Вот например.

Письмо в списке рассылки Samba от 5 апреля:

http://lists.samba.org/archive/samba/2009-April/147570.html

Для Ъ:

[Samba] Samba PDC & Squid NTLM Auth - Same machine

yeap! no success just yet :(
Victor Medina

У меня на samba 3.0.34 / squid 2.7.STABLE6 работает, ЧЯДНТ?

NTLM?

Samba в роли PDC? Аутентификация на Squid NTLM? Samba и Squid на одной машине?

Вы меня за идиота держите, да?

Да, Да, Да. Более того, такая связка работает еще на 10ке серверов:

3.0.28a/2.6.STABLE20
3.0.32/2.7.STABLE5
...
и т.п.

>Можно ли запустить Squid+NTLM на машине с BDC?
Можно и на BDC, Squid'у пофигу.

Гениально.

>Вы меня за идиота держите, да?

Скорее наоборот.

Можно попросить у вас конфиги Samb'ы, Squid'а и Winbind'а (он ведь тоже нужен, да?)?

Давайте вы сначала скажите, в чем конкретно у вас проблема, а потом посмотрим. Боюсь, конфиги вам не помогут.

smb.conf:

[global]
workgroup = SECRET
server string = SERVER
interfaces = XXX
bind interfaces only = Yes
encrypt passwords = yes
map to guest = Bad User
time server = Yes
hostname lookups = no
logon script = startup.cmd
logon drive = H:
domain logons = Yes
logon path =
dns proxy = no

#cache cred for much load systems
winbind offline logon = true
winbind cache time = 600

#Domain Master Browser
local master = yes
preferred master = Yes
domain master = Yes
os level = 255
wins support = Yes

admin users = @wheel
hosts allow = 127., xxx
winbind use default domain = yes
load printers = yes
printing = cups
printcap name = /etc/printcap


ldap admin dn = "cn=Manager,dc=x,dc=y"
passdb backend = ldapsam:ldap://127.0.0.1
enable privileges = Yes
ldap delete dn = no
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap suffix = dc=x,dc=y

add machine script = /usr/local/etc/add_computer %u %I
add user script = /etc/samba/add_user %u
add user to group script = /etc/samba/add_user_to_group %u "%g"
add group script = /etc/samba/add_group "%g"
ldap passwd sync = yes

#global
#######
http_port x:3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 32 MB
cache_swap_low 90
cache_swap_high 95
cache_effective_user squid
cache_effective_group winbind
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
global_internal_static off
short_icon_urls off
visible_hostname x.y
hosts_file /etc/hosts

ignore_expect_100 on

# maximum_object_size 4096 KB
# maximum_object_size_in_memory 8 KB
#
#work dirs
##########
cache_dir ufs /var/local/squid/cache 4096 32 512
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
pid_filename /var/run/squid/squid.pid

# TAG: auth_param
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 50

authenticate_ttl 20 minutes
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 25
auth_param basic realm Squid proxy-caching web server

# TAG: acl
acl password proxy_auth REQUIRED
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl Safe_ports port 80 # http
acl Safe_ports port 443 563 3128 # https, snews
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all

>и Winbind'а (он ведь тоже нужен, да?)?
Он нужен, но конфигурировать там нечего.

Чмоке.

Спасибо, уважаемый zgen.

только бездумно не копируйте, я из squid.conf некоторые строки удалил.

Разбираемся.

zgen, вопрос по поводу Squid'а. Я так понимаю в указанном конфиге никого в интернеты не пускает, только manager'а на localhost. Но есть acl под название password, в которую после аутентификацие попадает любой пользователь домена. Так?

Вопрос 1: если перед http_access deny all вписать http_access allow password, то всех доменных пользователей будет пускать в интернеты?

Вопрос 2: если мне надо пускать не всех пользователей, как это можно сделать? Как в Squid прописать acl в который входят только члены определённой доменной группы или какой-то список доменных пользователей?

А самим хелп почитать лень, ага?

1. Да
2.
a) man... man,man,man!

To setup ntlm_auth for use by squid 2.5 with group limitation in
addition to the above example, the following should be added to the
squid.conf file.

auth_param ntlm program ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of='WORKGROUP\Domain Users'
auth_param basic program ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of='WORKGROUP\Domain Users'

b) Можешь просто username'ы
у меня так:
acl users src "/usr/local/etc/squid/list"
http_access allow users

Одно дело, когда проблемы, а другое - когда простые вещи просите. вот.

man что?

>А самим хелп почитать лень, ага?

Это часть проблемы. Где читать-то?

http://www.squid-cache.org/Doc/config/auth_param/

Ни слова про require membership.

man ntlm_auth

Такой вопрос... Samba PDC + squid-ntlm на одной машине реализуется без использования ldap??? (я новичек, потому сильно не бейте ;;))

можно «с», можно «без».

Реально обрадовал!!!! ))) Можешь объяснить минимум что добавить/убрать в конфиг самбы (например рассматривая тот конфиг, что приведен вверху), чтоб без ldap???

Давайте реально расстрою - вы мне объясните, почему я за вас что-то должен делать, когда вам нужно прочитать документацию?

Вобщем с бубном и бутылкой пива разобрался. Почти... все настроено, однако не пускает.. читал доки по свиду там так:

# wbinfo -a mydomain\\myuser%mypasswd

plaintext password authentication succeeded

error code was NT_STATUS_OK (0x0)

challenge/response password authentication succeeded

error code was NT_STATUS_OK (0x0)

«succeeded.» If there is no «challenge/response» status returned then Samba was not built with "--with-winbind-auth-challenge" and cannot support ntlm authentication.

всё работает кроме этого пункта, тоесть у меня «Samba was not built with »--with-winbind-auth-challenge" and cannot support ntlm authentication."

неужели пакт самбы в ubuntu-server 9.10 поставляется без этой опции???

Отбой!!! Заработало всё!!!

Рано обрадовался ((( аутентификация работает не более 5 минут... потом не работает - помогает перезапуск winbindd опять же на 5 минут.. че за хрень, кто подскажет???

... баг самбы 3.4.0. С версии 3.4.1 исправлено