[sisyphus] Re: I: new samba3 build
Grigory Batalov
=?iso-8859-1?q?grisxa_=CE=C1_mail=2Eru?=
Вт Апр 29 14:44:58 MSD 2003
On Tue, 29 Apr 2003 12:01:47 +0300
Alexander Bokovoy <a.bokovoy на sam-solutions.net> wrote:
> > [2003/04/29 08:22:17, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(284)
> > Got user=[LIN] domain=[UPRAV_NT] workstation=[DB] len1=24 len2=24
> > [2003/04/29 08:22:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(311)
> > NTLMSSP NT_STATUS_ACCESS_DENIED
> а wbinfo -a user%password работает?
wbinfo -a user%password от имени bga - нет,
sudo wbinfo -a user%password - да
> > (wb_ntlmauth)[28789](wb_ntlm_auth.c:60): sending 'NA UPRAV_NT\LIN auth failure because: Authentication Failure (winbind client not authorized to use winbindd_pam_auth_crap)' to squid
> >
> > Т.е. всё-таки недостаточно прав?
> Недостаточно. У меня собственно вопрос -- по каким все же пользователем
> запущен этот процесс 28789?
По информации из /proc/<pid>/status - uid = squid, gid = squid.
> У меня в аналогичном варианте, но не со Сквидом, а с Мидгардом, куда я
> добавил эту же поддержку, все работает. Через тот же
> /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
>
> Там ntlm_auth запускается под пользователем apache, который добавлен в
> группу winbind.
В моём случае аналогично, но в группу winbind добавлен squid
(проверял неоднократно =).
Провёл такой эксперимент: в /etc/squid/squid.conf прописал
cache_effective_user squid
cache_effective_group winbind
и все директории squid-a перевёл в gid = winbind
(иначе squid не может прочесть конфиги и писать логи).
Соответственно, процессы ntlm_auth стали uid = squid,
gid = winbind. В таком варианте работает! Учитывая, что
$ ls -l /var/cache/samba/ | grep winbindd_privileged
drwxr-x--- 2 root winbind 55 Апр 29 14:33 winbindd_privileged
мне это кажется вполне логичным =).
Хотя это не то, чего я добивался, так что ещё подумаю.
--
Григорий Баталов,
группа техподдержки
ОАО "Ковдорский ГОК"
Подробная информация о списке рассылки Sisyphus