[samba] SQUID. Аутентификация по группам.
Alexander Bokovoy
a.bokovoy на sam-solutions.net
Чт Апр 8 13:20:42 MSD 2004
On Thu, Apr 08, 2004 at 10:47:30AM +0400, Sodom wrote:
> Здравствуйте, уважаемые.
> По совету товарищей пишу сюда.
> Нужна авторизация в сквиде по отдельным группам.
> Т.е. пускать не всех domain users, а только входящих, к примеру, в
> группу squid.
> Да вот засада - не получается ((
>
> /usr/lib/squid/wb_auth
> /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
>
> Такое впечатление, что скрипт даже не пытается достучаться до
> винбинда?
Потому что он собран со своей версией заголовочных файлов winbindd,
которые не соответствуют реальным.
Squid Team отказался от ведения своих helpers в пользу централизованного
решения через ntlm_auth.
В последней версии ntlm_auth появилась возможность ограничения
пользователей по группе (будет скоро в сизифе).
> А.Боковой, откликнитесь, плиз, говорят, Вы решали проблему.
>
> P.S. PDC - W2K Server, на машинке со сквидом - последняя 3.0.Х самба
> из сизифа, с раздачей прав через winbind.
>
> P.P.S. на каталог winbindd_privileged принудительно выставлены права
> 777 (иначе даже ntlm работать не хотела, сквид не мог достучаться до
> сокета винбинда).
Это проблема Сквида. Нужно делать setgroups перед сбросом привилегий и
переходом под непривилегированного пользователя. Реализация проста, но
не очень переносима -- только SVr4, SVID issue 4, X/OPEN, 4.3BSD и новее.
setgroups() отсутствует в POSIX.1. Так что желающие могут сделать патч и
отправить в Squid.
--
/ Alexander Bokovoy
Samba Team http://www.samba.org/
ALT Linux Team http://www.altlinux.org/
Midgard Project Ry http://www.midgard-project.org/
Подробная информация о списке рассылки Samba