Forum Debian Users Gang

meciarz · 2014-05-09 08:04:46

a zauważyłeś, że zrobiłeś literówkę "gropus" a "groups" ;)
sprawdziłeś

Kod:

iptables-save

że nie masz przekierowania

zmień u siebie w smb.conf:
usuń

Kod:

winbind uid = 1000-20000
winbind gid = 1000-20000

dodaj:

Kod:

idmap config * : backend         = tdb
idmap config * : range           = 10001-20000
idmap config ECE : default     = yes
idmap config ECE : backend     = rid
idmap config ECE : range       = 20001-40000
idmap config ECE : schema_mode = rfc2307

sprawdź

Kod:

testparm

przeładuj sambe i winbind

pokaż mi jeszcze z ciekawości

Kod:

echo "login Internet" | /usr/lib/squid/wbinfo_group.pl -d --
net rpc testjoin
net ads testjoin

Ostatnio edytowany przez meciarz (2014-05-09 08:31:11)

zbyszekgit · 2014-05-09 10:02:47

Jej.. literówka... już poprawiona.
Wykonałem zmiany z smb.conf wg tego ca napisałeś.

Poniżej sprawdzenia o których pisałaś.

Kod:

root@ecv027:/home/proxyece# iptables-save
# Generated by iptables-save v1.4.14 on Fri May  9 09:43:47 2014
*nat
:PREROUTING ACCEPT [348:51169]
:INPUT ACCEPT [238:36668]
:OUTPUT ACCEPT [108:19236]
:POSTROUTING ACCEPT [108:19236]
COMMIT
# Completed on Fri May  9 09:43:47 2014
# Generated by iptables-save v1.4.14 on Fri May  9 09:43:47 2014
*filter
:INPUT ACCEPT [928:137800]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [274:45293]
-A INPUT -i lo -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
COMMIT
# Completed on Fri May  9 09:43:47 2014

Kod:

root@ecv027:/home/proxyece# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with
the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
    workgroup = ECE
    realm = ECE.LOCAL
    interfaces = 192.168.1.92/24
    bind interfaces only = Yes
    security = ADS
    map to guest = Bad User
    password server = 192.168.0.9
    map untrusted to domain = Yes
    printcap name = cups
    logon path = \\%L\profiles\.msprofile
    logon drive = P:
    logon home = \\%L\%U\.9xprofile
    local master = No
    wins server = 192.168.0.9
    remote announce = 192.168.1.92
    winbind enum users = Yes
    winbind enum groups = Yes
    winbind use default domain = Yes
    winbind refresh tickets = Yes
    idmap config ECE : schema_mode = rfc2307
    idmap config ECE : range = 20001-40000
    idmap config ECE : backend = rid
    idmap config ECE : default = yes
    idmap config * : range = 10001-20000
    idmap config * : backend = tdb
    cups options = raw

Kod:

root@ecv027:/home/proxyece# echo "login Internet" |
/usr/lib/squid/wbinfo_group.pl -d --
Debugging mode ON.
Got login Internet from squid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name Internet
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid  to gid
User:  -login-
Group: -Internet-
SID:   --
GID:   --
Sending ERR to squid
ERR
root@ecv027:/home/proxyece# net rpc testjoin
Join to 'ECE' is OK
root@ecv027:/home/proxyece# net ads testjoin
Join is OK
root@ecv027:/home/proxyece#

meciarz · 2014-05-09 10:51:18

hmm, trochę mało wyraźnie napisałem

Kod:

echo "login Internet" | /usr/lib/squid/wbinfo_group.pl -d --

zamiast Internet wpisz grupę z domeny dla której ma być internet, czyli u ciebie InernetUsers, a zamiast login wpisz login użytkownika z domeny
Skrypt sprawdza przynależność użytkownika do grupy, jeśli się w niej znajduje to będzie OK, w przeciwnym przypadku ERR

Zmiany idmap gid/uid mogą wymagać ponownego mapowania sid do gid/uid, spróbuj usunąć pliki /var/run/samba/*.tdb oraz przeładować po tym sambę

zbyszekgit · 2014-05-09 11:10:25

Tu wydaje się być ok.

Kod:

root@ecv027:/home/proxyece# echo "proxytest1 InternetUsers"
| /usr/lib/squid/wbinfo_group.pl -d --
Debugging mode ON.
Got proxytest1 InternetUsers from squid
User:  -proxytest1-
Group: -InternetUsers-
SID:   -S-1-5-21-1934186044-4195826105-4176119453-13695-
GID:   -33696-
Sending OK to squid
OK

Usunąłem wszystkie pliki z rozszerzeniem *.tdb zostało:

Kod:

root@ecv027:/var/run/samba# ls
nmbd.pid  smbd.pid  smb_krb5  unexpected  winbindd.pid    winbindd_privileged

i restart... i dalej to samo;(

Ostatnio edytowany przez zbyszekgit (2014-05-09 11:11:16)

meciarz · 2014-05-10 13:18:18

coś bardzo topornie nam to idzie...albo coś nie do końca robisz jak powinieneś na serwerze, albo problemem nie jest proxy a windows
sprawdź w logach squida czy odbywa się negocjacja między stacją a serwerem, może wymagać zwiększenie poziomu logowania (np: debug_options ALL,2)

Może potrzebujesz na win włączyć negocjacje, choć wydaje mi się, że to bardziej powinno być dla kerberosa), ale może spróbować:
dla IE

Kod:

włączyć zintegrowane uwierzytelnianie systemu Windows, ustawiając wartość EnableNegotiate typu DWORD na 1 w następującym kluczu rejestru:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

dla FF
[url]http://grolmsnet.de/kerbtut/firefox.html[/url]

Gdzieś masz babola, choć nie widząc pełnego obrazu sytuacji co się dzieje w danej chwili, nie wiem w którym miejscu...

Ktoś chyba kieeeedyś wspominał mi, że miał problem z autoryzacją i musiał zmienić grupę dla pików tdb samby, możesz spróbować:

Kod:

chgrp -R proxy /var/run/samba/

A sprawdzałeś może (po odpowiednich poprawkach) konfig squida który ci wkleiłem kilka postów wcześniej?

Ostatnio edytowany przez meciarz (2014-05-10 13:20:10)

zbyszekgit · 2014-05-12 09:08:35

1) W rejestrze nie miałem tej wartości EnableNegotiate. ALe nawet jak j utworzyłem to bez zmian. Czy to może mieć jakiś wpływ? (chodzi mi o brak tego klucza)
2) Wykonałem zmianę uprawnień: chgrp -R proxy /var/run/samba/
3) Zmieniłem poziom logowania i pojawiło się sporo wpisów tej treści:
Widzę, że coś z Kaperskym. Odinstalowałem go na stacji klienckiej z której odpalam przeglądarkę ale to nie pomogło.
Jest możliwość, że to właśnie wina Kasperkiego??

Kod:

2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.dif is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.dif is
ALLOWED, because it matched 'n$
2014/05/12 08:49:31| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:31| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiRjZQvUKsCIwA$
2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is
ALLOWED, because it matched 'n$
2014/05/12 08:49:31| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/12 08:49:31| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml.klz is
ALLOWED, because it matched 'n$
2014/05/12 08:49:31| Parser: retval 1: from 0->62: method 0->2; url
4->51; version 53->61 (1/0)
2014/05/12 08:49:31| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiuPU32JM66yoA$
2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is
DENIED, because it matched 'ntlm_use$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is
ALLOWED, because it matched 'ntlm_$
2014/05/12 08:49:31| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/12 08:49:31| Parser: retval 1: from 0->62: method 0->2; url
4->51; version 53->61 (1/0)
2014/05/12 08:49:31| The request GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is
DENIED, because it matched 'ntlm_use$
2014/05/12 08:49:31| The reply for GET http://dnl-15.geo.kaspersky.com/index/u0607g.xml is
ALLOWED, because it matched 'ntlm_$
2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:33| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomi4SCZxaXwPGQA$
2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is
ALLOWED, because it matched 'n$
2014/05/12 08:49:33| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.dif is
ALLOWED, because it matched 'n$
2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:33| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiXyY6XYpoo0IA$
2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is
ALLOWED, because it matched 'n$
2014/05/12 08:49:33| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/12 08:49:33| Parser: retval 1: from 0->66: method 0->2; url
4->55; version 57->65 (1/0)
2014/05/12 08:49:33| The request GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is
DENIED, because it matched 'ntlm$
2014/05/12 08:49:33| The reply for GET http://dnl-13.geo.kaspersky.com/index/u0607g.xml.klz is
ALLOWED, because it matched 'n$
2014/05/12 08:49:33| Parser: retval 1: from 0->62: method 0->2; url
4->51; version 53->61 (1/0)
2014/05/12 08:49:33| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomit28h++hcf9gA$

4) Twoejgo kodu jeszcze nie próboewałem bo liczyłem, że uda się rozwizać ten problem w mojej konfiguracji.

zbyszekgit · 2014-05-13 11:31:30

Dodam jeszcze log z dzisiaj - moment dokładnie kiedy testowałem z pozycji użytkownika - wpisując login i hasło do przeglądarki

Kod:

2014/05/13 07:31:00| Parser: retval 1: from 0->61: method 0->2;
url 4->50; version 52->60 (1/1)
2014/05/13 07:31:00| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:00| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$
2014/05/13 07:31:00| Parser: retval 1: from 0->61: method 0->2; url
4->50; version 52->60 (1/1)
2014/05/13 07:31:00| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiBlRFBTj6IPUA$
2014/05/13 07:31:00| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:00| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$
2014/05/13 07:31:00| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/13 07:31:00| Parser: retval 1: from 0->61: method 0->2; url
4->50; version 52->60 (1/1)
2014/05/13 07:31:00| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:00| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$
2014/05/13 07:31:10| Parser: retval 1: from 0->61: method 0->2; url
4->50; version 52->60 (1/1)
2014/05/13 07:31:10| authenticateNTLMAuthenticateUser: need to challenge
client 'TlRMTVNTUAACAAAABgAGADgAAAAFgomiDtJsvgkYYEwA$
2014/05/13 07:31:10| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:10| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$
2014/05/13 07:31:10| clientReadRequest: FD 72: no data to process ((11)
Resource temporarily unavailable)
2014/05/13 07:31:10| Parser: retval 1: from 0->61: method 0->2; url
4->50; version 52->60 (1/1)
2014/05/13 07:31:10| The request GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
DENIED, because it matched 'ntlm_user$
2014/05/13 07:31:10| The reply for GET http://go.microsoft.com/fwlink/p/?LinkId=255141 is
ALLOWED, because it matched 'ntlm_u$

zbyszekgit · 2014-05-14 12:08:03

Widzę, że kolega [b]meciarz[/b] już sie do mnie zniechęcił...;);)
Szkoda bardzo bo tak naprawdę widzę, że tylko tu mogłem znaleźć pomoc.
Próbowałem z Twoim configiem squida ale miałem dużo problemów między wersjami - chyba składnie w squidzie 3 niektórych poleceń jest inna niż w mojej wersji 2.7

Czy ewentualnie jesteś w stanie poświęcić mi jeszcze troszkę czasu żeby wyprostować ten temat?

meciarz · 2014-05-14 14:23:58

zniechęcił, to trochę za dużo powiedziane ;)
mam obecnie po prostu natłok pracy i brakuje mi czasu na główkowanie nad twoją autoryzacją... sprawa trochę dziwna, jeśli wykonałeś wszystko co pisałem rzetelnie, to winno działać jak należy.
A czy masz możliwość dania mi dostęp po ssh do tego serwera, abym mógł w spokoju przejrzeć konfigurację i logi systemu?
Możesz zawsze zmienić wersję squida na 3.1, to nie będziesz miał większych problemów z adaptacją konfiga, którego załączyłem :)

powiedz jeszcze jak wygląda czas na DC, proxy i kliencie, jest wszędzie taki sam (nie ma dużych różnic między nimi)?

Ostatnio edytowany przez meciarz (2014-05-14 14:28:55)

zbyszekgit · 2014-05-20 09:22:42

Na chwilę obecną musiałem troszkę temat squida i AD zarzucić.
Będę za niedługo do niego wracał dlatego na pewno jeszcze się w temacie odezwę;)

Przy okazji mam jeszcze takie pytanie - jaki wpis i gdzie odpowiada za to, żeby Sarg raportował w logach nie IP komputera tylko jego nazwę?

Ostatnio edytowany przez zbyszekgit (2014-05-20 09:23:01)

Time (s)	Query
0.00012	SET CHARSET latin2
0.00008	SET NAMES latin2
0.00180	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.227.209.101' WHERE u.id=1
0.00098	UPDATE punbb_online SET logged=1732429956 WHERE ident='18.227.209.101'
0.00052	SELECT * FROM punbb_online WHERE logged<1732429656
0.00075	SELECT topic_id FROM punbb_posts WHERE id=266903
0.00010	SELECT id FROM punbb_posts WHERE topic_id=25715 ORDER BY posted
0.00065	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=25715 AND t.moved_to IS NULL
0.00035	SELECT search_for, replace_with FROM punbb_censoring
0.00290	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=25715 ORDER BY p.id LIMIT 25,25
0.00093	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=25715
Total query time: 0.00918 s

Forum Debian Users Gang

Ogłoszenie

#26 2014-05-09 08:04:46

meciarz - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

Kod:

Kod:

Kod:

Kod:

Kod:

#27 2014-05-09 10:02:47

zbyszekgit - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

Kod:

Kod:

Kod:

#28 2014-05-09 10:51:18

meciarz - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

Kod:

#29 2014-05-09 11:10:25

zbyszekgit - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

Kod:

Kod:

#30 2014-05-10 13:18:18

meciarz - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

Kod:

Kod:

#31 2014-05-12 09:08:35

zbyszekgit - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

Kod:

#32 2014-05-13 11:31:30

zbyszekgit - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

Kod:

#33 2014-05-14 12:08:03

zbyszekgit - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

#34 2014-05-14 14:23:58

meciarz - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

#35 2014-05-20 09:22:42

zbyszekgit - Użytkownik

Re: Squid+Dansguardian - pomoc z iptables

Stopka forum

Informacje debugowania