[samba] SQUID. Аутентификация по группам.

[Alexander Bokovoy]

On Thu, Apr 08, 2004 at 10:47:30AM +0400, Sodom wrote:
> Здравствуйте, уважаемые.
> По совету товарищей пишу сюда.
> Нужна авторизация в сквиде по отдельным группам.
> Т.е. пускать не всех domain users, а только входящих, к примеру, в
> группу squid.
> Да вот засада - не получается ((
> 
> /usr/lib/squid/wb_auth
> /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
> 
>  Такое впечатление, что скрипт даже не пытается достучаться до
>  винбинда?
Потому что он собран со своей версией заголовочных файлов winbindd,
которые не соответствуют реальным.

Squid Team отказался от ведения своих helpers в пользу централизованного
решения через ntlm_auth.

В последней версии ntlm_auth появилась возможность ограничения
пользователей по группе (будет скоро в сизифе).
 
> А.Боковой, откликнитесь, плиз, говорят, Вы решали проблему.
> 
> P.S. PDC - W2K Server, на машинке со сквидом - последняя 3.0.Х самба
> из сизифа, с раздачей прав через winbind.
> 
> P.P.S. на каталог winbindd_privileged принудительно выставлены права
> 777 (иначе даже ntlm работать не хотела, сквид не мог достучаться до
> сокета винбинда).
Это проблема Сквида. Нужно делать setgroups перед сбросом привилегий и
переходом под непривилегированного пользователя. Реализация проста, но
не очень переносима -- только SVr4, SVID issue 4, X/OPEN, 4.3BSD и новее.
setgroups() отсутствует в POSIX.1. Так что желающие могут сделать патч и
отправить в Squid.

-- 
/ Alexander Bokovoy
Samba Team                      http://www.samba.org/
ALT Linux Team                  http://www.altlinux.org/
Midgard Project Ry              http://www.midgard-project.org/