji klienckiej z której odpalam przeglądarkę ale to nie pomogło.
Jest możliwość, że to właśnie wina Kasperkiego??
2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.dif is DENIED, because it matched 'ntlm$ 2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.dif is ALLOWED, because it matched 'n$ 2014/05/12 08:49:31| Parser: retval 1: from 0->66: method 0->2; url 4->55; version 57->65 (1/0) 2014/05/12 08:49:31| authenticateNTLMAuthenticateUser: need to challenge client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiRjZQvUKsCIwA$ 2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is DENIED, because it matched 'ntlm$ 2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is ALLOWED, because it matched 'n$ 2014/05/12 08:49:31| clientReadRequest: FD 72: no data to process ((11) Resource temporarily unavailable) 2014/05/12 08:49:31| Parser: retval 1: from 0->66: method 0->2; url 4->55; version 57->65 (1/0) 2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is DENIED, because it matched 'ntlm$ 2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is ALLOWED, because it matched 'n$ 2014/05/12 08:49:31| Parser: retval 1: from 0->62: method 0->2; url 4->51; version 53->61 (1/0) 2014/05/12 08:49:31| authenticateNTLMAuthenticateUser: need to challenge client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiuPU32JM66yoA$ 2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is DENIED, because it matched 'ntlm_use$ 2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is ALLOWED, because it matched 'ntlm_$ 2014/05/12 08:49:31| clientReadRequest: FD 72: no data to process ((11) Resource temporarily unavailable) 2014/05/12 08:49:31| Parser: retval 1: from 0->62: method 0->2; url 4->51; version 53->61 (1/0) 2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is DENIED, because it matched 'ntlm_use$ 2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is ALLOWED, because it matched 'ntlm_$ 2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url 4->55; version 57->65 (1/0) 2014/05/12 08:49:33| authenticateNTLMAuthenticateUser: need to challenge client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomi4SCZxaXwPGQA$ 2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is DENIED, because it matched 'ntlm$ 2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is ALLOWED, because it matched 'n$ 2014/05/12 08:49:33| clientReadRequest: FD 72: no data to process ((11) Resource temporarily unavailable) 2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url 4->55; version 57->65 (1/0) 2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is DENIED, because it matched 'ntlm$ 2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is ALLOWED, because it matched 'n$ 2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url 4->55; version 57->65 (1/0) 2014/05/12 08:49:33| authenticateNTLMAuthenticateUser: need to challenge client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiXyY6XYpoo0IA$ 2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is DENIED, because it matched 'ntlm$ 2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is ALLOWED, because it matched 'n$ 2014/05/12 08:49:33| clientReadRequest: FD 72: no data to process ((11) Resource temporarily unavailable) 2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url 4->55; version 57->65 (1/0) 2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is DENIED, because it matched 'ntlm$ 2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is ALLOWED, because it matched 'n$ 2014/05/12 08:49:33| Parser: retval 1: from 0->62: method 0->2; url 4->51; version 53->61 (1/0) 2014/05/12 08:49:33| authenticateNTLMAuthenticateUser: need to challenge client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomit28h++hcf9gA$
4) Twoejgo kodu jeszcze nie próboewałem bo liczyłem, że uda się rozwizać ten problem w mojej konfiguracji.
Offline
Dodam jeszcze log z dzisiaj - moment dokładnie kiedy testowałem z pozycji użytkownika - wpisując login i hasło do przeglądarki
2014/05/13 07:31:00| Parser: retval 1: from 0->61: method 0->2; url 4->50; version 52->60 (1/1) 2014/05/13 07:31:00| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is DENIED, because it matched 'ntlm_user$ 2014/05/13 07:31:00| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is ALLOWED, because it matched 'ntlm_u$ 2014/05/13 07:31:00| Parser: retval 1: from 0->61: method 0->2; url 4->50; version 52->60 (1/1) 2014/05/13 07:31:00| authenticateNTLMAuthenticateUser: need to challenge client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiBlRFBTj6IPUA$ 2014/05/13 07:31:00| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is DENIED, because it matched 'ntlm_user$ 2014/05/13 07:31:00| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is ALLOWED, because it matched 'ntlm_u$ 2014/05/13 07:31:00| clientReadRequest: FD 72: no data to process ((11) Resource temporarily unavailable) 2014/05/13 07:31:00| Parser: retval 1: from 0->61: method 0->2; url 4->50; version 52->60 (1/1) 2014/05/13 07:31:00| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is DENIED, because it matched 'ntlm_user$ 2014/05/13 07:31:00| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is ALLOWED, because it matched 'ntlm_u$ 2014/05/13 07:31:10| Parser: retval 1: from 0->61: method 0->2; url 4->50; version 52->60 (1/1) 2014/05/13 07:31:10| authenticateNTLMAuthenticateUser: need to challenge client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiDtJsvgkYYEwA$ 2014/05/13 07:31:10| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is DENIED, because it matched 'ntlm_user$ 2014/05/13 07:31:10| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is ALLOWED, because it matched 'ntlm_u$ 2014/05/13 07:31:10| clientReadRequest: FD 72: no data to process ((11) Resource temporarily unavailable) 2014/05/13 07:31:10| Parser: retval 1: from 0->61: method 0->2; url 4->50; version 52->60 (1/1) 2014/05/13 07:31:10| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is DENIED, because it matched 'ntlm_user$ 2014/05/13 07:31:10| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is ALLOWED, because it matched 'ntlm_u$
Offline
Widzę, że kolega [b]meciarz[/b] już sie do mnie zniechęcił...;);)
Szkoda bardzo bo tak naprawdę widzę, że tylko tu mogłem znaleźć pomoc.
Próbowałem z Twoim configiem squida ale miałem dużo problemów między wersjami - chyba składnie w squidzie 3 niektórych poleceń jest inna niż w mojej wersji 2.7
Czy ewentualnie jesteś w stanie poświęcić mi jeszcze troszkę czasu żeby wyprostować ten temat?
Offline
zniechęcił, to trochę za dużo powiedziane ;)
mam obecnie po prostu natłok pracy i brakuje mi czasu na główkowanie nad twoją autoryzacją... sprawa trochę dziwna, jeśli wykonałeś wszystko co pisałem rzetelnie, to winno działać jak należy.
A czy masz możliwość dania mi dostęp po ssh do tego serwera, abym mógł w spokoju przejrzeć konfigurację i logi systemu?
Możesz zawsze zmienić wersję squida na 3.1, to nie będziesz miał większych problemów z adaptacją konfiga, którego załączyłem :)
powiedz jeszcze jak wygląda czas na DC, proxy i kliencie, jest wszędzie taki sam (nie ma dużych różnic między nimi)?
Ostatnio edytowany przez meciarz (2014-05-14 14:28:55)
Offline
Na chwilę obecną musiałem troszkę temat squida i AD zarzucić.
Będę za niedługo do niego wracał dlatego na pewno jeszcze się w temacie odezwę;)
Przy okazji mam jeszcze takie pytanie - jaki wpis i gdzie odpowiada za to, żeby Sarg raportował w logach nie IP komputera tylko jego nazwę?
Ostatnio edytowany przez zbyszekgit (2014-05-20 09:23:01)
Offline
Time (s) | Query |
---|---|
0.00010 | SET CHARSET latin2 |
0.00004 | SET NAMES latin2 |
0.00126 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.136.26.156' WHERE u.id=1 |
0.00094 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.136.26.156', 1732752626) |
0.00059 | SELECT * FROM punbb_online WHERE logged<1732752326 |
0.00078 | SELECT topic_id FROM punbb_posts WHERE id=266408 |
0.00013 | SELECT id FROM punbb_posts WHERE topic_id=25715 ORDER BY posted |
0.00057 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25715 AND t.moved_to IS NULL |
0.00005 | SELECT search_for, replace_with FROM punbb_censoring |
0.00729 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25715 ORDER BY p.id LIMIT 25,25 |
0.00142 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25715 |
Total query time: 0.01317 s |