Добрый вечер!
Ubuntu 12.04.05 введена в домен
Проверки проходят
Проверка доступности Домена
#wbinfo -p
Проверка аутентификации
# wbinfo -a user%password
Проверка AD домена
# wbinfo -D domain
Проверка Trust Secrets RPC
# wbinfo -t Вывод информации о пользователе
# wbinfo -i user Список пользователей из AD
# wbinfo -u Список групп из AD
# wbinfo -gПытаюсь настроить ntlm авторизацию,Но SQUID3 не блочит по пользователям домена.
Система не проходит проверку
helper'а ntlm_auth helper
/usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Выводит ERRsquid3.conf#Задаем порт squid
http_port 3128
#----------------------NTLM-----------------------------------
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 100
auth_param ntlm keep_alive on
#---------------------------------------------------------------
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#auth_param basic children 100
#---------------------------------------------------------------
#acl all src all
#Задаем 30.0 сеть
acl network src 192.168.30.0/24 # RFC1918 possible internal network
#сеть openvpn
acl openvpnnetwork src 10.10.30.0/24
# Описываем порты на которые разрешено лазить
acl SSL_ports port 443 563
# порты на которе можно ходить юзерам
acl safe_ports port 80 # http
acl safe_ports port 21 # ftp
acl safe_ports port 443 # ssl
acl ICQ_ports port 5190 # ICQ
# надо ли? 1025-65535
acl CONNECT method CONNECT
#Разрешаем доступ к социальным сетям
acl access_vk proxy_auth glavbuh zambuh sekretar buhgalter
acl access_urls_vk url_regex vk.com vkontakte.ru facebook.com fb.com my.mail.ru odnoklassniki.ru ok.ru
http_access allow access_vk access_urls_vk
#Блокируем Сайты
acl blocked_urlsites url_regex "/etc/squid3/block/sites.txt"
http_access deny blocked_urlsites
#Блокируем социальные сети
acl blocked_urlsocseti url_regex "/etc/squid3/block/socseti.txt"
http_access deny blocked_urlsocseti
deny_info banner_urlsitesex blocked_urlsitesex
deny_info banner_urldstdom blocked_urldstdom
deny_info banner_urlsocseti blocked_urlsocseti
deny_info banner_urlsites blocked_urlsites
deny_info banner_urlgames blocked_urlgames
deny_info banner_urlpath blocked_urlpath
#Разрешаем всем доуступ к инету из сети 30.0
http_access allow network
# Разрешаем асечный порт тем у кого есть аська
http_access allow ICQ_ports
# зарубаем все порты проме safe_ports
http_access deny !safe_ports
# Зарубаем коннект кроме как к SSL (надо ли группе отдельной?)
http_access deny CONNECT !SSL_ports
#Зарубаем всех кроме нашей сети
http_access deny !network !openvpnnetwork
# Правило кэширвания
cache_dir ufs /squid3_cache 50000 64 512
# Говорит сквиду, сколько ему можно слопать памяти для внутренних объектов
cache_mem 1024 MB
#Каталог ошибок
error_directory /etc/squid3/errors/Russian-1251
# Пути к лог файлам
access_log /var/log/squid3/access.log squid
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
# Время кеширования удачных и неудачных ответов от DNS сервера
positive_dns_ttl 2 minute
negative_dns_ttl 30 second
Логи:
root@gw:~/etc/samba# testparmLoad smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section "[obmen]"
Processing section "[files site]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
workgroup = DOMEN
realm = DOMEN.RU
server string = GW
security = ADS
load printers = No
printcap name = /dev/null
disable spoolss = Yes
show add printer wizard = No
os level = 0
local master = No
domain master = No
dns proxy = No
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes
winbind refresh tickets = Yes
idmap config * : range = 10000-20000
idmap config * : backend = tdb
hosts allow = 127., 192.168.30., 10.10.30.
[libdefaults]
default_realm = DOMEN.RU
clockskew = 300
ticket_lifetime = 24000
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
DOMEN.RU = {
kdc = dc.domen.ru
admin_server = dc.domen.ru
default_domain = DOMEN.RU
}
[domain_realm]
.domen.ru = DOMEN.RU
domen.ru = DOMEN.RU
[login]
krb4_convert = true
krb4_get_tickets = false
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
2016/11/17 22:09:17.949311, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=1)
[2016/11/17 22:10:05, 0] winbindd/winbindd.c:1354(main)
winbindd version 3.6.25 started.
Copyright Andrew Tridgell and the Samba Team 1992-2011
[2016/11/17 22:10:05.597056, 0] winbindd/winbindd_cache.c:3169(initialize_winbindd_cache)
initialize_winbindd_cache: clearing cache and re-creating with version number 2
[2016/11/17 23:03:48.952755, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=1)
[2016/11/17 23:04:26, 0] winbindd/winbindd.c:1354(main)
winbindd version 3.6.25 started.
Copyright Andrew Tridgell and the Samba Team 1992-2011
[2016/11/17 23:04:26.938060, 0] winbindd/winbindd_cache.c:3169(initialize_winbindd_cache)
initialize_winbindd_cache: clearing cache and re-creating with version number 2
[2016/11/17 23:17:45.856093, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=1)
[2016/11/17 23:17:48, 0] winbindd/winbindd.c:1354(main)
winbindd version 3.6.25 started.
Copyright Andrew Tridgell and the Samba Team 1992-2011
[2016/11/17 23:17:48.107098, 0] winbindd/winbindd_cache.c:3169(initialize_winbindd_cache)
initialize_winbindd_cache: clearing cache and re-creating with version number 2
[2016/06/18 18:59:40.331331, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/06/19 20:59:52.305880, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/06/28 21:26:47.590906, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/06/28 21:48:00.937628, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/06/28 21:55:39.027840, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/06/29 09:29:04.502237, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/06/29 09:34:01.474899, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/06/30 18:54:49.158470, 0] winbindd/winbindd_cm.c:897(cm_prepare_connection)
cm_prepare_connection: getpeername failed with: Конечная точка передачи не подсоединена
[2016/07/18 08:39:04.468230, 0] winbindd/winbindd_cm.c:897(cm_prepare_connection)
cm_prepare_connection: getpeername failed with: Transport endpoint is not connected
[2016/10/15 02:52:40.362384, 0] winbindd/winbindd_cm.c:897(cm_prepare_connection)
cm_prepare_connection: getpeername failed with: Transport endpoint is not connected
[2016/11/15 00:42:50.988934, 0] winbindd/winbindd_cm.c:897(cm_prepare_connection)
cm_prepare_connection: getpeername failed with: Transport endpoint is not connected
[2016/11/17 22:09:17.949132, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/11/17 23:03:48.952805, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/11/17 23:17:45.854316, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
/var/log/samba/log.wb-GW
[2016/06/28 21:26:47.590562, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/11/17 22:09:17.949150, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/11/17 23:03:48.952683, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/11/17 23:17:45.854307, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/06/28 21:26:47.590550, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/11/17 23:03:48.952693, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
[2016/11/17 23:17:45.854315, 0] winbindd/winbindd.c:212(winbindd_sig_term_handler)
Got sig[15] terminate (is_parent=0)
Так же не устанавливается
libnss-winbindroot@gw:/var/log/samba# sudo aptitude install libnss-winbind
Не удалось найти пакеты, содержащих «libnss-winbind» в своём имени или описании
Не удалось найти пакеты, содержащих «libnss-winbind» в своём имени или описании
Ни одного пакета не будет установлено, обновлено или удалено.
0 пакетов обновлено, 0 установлено новых, 0 пакетов отмечено для удаления, и 0 пакетов не обновлено.
Необходимо получить 0 Б архивов. После распаковки 0 Б будет занято.Сам squid3 работает,пользователя домена в сеть ходят. Но блокировки работают только на ВСЕХ или наоборот
Тема: В SQUID3 не работают ограничения для пользователей домена. Не работает winbind (Прочитано 916 раз)
