From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <grisxa@mail.ru>
Date: Tue, 29 Apr 2003 08:30:43 +0400
From: Grigory Batalov <grisxa@mail.ru>
To: sisyphus@altlinux.ru
Subject: Re: [sisyphus] Re: I: new samba3 build
Message-Id: <20030429083043.0591a12d.grisxa@mail.ru>
In-Reply-To: <20030428132431.GC15082@sam-solutions.net>
References: <20030425164038.GA24972@sam-solutions.net>
	<20030428170652.1a248491.grisxa@mail.ru>
	<20030428132431.GC15082@sam-solutions.net>
Organization: OAO "Kovdorsky GOK"
X-Mailer: Sylpheed version 0.8.8 (GTK+ 1.2.10; i586-alt-linux-gnu)
X-Face: 
 ")Qu!$R3ym>`zI`H#Scijb6gliZ{v(u-Y6muu{*\y^\%Chb}{eEo4=L^jB]/>jhI]yW._DV')>_
 Yj#L`{-(%kaIt76Smg&jk>R>@!QO(p{:dr},@;
Mime-Version: 1.0
Content-Type: text/plain; charset=KOI8-R
Content-Transfer-Encoding: 8bit
Sender: sisyphus-admin@altlinux.ru
Errors-To: sisyphus-admin@altlinux.ru
X-BeenThere: sisyphus@altlinux.ru
X-Mailman-Version: 2.0.9
Precedence: bulk
Reply-To: sisyphus@altlinux.ru
List-Unsubscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=unsubscribe>
List-Id: <sisyphus.altlinux.ru>
List-Post: <mailto:sisyphus@altlinux.ru>
List-Help: <mailto:sisyphus-request@altlinux.ru?subject=help>
List-Subscribe: <http://altlinux.ru/mailman/listinfo/sisyphus>,
	<mailto:sisyphus-request@altlinux.ru?subject=subscribe>
List-Archive: <http://altlinux.ru/pipermail/sisyphus/>
Archived-At: <http://lore.altlinux.org/sisyphus/20030429083043.0591a12d.grisxa@mail.ru/>
List-Archive: <http://lore.altlinux.org/sisyphus/>

On Mon, 28 Apr 2003 16:24:31 +0300
Alexander Bokovoy <a.bokovoy@sam-solutions.net> wrote:

> > auth_param ntlm program /usr/bin/ntlm_auth -d 31 --helper-protocol=squid-2.5-ntlmssp
> > 
> >   На попытку аутентифицироваться в логах было неизменное
> >   NT_..._ACCESS_DENIED. Если надо, процитирую подробнее.
> Включите пользователя, под которым Сквид запускает ntlm_auth в группу
> winbind. С марта месяца несколько ужесточились права доступа к
> привилегированной pipe в winbindd.

  А та pipe, что в tmp, не привилегированная? У меня так:

$ ls -l /tmp/.winbindd/pipe 
srwxrwxrwx    1 root     root            0 Апр 29 08:16 /tmp/.winbindd/pipe

  Включил squid в группу winbind, аутентификация всё равно
  не проходит:

[2003/04/29 08:22:17, 10] utils/ntlm_auth.c:manage_squid_request(376)
  Got 'KK TlRMTVNTUAADAAAAGAAYAE0AAAAYABgAZQAAAAgACABAAAAAAwADAEgAAAACAAIASwAAAAAAAAB9AAAABgIAIFVQUkFWX05UTElOREL518+tygpBALVmX8
0afRrjnhfOSCEE24cnVabkho83PBRuf2k5jUjlg8xhqu/07j4=' from squid (length: 171).
[2003/04/29 08:22:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(298)
  got NTLMSSP packet:
[2003/04/29 08:22:17, 10] lib/util.c:dump_data(1886)
  [000] 4E 54 4C 4D 53 53 50 00  03 00 00 00 18 00 18 00  NTLMSSP. ........
  [010] 4D 00 00 00 18 00 18 00  65 00 00 00 08 00 08 00  M....... e.......
  [020] 40 00 00 00 03 00 03 00  48 00 00 00 02 00 02 00  @....... H.......
  [030] 4B 00 00 00 00 00 00 00  7D 00 00 00 06 02 00 20  K....... }...... 
  [040] 55 50 52 41 56 5F 4E 54  4C 49 4E 44 42 F9 D7 CF  UPRAV_NT LINDB...
  [050] AD CA 0A 41 00 B5 66 5F  CD 1A 7D 1A E3 9E 17 CE  ...A..f_ ..}.....
  [060] 48 21 04 DB 87 27 55 A6  E4 86 8F 37 3C 14 6E 7F  H!...'U. ...7<.n.
  [070] 69 39 8D 48 E5 83 CC 61  AA EF F4 EE 3E 00        i9.H...a ....>.
[2003/04/29 08:22:17, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(284)
  Got user=[LIN] domain=[UPRAV_NT] workstation=[DB] len1=24 len2=24
[2003/04/29 08:22:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(311)
  NTLMSSP NT_STATUS_ACCESS_DENIED

  При проверке /usr/lib/squid/wb_ntlmauth появляется следующее:

(wb_ntlmauth)[28789](wb_ntlm_auth.c:292): Got 'YR' from squid.
(wb_ntlmauth)[28789](wb_ntlm_auth.c:72): sending 'TT TlRMTVNTUAACAAAACAAIACgAAACCgkEA5mVbiSOCxXMAAAAAAAAAAFVQUkFWX05U' to squid
(wb_ntlmauth)[28789](wb_ntlm_auth.c:292): Got 'KK TlRMTVNTUAADAAAAGAAYAE0AAAAYABgAZQAAAAgACABAAAAAAwADAEgAAAACAAIASwAAAAAAAAB9AAAABoIAAFVQUkFWX05UTElOREK90E/NQvldWG/XiAdYS3Oi4gW9rZKZB+VCCuPz1IfggqX0Q+eDFUuGxG/f89u5TgP=' from squid.
(wb_ntlmauth)[28789](wb_ntlm_auth.c:240): Checking user 'UPRAV_NT\LIN' lmhash len =24, have_nthash=0, nthash len=24
(wb_ntlmauth)[28789](wb_ntlm_auth.c:246): winbindd result: 0
(wb_ntlmauth)[28789](wb_ntlm_auth.c:60): sending 'NA UPRAV_NT\LIN auth failure because: Authentication Failure (winbind client not authorized to use winbindd_pam_auth_crap)' to squid

  Т.е. всё-таки недостаточно прав?

-- 
Григорий Баталов,
группа техподдержки
ОАО "Ковдорский ГОК"