From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 29 Apr 2003 14:44:58 +0400 From: Grigory Batalov To: sisyphus@altlinux.ru Subject: Re: [sisyphus] Re: I: new samba3 build Message-Id: <20030429144458.64c3e1c7.grisxa@mail.ru> In-Reply-To: <20030429090147.GA5985@sam-solutions.net> References: <20030425164038.GA24972@sam-solutions.net> <20030428170652.1a248491.grisxa@mail.ru> <20030428132431.GC15082@sam-solutions.net> <20030429083043.0591a12d.grisxa@mail.ru> <20030429090147.GA5985@sam-solutions.net> Organization: OAO "Kovdorsky GOK" X-Mailer: Sylpheed version 0.8.8 (GTK+ 1.2.10; i586-alt-linux-gnu) X-Face: ")Qu!$R3ym>`zI`H#Scijb6gliZ{v(u-Y6muu{*\y^\%Chb}{eEo4=L^jB]/>jhI]yW._DV')>_ Yj#L`{-(%kaIt76Smg&jk>R>@!QO(p{:dr},@; Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit Sender: sisyphus-admin@altlinux.ru Errors-To: sisyphus-admin@altlinux.ru X-BeenThere: sisyphus@altlinux.ru X-Mailman-Version: 2.0.9 Precedence: bulk Reply-To: sisyphus@altlinux.ru List-Unsubscribe: , List-Id: List-Post: List-Help: List-Subscribe: , List-Archive: Archived-At: List-Archive: On Tue, 29 Apr 2003 12:01:47 +0300 Alexander Bokovoy wrote: > > [2003/04/29 08:22:17, 3] libsmb/ntlmssp.c:ntlmssp_server_auth(284) > > Got user=[LIN] domain=[UPRAV_NT] workstation=[DB] len1=24 len2=24 > > [2003/04/29 08:22:17, 10] utils/ntlm_auth.c:manage_squid_ntlmssp_request(311) > > NTLMSSP NT_STATUS_ACCESS_DENIED > а wbinfo -a user%password работает? wbinfo -a user%password от имени bga - нет, sudo wbinfo -a user%password - да > > (wb_ntlmauth)[28789](wb_ntlm_auth.c:60): sending 'NA UPRAV_NT\LIN auth failure because: Authentication Failure (winbind client not authorized to use winbindd_pam_auth_crap)' to squid > > > > Т.е. всё-таки недостаточно прав? > Недостаточно. У меня собственно вопрос -- по каким все же пользователем > запущен этот процесс 28789? По информации из /proc//status - uid = squid, gid = squid. > У меня в аналогичном варианте, но не со Сквидом, а с Мидгардом, куда я > добавил эту же поддержку, все работает. Через тот же > /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp > > Там ntlm_auth запускается под пользователем apache, который добавлен в > группу winbind. В моём случае аналогично, но в группу winbind добавлен squid (проверял неоднократно =). Провёл такой эксперимент: в /etc/squid/squid.conf прописал cache_effective_user squid cache_effective_group winbind и все директории squid-a перевёл в gid = winbind (иначе squid не может прочесть конфиги и писать логи). Соответственно, процессы ntlm_auth стали uid = squid, gid = winbind. В таком варианте работает! Учитывая, что $ ls -l /var/cache/samba/ | grep winbindd_privileged drwxr-x--- 2 root winbind 55 Апр 29 14:33 winbindd_privileged мне это кажется вполне логичным =). Хотя это не то, чего я добивался, так что ещё подумаю. -- Григорий Баталов, группа техподдержки ОАО "Ковдорский ГОК"