Squid + samba PDC. Не работает авторизация чере ntlm

[tosh17]

Доброе време суток
Хотел поднять PDC на servere и чтоб пользователи ходили в интернет через прозрачный прокси, авторизоваваясь через свои пароли.

PDC поднялся нормально. squid тоже работает нормально в прозрачном режиме, авторизация по ip

судя по всему squid  и не пытается, авторизововать через ntlm


вот конфиги

samba

(Нажмите, чтобы показать/скрыть)

[global]
workgroup = vetlab
netbios name = PDC
server string =  SHARESERVER
log level = 1
log file = /var/log/samba/workstations/%m.log
max log size = 50
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/bin/gpasswd -a %u %g
delete user from group script = /usr/bin/gpasswd -d %u %g
add machine script = /usr/sbin/useradd -g nt_workstations -s /bin/false -d /dev/null %u
set primary group script = /usr/sbin/usermod -g %g %u
 #Параметр указывает директорию где будут храниться пользовательские профили (Рабочий стол, NTuser.dat и т.д.)
logon path =
logon drive =
logon home =
logon script =
domain logons = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
hosts allow =
time server = yes
preferred master = yes
domain master = yes
local master = yes
os level = 255
unix charset = utf8
dos charset = cp1251
display charset = cp1251
load printers = yes
printing = cups
printcap name = cups
wins support = yes
[printers]
comment = All printers
path = /var/spool/samba
guest ok = yes
printable = yes
[homes]
comment = Home Directories
browseable = no
writable = yes
[netlogon]
path = /srv/samba/netlogon
read only = yes
 browseable = no
 [finance]
path = /srv/samba/finance
writable = yes
write list = @nt_financiers
 
[consultants]
path = /srv/samba/consultants
write list = @nt_consultants
 
[clients]
path = /srv/samba/clients
write list = @nt_admins
 
[media]
path = /srv/samba/clients
writable = yes
create mask = 0775
directory mask = 0775
force group = users

squid

(Нажмите, чтобы показать/скрыть)

tosh17@serverth:~$ sudo cat /etc/squid/squid.conf | grep -v "^$" | grep -v "^#"
[sudo] password for tosh17:
acl all src all
acl net src 192.168.10.0/24
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
auth_param ntlm program /usr/bin/ntlm_auth  --helper-protocol=squid-2.5-ntlmssp --require-membership-of=S-1-5-21-2238628387-2230352510-1655602620-1007
auth_param ntlm children 25
auth_param ntlm keep_alive off
auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of=S-1-5-21-2238628387-2230352510-1655602620-1007
auth_param basic children 15
auth_param basic realm Proxy Autentification Required
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl AUTH proxy_auth REQUIRED
http_access allow AUTH net
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
nonhierarchical_direct off
miss_access allow all
http_access allow localhost
http_access deny all
http_port 3128 transparent
hierarchy_stoplist cgi-bin ?
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:      1440   20%   10080
refresh_pattern ^gopher:   1440   0%   1440
refresh_pattern -i (/cgi-bin/|\?) 0   0%   0
refresh_pattern (Release|Packages(.gz)*)$   0   20%   2880
refresh_pattern .      0   20%   4320
acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache
extension_methods REPORT MERGE MKACTIVITY CHECKOUT
hosts_file /etc/hosts
coredump_dir /var/spool/squid

net groupmap list
Domain Computers (S-1-5-21-2238628387-2230352510-1655602620-515) -> nt_workstations
inetg (S-1-5-21-2238628387-2230352510-1655602620-1007) -> inetg
Domain Admins (S-1-5-21-2238628387-2230352510-1655602620-512) -> nt_admins
Domain Users (S-1-5-21-2238628387-2230352510-1655602620-513) -> users


root@serverth:~# squid -v

(Нажмите, чтобы показать/скрыть)

Squid Cache: Version 2.7.STABLE9
configure options:  '--prefix=/usr' '--exec_prefix=/usr' '--bindir=/usr/sbin' '--sbindir=/usr/sbin' '--libexecdir=/usr/lib/squid' '--sysconfdir=/etc/squid' '--localstatedir=/var/spool/squid' '--datadir=/usr/share/squid' '--with-pthreads' '--enable-async-io' '--enable-storeio=ufs,aufs,coss,diskd,null' '--enable-linux-netfilter' '--enable-arp-acl' '--enable-epoll' '--enable-removal-policies=lru,heap' '--enable-snmp' '--enable-delay-pools' '--enable-htcp' '--enable-cache-digests' '--enable-referer-log' '--enable-useragent-log' '--enable-auth=basic,digest,ntlm,negotiate' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-carp' '--enable-follow-x-forwarded-for' '--with-large-files' '--with-maxfd=65536' '--build' 'i686-linux-gnu' 'build_alias=i686-linux-gnu' 'CFLAGS=-Wall -g -O2' 'LDFLAGS=-Wl,-Bsymbolic-functions' 'CPPFLAGS='

[gizomo]

Здравствуйте.

Столкнулся с этой же проблемой. https://forum.ubuntu.ru/index.php?topic=189879.0
Решение пока не нашел.
Самое интересное, что NTLM работала нормально на 10.04 вплоть до 10.04.2. Потом что-то, по-видимому, в пакетах самбы обновили и теперь хана.

А еще меня смущает странное поведение самбы в качестве PDC. Домен поднял по инструкции из документации ubuntu. Ввел в домен сам сервер и клиента на Windows XP. Все прошло удачно. Но вот одна странность - если в Windows зайти в сетевое окружение, то мы увидим наш домен (у меня GIS.TSU.RU) и еще одну рабочую группу, имя которое совпадает с именем сервера домена (у меня OMEGA). Если перейти теперь в домен двойным кликом, то там виден сервер OMEGA и клиент Windows. Еще один глюк, это профили пользователей. На клиентах они создаются, например так OMEGA\admin, а не как положено GIS.TSU.RU\admin. Хоть это и не влияет на авторизацию пользователей, по моему.

На днях попробую на виртуалке еще раз поднять домен на 10.04.1, вроде на lucid все работало. Потом отпишусь