Похожих тем много, но ответа на свой вопрос не нашел, может подскажете конкретно по моей ситуации?
Не получается настроить ntlm аутентификацию доменных пользователей на прокси. Всегда в любом браузере выскакивает окно с запросом логина/пароля. При basic все работает нормально.
Перепробовал много чего, ничего не помогает.
Мои конфиги:
/etc/samba/smb.conf
[global]
workgroup = MYDOM
realm = MYDOM.COM
server string = PROX-TEST
log file = /var/log/samba/log.%m
max log size = 50
log level = 3
security = ads
encrypt passwords = true
domain master = No
local master = No
preferred master = no
os level = 0
domain logons = no
max log size = 1000
load printers = No
log level = 0 winbind:4
show add printer wizard = No
idmap config * : range = 10000-20000
idmap config * : backend = tdb
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = yes
winbind refresh tickets = yes
inherit acls = Yes
inherit owner = Yes
case sensitive = No
/etc/krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krbkdc.log
admin_server = FILE:/var/log/ksadmind.log
[libdefaults]
default_realm = MYDOM.COM
dns_lookup_kdc = true
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
MYDOM.COM = {
kdc = adc
kdc = bdc
admin_server = adc
default_domain = MYDOM.COM
}
[domain_realm]
.mydom.com = MYDOM.COM
mydom.com = MYDOM.COM
[login]
krb4_convert = false
krb4_get_tickets = false
/etc/squid3/squid3.conf
cache_effective_user proxy
cache_effective_group proxy
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 20 startup=0 idle=1
auth_param ntlm keep_alive on
external_acl_type nt_group %LOGIN /usr/lib/squid3/ext_wbinfo_group_acl
acl InetManagers external nt_group MYDOM\InetManagers
acl MYDOM proxy_auth REQUIRED
acl localnet src 10.11.0.0/22 # RFC1918 possible internal network
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT
http_access allow MYDOM
http_access allow InetManagers
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost manager
http_access deny manager
http_access allow localnet
http_access allow localhost
http_access deny all
http_port 3128
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
wbinfo -t
wbinfo -p
Говорят, что все хорошо.
wbinfo -u
wbinfo -g
Выдают нужные списки
проверка пользователя из командной строки /usr/bin/ntlm_auth тоже проходит успешно
проверка /usr/lib/squid3/ext_wbinfo_group_acl тоже все норм
к файлу /run/samba/winbindd_privileged выданы
В логах такая картина
/var/log/squid3/cache.log
Login for user [MYDOM]\[user]@[USERCOMP] failed due to [Reading winbind reply failed!]
GENSEC login failed: NT_STATUS_UNSUCCESSFUL
2015/10/08 17:36:50 kid1| ERROR: NTLM Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
user входит в доменную группу InetManagers, ext_wbinfo_group_acl выдает статус OK при ручной проверке.
Подскажите кто-нить, я уже всю голову свернул, но понять не могу
Тема: squid3+ntlm (Прочитано 3029 раз)
