[Sysadmins] squid+Active Directory (Could not convert sid to Gid)

[Roman Tutov]

фрагмент конфига сквида
--------------------------
auth_param ntlm program /usr/bin/ntlm_auth
--helper-protocol=squid-2.5-ntlmssp
--require-membership-of="DOMAIN+internet"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
--------------------------
этот хэлпер нормально работает . пользователей из группы DOMAIN+internet
нормально пускает в инет . в логи пишет доменное имя пользователя . все ок
.

Далее я хочу рулить правами более гибко . использовать разные группы для
разного доступа

добавляю в конфиг следующую конструкцию

external_acl_type AD_global ttl=10 concurrency=10 %LOGIN /usr/lib/squid/
wbinfo_group.pl
и соответвеннно

и сам acl
acl internal_limited external domain_group DOMAIN+internet_limit

и в логах вижу жалобы
could not get groups for user0
Could not convert sid S-1-5-21-356346346346-34563456346-3563463456-3456 to
gid

значит сам хэлпер работает раз авторизация нормально проходит ..и отдельно
скрипт wbinfo_group.pl я проверял ..

Что я делаю не так ?


28 марта 2012 г. 14:11 пользователь Michael Shigorin <mike на osdn.org.ua>написал:

> On Wed, Mar 28, 2012 at 02:08:45PM +0400, Roman Tutov wrote:
> > прихожу к мысли что затык в правах пользователя squid . сквид
> > от рута запускаться не хочет..проверить не получается (((
>
> Можно попробовать изобразить helper нужного вида --
> а что, больше никто так не делает?
>
>
>
> --
>  ---- WBR, Michael Shigorin <mike на altlinux.ru>
>  ------ Linux.Kiev http://www.linux.kiev.ua/
> _______________________________________________
> Sysadmins mailing list
> Sysadmins на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
----------- следующая часть -----------
Вложение в формате HTML было удалено...
URL: <http://lists.altlinux.org/pipermail/sysadmins/attachments/20120328/c7590765/attachment.html>