[sisyphus] Re: I: new samba3 build

[Grigory Batalov]

On Tue, 29 Apr 2003 12:01:47 +0300
Alexander Bokovoy <a.bokovoy на sam-solutions.net> wrote:

> > [2003/04/29 08:22:17, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(284)
> >   Got user=[LIN] domain=[UPRAV_NT] workstation=[DB] len1=24 len2=24
> > [2003/04/29 08:22:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(311)
> >   NTLMSSP NT_STATUS_ACCESS_DENIED
> а wbinfo -a user%password работает?

wbinfo -a user%password от имени bga - нет,
sudo wbinfo -a user%password - да


> > (wb_ntlmauth)[28789](wb_ntlm_auth.c:60): sending 'NA UPRAV_NT\LIN auth failure because: Authentication Failure (winbind client not authorized to use winbindd_pam_auth_crap)' to squid
> > 
> >   Т.е. всё-таки недостаточно прав?
> Недостаточно. У меня собственно вопрос -- по каким все же пользователем
> запущен этот процесс 28789?

  По информации из /proc/<pid>/status - uid = squid, gid = squid.

> У меня в аналогичном варианте, но не со Сквидом, а с Мидгардом, куда я
> добавил эту же поддержку, все работает. Через тот же 
> /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
> 
> Там ntlm_auth запускается под пользователем apache, который добавлен в
> группу winbind.

  В моём случае аналогично, но в группу winbind добавлен squid
  (проверял неоднократно =).
  Провёл такой эксперимент: в /etc/squid/squid.conf прописал

cache_effective_user squid
cache_effective_group winbind

  и все директории squid-a перевёл в gid = winbind
  (иначе squid не может прочесть конфиги и писать логи).
  Соответственно, процессы ntlm_auth стали uid = squid,
  gid = winbind. В таком варианте работает! Учитывая, что

$ ls -l /var/cache/samba/ | grep winbindd_privileged
drwxr-x---    2 root     winbind        55 Апр 29 14:33 winbindd_privileged

  мне это кажется вполне логичным =).
  Хотя это не то, чего я добивался, так что ещё подумаю.

-- 
Григорий Баталов,
группа техподдержки
ОАО "Ковдорский ГОК"