Re[2]: [samba] SQUID. Аутентификация по группам.
Sodom
sodom на sodom.ru
Чт Апр 8 13:34:48 MSD 2004
Здравствуйте, Alexander.
Вы писали 8 апреля 2004 г., 13:20:42:
AB> On Thu, Apr 08, 2004 at 10:47:30AM +0400, Sodom wrote:
>> Здравствуйте, уважаемые.
>> По совету товарищей пишу сюда.
>> Нужна авторизация в сквиде по отдельным группам.
>> Т.е. пускать не всех domain users, а только входящих, к примеру, в
>> группу squid.
>> Да вот засада - не получается ((
>>
>> /usr/lib/squid/wb_auth
>> /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
>>
>> Такое впечатление, что скрипт даже не пытается достучаться до
>> винбинда?
AB> Потому что он собран со своей версией заголовочных файлов winbindd,
AB> которые не соответствуют реальным.
AB> Squid Team отказался от ведения своих helpers в пользу централизованного
AB> решения через ntlm_auth.
AB> В последней версии ntlm_auth появилась возможность ограничения
AB> пользователей по группе (будет скоро в сизифе).
>> А.Боковой, откликнитесь, плиз, говорят, Вы решали проблему.
>>
>> P.S. PDC - W2K Server, на машинке со сквидом - последняя 3.0.Х самба
>> из сизифа, с раздачей прав через winbind.
>>
>> P.P.S. на каталог winbindd_privileged принудительно выставлены права
>> 777 (иначе даже ntlm работать не хотела, сквид не мог достучаться до
>> сокета винбинда).
AB> Это проблема Сквида. Нужно делать setgroups перед сбросом привилегий и
AB> переходом под непривилегированного пользователя. Реализация проста, но
AB> не очень переносима -- только SVr4, SVID issue 4, X/OPEN, 4.3BSD и новее.
AB> setgroups() отсутствует в POSIX.1. Так что желающие могут сделать патч и
AB> отправить в Squid.
ОГРОМНОЕ спасибо за разъяснения! Буду ждать новой версии с
нетерпением.
--
С уважением,
Sodom mailto:sodom на sodom.ru
Origin: Сколько голов, столько умов. Но первых всегда больше.
Подробная информация о списке рассылки Samba