Re[2]: [samba] SQUID. Аутентификация по группам.

[Sodom]

Здравствуйте, Alexander.

Вы писали 8 апреля 2004 г., 13:20:42:

AB> On Thu, Apr 08, 2004 at 10:47:30AM +0400, Sodom wrote:
>> Здравствуйте, уважаемые.
>> По совету товарищей пишу сюда.
>> Нужна авторизация в сквиде по отдельным группам.
>> Т.е. пускать не всех domain users, а только входящих, к примеру, в
>> группу squid.
>> Да вот засада - не получается ((
>> 
>> /usr/lib/squid/wb_auth
>> /wb_auth[11928](wb_basic_auth.c:160): Can't contact winbindd. Dying
>> 
>>  Такое впечатление, что скрипт даже не пытается достучаться до
>>  винбинда?
AB> Потому что он собран со своей версией заголовочных файлов winbindd,
AB> которые не соответствуют реальным.

AB> Squid Team отказался от ведения своих helpers в пользу централизованного
AB> решения через ntlm_auth.

AB> В последней версии ntlm_auth появилась возможность ограничения
AB> пользователей по группе (будет скоро в сизифе).
 
>> А.Боковой, откликнитесь, плиз, говорят, Вы решали проблему.
>> 
>> P.S. PDC - W2K Server, на машинке со сквидом - последняя 3.0.Х самба
>> из сизифа, с раздачей прав через winbind.
>> 
>> P.P.S. на каталог winbindd_privileged принудительно выставлены права
>> 777 (иначе даже ntlm работать не хотела, сквид не мог достучаться до
>> сокета винбинда).
AB> Это проблема Сквида. Нужно делать setgroups перед сбросом привилегий и
AB> переходом под непривилегированного пользователя. Реализация проста, но
AB> не очень переносима -- только SVr4, SVID issue 4, X/OPEN, 4.3BSD и новее.
AB> setgroups() отсутствует в POSIX.1. Так что желающие могут сделать патч и
AB> отправить в Squid.


ОГРОМНОЕ спасибо за разъяснения! Буду ждать новой версии с
нетерпением.

-- 
С уважением,
 Sodom                          mailto:sodom на sodom.ru

Origin:  Сколько голов, столько умов. Но первых всегда больше.