Вопрос по Squid+NTLM и Sams

[Enkil]

Встала задача настроить на одном сервере
1. Ubuntu Server 9.10
2. Squid+NTLM аутентификация из AD на Win 2003
3. Sams
4. Sarg или LightSquid
5. Iptables(проброс портов и т.д.)
6. OpenSSH
7. Postfix как шлюз\фронтэнд к Exchange 2003
8. ClamAV к Squid и Postfix
9. Spamassassin

Собственно с пунктами 1,2,4,5,6 все сделано, пункты 7-9 еще не начаты(кстати, буду благодарен за ссылки на толковые маны по настройке постфикса как гейта к эксчу с нуля, а то с почтой на лине пока не работал)

Пока делаю все на виртуальных машинах.
192.168.2.1 ubuntugw - вышеописанный шлюз в процессе настройки(второй интерфейс получает адрес от хост-машины)
192.168.2.2 winsrv.test.local - PDC на Win2k3, он же DNS и DHCP
192.168.2.3 comp1 - клиентская тачка с WinXPpro SP3

Итак, в чем проблема, а точнее, на текущий момент 2 проблемы:
1) NTLM-аутентификация работает в сквиде отлично, т.е. в зависимости от того под каким доменным юзером я захожу на клиентской тачке и настройки acl я получаю доступ к инету(или не получаю) - т.е. все ОК.
НО
в логах сквида не отображается имя доменного юзера под которым я пытаюсь выйти в инет, отображается только IP-адрес клиентской машины, естественно всегда 192.168.2.3(но при этом доступ работает именно по пользователям, а не по IP)

2) Sams установлен и настроен по инструкции с сайта разработчика(+ мануалы в сети, в общем и целом повторяющие ман с сайтам разрабов). в настройках Sams выбран способ аутентификации Active Directory. Тест PDC проходит успешно - видим всех юзеров и группы. юзеры добавлены в Sams, все шаблоны удалены и созданы новые, в общем в Samse все настроено.
Проблема с Sams в том, что а) его настройки после реконфигурирования Squid не применяются, а точнее создаются несколько файлов от samsa, появляется acl в Squid, но правила на юзеров не работают(если же теже самые правила напишу сам руками, то все работает), точнее ack создается, а вот http_access нет.
и б) Sams не считает логи Squid. При этом логи Squid пишет(но как писал выше без имен юзеров), а установленный lightsquid из вполне парсит и показывает(опять же только по IP, но это понятно)


Мои конфиги
/etc/samba/smb.conf

(Нажмите, чтобы показать/скрыть)

cat /etc/samba/smb.conf
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8

[global]

workgroup = TEST
netbios name = ubuntugw
security = ads
password server = *
realm = TEST.LOCAL
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
client use spnego = yes
winbind use default domain = yes
restrict anonymous = 2
#interfaces = 127.0.0.1/8 eth2
#hosts allow = 127. 192.168.2.
syslog only = no
domain master = no
local master = no
prefered master = no
os level = 0

cat /etc/resolv.conf

(Нажмите, чтобы показать/скрыть)

cat /etc/resolv.conf
search test.local
nameserver winsrv.test.local
nameserver 192.168.2.1
nameserver 192.168.0.1
nameserver 192.168.248.21

cat /etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet dhcp

auto eth1
iface eth1 inet static
        address 192.168.2.1
        netmask 255.255.255.0

cat /etc/krb5.conf

(Нажмите, чтобы показать/скрыть)

cat /etc/krb5.conf
[libdefaults]
ticket_lifetime = 24000
clock_skew = 300
default_realm = TEST.LOCAL

[realms]
TEST.LOCAL = {
kdc = winsrv.test.local
admin_server = winsrv.test.local
default_domain = TEST.LOCAL
}

[domain_realm]
.TEST.LOCAL = TEST.LOCAL
TEST.LOCAL = TEST.LOCAL

[logging]
default = FILE:/var/log/krb5.log

cat /etc/squid/squid.conf

(Нажмите, чтобы показать/скрыть)

cat /etc/squid/squid.conf
# created by SAMS _sams_ 2010-6-9 0:7:23
#  TAG: http_port
http_port 192.168.2.1:3128
dns_nameservers 95.154.128.32

# TAG: auth_param
auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp #--require-membership-of=TEST\\InternetUsers
auth_param ntlm children 5
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic #--require-membership-of=TEST\\InternetUsers
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# TAG: acl
acl _sams_4c0ea186b4cb5 proxy_auth "/etc/squid/4c0ea186b4cb5.sams"
#acl TEST proxy_auth REQUIRED
#acl badsaits dstdomain vk.com
acl all src 0.0.0.0/0.0.0.0


#http_access deny badsaits
#http_access allow TEST
http_access allow _sams_4c0ea186b4cb5
http_access deny all


#  TAG: visible_hostname
visible_hostname test.proxy.server

cat /etc/sams.conf

(Нажмите, чтобы показать/скрыть)

cat /etc/sams.conf
[client]
SQUID_DB=squidlog
SAMS_DB=squidctrl
MYSQLHOSTNAME=localhost
MYSQLUSER=sams
MYSQLPASSWORD=sams
MYSQLVERSION=5.0
SQUIDCACHEFILE=access.log
SQUIDROOTDIR=/etc/squid
SQUIDLOGDIR=/var/log/squid
SQUIDCACHEDIR=/var/spool/squid
SAMSPATH=/usr
SQUIDPATH=/usr/sbin
SQUIDGUARDLOGPATH=/var/log
SQUIDGUARDDBPATH=/etc/squid
RECODECOMMAND=iconv -f KOI8-R -t 866 %finp > %fout
LDAPSERVER=192.168.2.2
LDAPBASEDN=test.local
LDAPUSER=i.timohin
LDAPUSERPASSWD=supp0rt_911
LDAPUSERSGROUP=Users
REJIKPATH=/usr/local/rejik
SHUTDOWNCOMMAND=shutdown -h now
CACHENUM=0

cat /etc/hosts

(Нажмите, чтобы показать/скрыть)

cat /etc/hosts
127.0.0.1       ubuntugw.test.local ubuntugw localhost
127.0.1.1       ubuntugw
192.168.2.2     winsrv.test.local winsrv
192.168.2.1     ubuntugw.test.local ubuntugw localhost

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

cat /etc/nsswitch.conf

(Нажмите, чтобы показать/скрыть)

cat /etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nisplus
aliases:        files nisplus
automount:      files nisplus

php.ini, apache настроены по манам
wbinfo  отрабатывает на "пять".

помогите понять проблему
1) в логах сквид не пишутся имена юзеров домена
2)самс не управляет сквидом, только формирует acl

либо я затупил конкретно, либо гдето вкралась ошибка в конфигах.

Заранее спасибо!

[Enkil-404]

чудеса, проблема с пользователями в логах решилась сама собой - просто еще раз перезагрузил сквид.(хотя ранее тоже перезагружал)

Осталась проблема с управлением через Sams.


Прошу помочь ибо заказчик руками конфигурировать не будет(он виндовый админ), а Sams вроде как для того и сделан чтоб настраивать сквид из веб-интерфейса.

ЗЫ черт, у меня оказывается здесь два аккаунта)))