https://opennet.me/openforum/vsluhforumID3/5211.html Misha Volodko описал как можно аутентифицировать пользователей в squid на основе доменных аккаунтов.<br><br>URL: http://www.opennet.ru/base/net/win_domain_squid.txt.html<br>Новость: http://www.opennet.ru/opennews/art.shtml?num=5122<br> https://opennet.me/openforum/vsluhforumID3/5211.html#19 Tue, 24 May 2005 12:58:40 GMT &gt;Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN <br>&gt;Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN <br>&gt;Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN <br>&gt;Mar 5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN <br>&gt;Mar 5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.dc._msdcs.mgus.ru/SRV/IN <br>&gt;Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN <br>&gt;Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN <br>&gt;Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN <br>&gt;Mar 5 13:55:27 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site- https://opennet.me/openforum/vsluhforumID3/5211.html#17 Wed, 09 Mar 2005 08:36:12 GMT Доброе время суток,<br>делал как написано. Всё нормально работало, IE не спрашивал, mozzila спрашивала, вообщем всё работало....<br>Но через час работы, начал спрашивать опять логин и пароль, и ни один не стал проходить....<br>Начал делать всё заново как тут написано.... Теперь не могу получить билет от Kerberos'а.<br>Говорит логин и пароль не правильные, хотя всё нормально....<br>bash-2.05b# kinit -p finch@domain.ru<br>finch@domain.ru's Password:<br>kinit: Password incorrect<br><br>Вот что про kerberos в /var/log/messages<br><br>Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN<br>Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN<br>Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN<br>Mar 5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN<br>Mar 5 13:32:30 proxy named[314] https://opennet.me/openforum/vsluhforumID3/5211.html#16 Wed, 02 Mar 2005 12:10:52 GMT [root@forlan bin]# ./wbinfo -t <br>checking the trust secret via RPC calls succeeded<br>[root@forlan bin]# ./wbinfo -u <br>Error looking up domain users<br>Но падла авторизирует :)<br>[root@forlan bin]# ./wbinfo -a ds_shadof%pass_here<br>plaintext password authentication succeeded <br>challenge/response password authentication succeeded <br>Кусочек который тебя интересует от nsswitch.conf<br>passwd: files ldap <br>shadow: files ldap <br>group: files ldap<br>Так же предвижу вопроc о содержимом ldap.conf<br>host 127.0.0.1 <br>base dc=liin,dc=org <br>binddn cn=Manager,dc=liin,dc=org <br>bindpw parol'_tut <br>#rootbinddn cn=Manager,dc=liin,dc=org <br> <br>pam_password exop <br> <br>nss_base_passwd ou=people,dc=liin,dc=org?one<br>nss_base_shadow ou=people,dc=liin,dc=org?one<br> https://opennet.me/openforum/vsluhforumID3/5211.html#15 Tue, 01 Mar 2005 11:31:47 GMT Может быть почтеннейший не сочтет за труд ткнуть носом в конкретные проблемы? https://opennet.me/openforum/vsluhforumID3/5211.html#14 Tue, 01 Mar 2005 10:15:19 GMT Внимательно гугляем на тему NIS и секьюрити и понимаем что NIS это не просто дыра а отрытые двери с плакатом добро пожаловать. https://opennet.me/openforum/vsluhforumID3/5211.html#13 Tue, 01 Mar 2005 09:55:19 GMT А возможно ли это внедрить сразу через опенлдап?<br>К примеру у меня учетки хранятся в openldap. Самба привязана к лдап. Так вот если делать Аутентификация пользователей squid через доменные аккаунты Windows ;) то получает не нужный посредник Samba. Или без Самбы все таки не обойтись ? https://opennet.me/openforum/vsluhforumID3/5211.html#12 Tue, 01 Mar 2005 07:35:03 GMT PS. при этом все это добро можно сколь угодно раздавать на другие юниксы, uid-ы и gid-ы то одинаковые. https://opennet.me/openforum/vsluhforumID3/5211.html#11 Tue, 01 Mar 2005 07:28:48 GMT Как это через роутеры не бегает???? Оно же 111/tcp 111/udp.<br>Какая секурити??? Та что хэши паролей по сети скачут? Если да, то я ведь не говорил, что и авторизоваться тоже через NIS. Авторизоваться можно как угодно.<br>Собираем к примеру, файл паролей /var/yp/passwd_NIS из сточек вида:<br>user1:x:1001:2001:user1:/no_home:/no_shell<br>Аналогично /var/yp/group_NIS<br><br>Настраиваем pam куда угодно (winbind, smb_auth, kerberos, etc...)<br>И все. Пользователи - доменные, группы и членство в них - доменные, авторизация - доменная.<br><br>Что полохого? https://opennet.me/openforum/vsluhforumID3/5211.html#10 Mon, 28 Feb 2005 19:56:04 GMT NIS - хуже. Через роутеры без бубна не бегает, секурити - грустно молчу, итд.итп ...<br>Хотя и предложенное - не мед :(