[Comm] squid + winbind + samba + ntlm_auth
Serge V Kompan
=?iso-8859-1?q?skompan_=CE=C1_kspu=2Ekr=2Eua?=
Ср Дек 8 12:57:32 MSK 2004
Здравствуйте, community.
>>>> Как подружить связку в сабже с iptables
>>>> какие порты нужно открыть?
>>> Где открыть?
>> iptables работает так что по умолчанию все пакеты DROP
>> Как написать правила что бы iptables пропускал аутентификацию
>> ntlm_auth используя winbind, squid. Или хотя бы напишите какие порты использует
>> winbind, squid при ntlm_auth
>> Оговорюсь, использовал tcpdump - многие порты которые нужны для
>> аутентификации открыты, но получается что еще не все.
>>> Где вы хотите что-то открывать? Как расположены четыре
>>> компоненты, упомянутые в теме, друг относительно друга?
>>
>> Вся связка находится на рутере. В локальной сети стоит PDC под Windows
>> 2000 AS.
>> В логах наблюдаю такое при поднятом iptables
>> Dec 7 17:58:42 shadow (ntlm_auth): [2004/12/05 17:58:42, 0] utils/ntlm_auth.c:get_require_membership_sid(237)
>> Dec 7 17:58:42 shadow (ntlm_auth): Winbindd lookupname failed to resolve PM+Internet into a SID!
>> Dec 7 17:58:56 shadow (ntlm_auth): [2004/12/05 17:58:56, 0] utils/ntlm_auth.c:get_require_membership_sid(237)
>> Dec 7 17:58:56 shadow (ntlm_auth): Winbindd lookupname failed to resolve PM+Internet into a SID!
>>
>> При выключенном iptables все ОК
> а зачем вы вообще запрещаете рутеру общаться со своей локальной сетью? (по кр
> мере с серверами в локальной сети)
Дело в том, что в локальной сети работают студенты, которые любят
потестировать сервера на "прочность". Поэтому я и сделал политику DROP
по умолчанию для пакетов, идущие с/на локальной сети.
(может это параноидальный способ, но все же я считаю оправданный :-) )
--
С уважением,
Serge mailto:skompan на kspu.kr.ua
Подробная информация о списке рассылки community