[samba] порядок загрузки winbind & squid

[Alexander Bokovoy]

On Mon, Dec 15, 2003 at 10:40:56AM +0400, Mike Lykov wrote:
> Здравствуйте.
> 
> Настраивал я тут NTLM-аутентификацию у себя, и выяснил непонятную мне вещь.
> 
> Итак, система - сизиф + samba-3.0.1-alt0.3.
> squid работает от пользователя squid , но внесен в группу winbind:
> 
> [root на alt squid]# groups squid
> squid : squid winbind
> 
> НО работает как надо эта аутентификация только в том случае, если:
> 
> 1. загрузить winbindd (при этом работают wbinfo -t, wbinfo -a, ntlm_auth
> --username ...)
> 2. дать на папку /var/cache/samba/winbindd_privileged права 777
> 3. загрузить squid
> 
> Если сделать хоть что-то не в этом порядке(например, сначала загрузить squid,
> а потом дать права 777), то говорит:
> 
> [2003/12/13 17:40:19, 0] utils/ntlm_auth.c:winbind_pw_check(325)
>   Login for user [VESNA]\[VSN_ASU2]@[VSN_ASU99] failed due to [winbind client
> not authorized to use winbindd_pam_auth_crap.  Ensure permissions on
> /var/cache/samba/winbindd_privileged are set correctly.]
> [2003/12/13 17:40:19, 0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(375)
>   NTLMSSP BH: NT_STATUS_ACCESS_DENIED
> 
> А вот если после того, как заработает, сделать права на тот каталог 750 (как
> они и должны быть), то продолжает работать.
> 
> Не понимаю, как это так!
Чертовщина какая-то. Особенно, если учесть, что squid периодически перезапускает
helpers, стало быть, права для доступа нужны не только в первоначальный
момент.

Еще странно то, что фактически игнорируются системные права на этот
каталог -- других ограничений в winbindd нет. Кстати, а 770 помогает?
-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/