[sisyphus] Re: I: new samba3 build

Alexander Bokovoy =?iso-8859-1?q?a=2Ebokovoy_=CE=C1_sam-solutions=2Enet?=
Вт Апр 29 13:01:47 MSD 2003 

On Tue, Apr 29, 2003 at 08:30:43AM +0400, Grigory Batalov wrote:
> On Mon, 28 Apr 2003 16:24:31 +0300
> Alexander Bokovoy <a.bokovoy на sam-solutions.net> wrote:
> 
> > > auth_param ntlm program /usr/bin/ntlm_auth -d 31 --helper-protocol=squid-2.5-ntlmssp
> > > 
> > >   На попытку аутентифицироваться в логах было неизменное
> > >   NT_..._ACCESS_DENIED. Если надо, процитирую подробнее.
> > Включите пользователя, под которым Сквид запускает ntlm_auth в группу
> > winbind. С марта месяца несколько ужесточились права доступа к
> > привилегированной pipe в winbindd.
> 
>   А та pipe, что в tmp, не привилегированная? У меня так:
> 
> $ ls -l /tmp/.winbindd/pipe 
> srwxrwxrwx    1 root     root            0 Апр 29 08:16 /tmp/.winbindd/pipe
Это не она. Смотрите в /var/cache/samba/winbindd_privileged


>   Включил squid в группу winbind, аутентификация всё равно
>   не проходит:
> 
> [2003/04/29 08:22:17, 10] utils/ntlm_auth.c:manage_squid_request(376)
>   Got 'KK TlRMTVNTUAADAAAAGAAYAE0AAAAYABgAZQAAAAgACABAAAAAAwADAEgAAAACAAIASwAAAAAAAAB9AAAABgIAIFVQUkFWX05UTElOREL518+tygpBALVmX8
> 0afRrjnhfOSCEE24cnVabkho83PBRuf2k5jUjlg8xhqu/07j4=' from squid (length: 171).
> [2003/04/29 08:22:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(298)
>   got NTLMSSP packet:
> [2003/04/29 08:22:17, 10] lib/util.c:dump_data(1886)
>   [000] 4E 54 4C 4D 53 53 50 00  03 00 00 00 18 00 18 00  NTLMSSP. ........
>   [010] 4D 00 00 00 18 00 18 00  65 00 00 00 08 00 08 00  M....... e.......
>   [020] 40 00 00 00 03 00 03 00  48 00 00 00 02 00 02 00  @....... H.......
>   [030] 4B 00 00 00 00 00 00 00  7D 00 00 00 06 02 00 20  K....... }...... 
>   [040] 55 50 52 41 56 5F 4E 54  4C 49 4E 44 42 F9 D7 CF  UPRAV_NT LINDB...
>   [050] AD CA 0A 41 00 B5 66 5F  CD 1A 7D 1A E3 9E 17 CE  ...A..f_ ..}.....
>   [060] 48 21 04 DB 87 27 55 A6  E4 86 8F 37 3C 14 6E 7F  H!...'U. ...7<.n.
>   [070] 69 39 8D 48 E5 83 CC 61  AA EF F4 EE 3E 00        i9.H...a ....>.
> [2003/04/29 08:22:17, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(284)
>   Got user=[LIN] domain=[UPRAV_NT] workstation=[DB] len1=24 len2=24
> [2003/04/29 08:22:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(311)
>   NTLMSSP NT_STATUS_ACCESS_DENIED
а wbinfo -a user%password работает?

> 
>   При проверке /usr/lib/squid/wb_ntlmauth появляется следующее:
> 
> (wb_ntlmauth)[28789](wb_ntlm_auth.c:292): Got 'YR' from squid.
> (wb_ntlmauth)[28789](wb_ntlm_auth.c:72): sending 'TT TlRMTVNTUAACAAAACAAIACgAAACCgkEA5mVbiSOCxXMAAAAAAAAAAFVQUkFWX05U' to squid
> (wb_ntlmauth)[28789](wb_ntlm_auth.c:292): Got 'KK TlRMTVNTUAADAAAAGAAYAE0AAAAYABgAZQAAAAgACABAAAAAAwADAEgAAAACAAIASwAAAAAAAAB9AAAABoIAAFVQUkFWX05UTElOREK90E/NQvldWG/XiAdYS3Oi4gW9rZKZB+VCCuPz1IfggqX0Q+eDFUuGxG/f89u5TgP=' from squid.
> (wb_ntlmauth)[28789](wb_ntlm_auth.c:240): Checking user 'UPRAV_NT\LIN' lmhash len =24, have_nthash=0, nthash len=24
> (wb_ntlmauth)[28789](wb_ntlm_auth.c:246): winbindd result: 0
> (wb_ntlmauth)[28789](wb_ntlm_auth.c:60): sending 'NA UPRAV_NT\LIN auth failure because: Authentication Failure (winbind client not authorized to use winbindd_pam_auth_crap)' to squid
> 
>   Т.е. всё-таки недостаточно прав?
Недостаточно. У меня собственно вопрос -- по каким все же пользователем
запущен этот процесс 28789?

У меня в аналогичном варианте, но не со Сквидом, а с Мидгардом, куда я
добавил эту же поддержку, все работает. Через тот же 
/usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp

Там ntlm_auth запускается под пользователем apache, который добавлен в
группу winbind.
-- 
/ Alexander Bokovoy
---
He who slings mud generally loses ground.
		-- Adlai Stevenson

Подробная информация о списке рассылки Sisyphus