Представлен (http://permalink.gmane.org/gmane.network.samba.announce/258) корректирующий релиз Samba 3.6.7, в котором отмечено 18 исправлений (http://www.samba.org/samba/history/samba-3.6.7.html). Из наиболее важных изменений можно отметить поддержку сборки с CUPS 1.6, обеспечение миграции принтеров при обновлении с Samba 3.5.x, устранение проблемы с определением своих собственных групп "Domain Local".URL: http://permalink.gmane.org/gmane.network.samba.announce/258
Новость: http://www.opennet.me/opennews/art.shtml?num=34502
кто-нибудь юзает 3.6.х в продакшене?
Опупел, оно ещё релиз кандидат 1 - http://kernel.org
Тема про самбу, вообще-то...
пилять :)
если про ядро, то 3.5 кстати тоже поуберал - cifs в кернелпаник загоняет.
юзаю почти повсеместно 3.4.7 - по моим впечатлениям один из самых стабильных релизов за историю.
/за историю/за историю ветки 2.6.х-3.х.х/
Ага, для сквиды в универе юзаю, полет нормальный. Сначала юзал для ад 2003, сейчас на 2008 переехали, все ок.
getent passwd работает?
а подробнее.
getent от нсс в первую очередь зависит. самба ему вообще-то параллельна.
Когда как. Но getent passwd username@domain или getent passwd 'domain+username' и id 'domain+username' работают исправно (с поправкой на winbind separator конечно).
> Ага, для сквиды в универе юзаюдля чего простите?
напуркуа сквиду гармонь?
для авторизации в Active Directory.
для этого протокола ldap хватает. http://www.opennet.me/base/net/squid_ldap_ad.txt.html
а если его НЕ хватает, то для sso ещё цербер прикручивается.речь же шла про самбу как к средству доступа к файлам, а не как костыль к чему-то, что к протоколам cifs/smb не имеет вообще никакого отношения.
Kerberos-авторизация (она имеется ввиду?) в исполнении Squid довольно таки кривовата. Знаем, проходили. Ушли на виндовое проприетарное решение. И не жалеем.
УМВР и Керберос и NTLM c паролем через winbind для тех кто не в AD. Кривоваты некоторые браузеры, но и для них имеется костыль. Всего то надо доки почитать.
Кстати Samba для Kerberos аутентификации не нужна, только для NTLM.
для нтлм тоже (кстати спасибо сану, запилили и подарили)
Нет, NTLM работает через winbind.
Кстати и после Kerberos аутентификации, если нужна авторизация по группам, Самба нужна.
гуглите не тему kerberos sspnego squid
вот официальная вики
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
> Pre-requisites for Active Directory integration
> Install msktutil package from http://fuhm.net/software/msktutil/ or https://code.google.com/p/msktutil/.
>or
>Install Sambaтак что гон это всё. вот у лисяры http://www.lissyara.su/?id=2101 :
>В ближайшее время предстоит переход с 2003 windows server'a на 2008R2 и переход клиентов на windows 7. Я решил посмотреть как будет работать в этой ситуации старый софт. Установил под virtualbox'ом win2008,win7 и freebsd8.0. Настроил АД, ввёл в него клиента win7, на фряху поставил сквид, самбу. И тут грабли - internet explorer 8, который штатно идёт в вин7, не захотел работать со сквидом по ntlm. Гугл дал решение в правке то ли реестра, то ли политик безоспасности, но тут же была найдена рекомендация отказа от ntlm в пользу kerberos. Решил работать в этом направлении. Гугление дало решение в виде хелпера squid_kerb_ldap.........
> осталось лишь прикрутить авторизацию, для неё я остановился на squid_ldap_group. Как оказалось теперь можно не ставить тяжёлую самбу, но провалив попытки сгенерировать кейтаб другими способами пришлось делать это с помощью самбы.зыж
и да, sspnego - реализация от санок.
сори, просто spnego
вот про него подробнее - http://www.opennet.me/openforum/vsluhforumID3/85901.html#28
(русской странички нет, видимо поэтому мало кто знает :D)
> SPNEGO's most visible use is in Microsoft's "HTTP Negotiate" authentication extension. It was first implemented in Internet Explorer 5.01 and IIS 5.0 and provided single sign-on capability later marketed as Integrated Windows Authentication. The negotiable sub-mechanisms included NTLM and Kerberos, both used in Active Directory.
>The HTTP Negotiate extension was later implemented with similar support in:
>Mozilla 1.7 beta [1]
>Mozilla Firefox 0.9 Konqueror 3.3.1 [2]
>Google Chrome 6.0.472думаю достаточно?
так что и для нтлм самба тоже не нужна.
а для групп юзайте лдап
Ниочем ваше гугление. Negotiate в Сквиде все равно работает через хелперы, а ntlm_auth хелпер все равно использует winbind.
А через LDAP настройте мне авторизацию по группам из нескольких доменов в трасте, причем группы включают юзеров из чужих доменов. Но даже и с одним доменом костыльно это если авторизация в АД и есть Самба.
для отстающих повторяю
> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb...
>Pre-requisites for Active Directory integration
> Install msktutil package from http://fuhm.net/software/msktutil/ or https://code.google.com/p/msktutil/и никаой самбы.
зыж
> А через LDAP натройте мне авторизацию по группам из нескольких доменов в трасте,вам примеры фильтров ldapsearch привести?!!! :D
ззыж
> Negotiate в Сквиде все равно работает через хелперыугу. там любое решение через хелперы.
другими словами - признайте уже, что авторизацию в сквиде можно и без самбы и разойдёмся. :D
(а параллельно к этому появляется ещё и бонус в виде ссо не только для сквида, а и для почты (включая оутглюк), и для ресурсов самбы(!!! вот она родимая где! :D), и ещё кучи всего и на разных серверах)
Гы msktutil это кейтабы для AD Кербероса генерить и к NTLM ну никак не относится. Вы вообще очень смутно понимаете о чем пишете. Читать забавно.>вам примеры фильтров ldapsearch привести?!!! :D
Пример конфига авторизации LDAP групп для Сквида для нескольких AD лесов со смешанными группами. Выкладывай. Даже если получится, сравним это с моей одной строчкой с winbind.
именно! только кейтабы.
а spnego уже есть в мит керберос! раньше был только gssapi, теперь с версии 1.5 и spnegoзыж
шож ты такой тормоз то.
> SPNEGO Поскольку Microsoft использует NTLM для SSO, они изобрели механизм, аналогичный GSSAPI механизм для согласования протокола аутентификации. К счастью MIT Kerberos поддерживает SPNEGO с версии 1.5 благодаря реализации, пожертвованной SUN. Поэтому можно использовать библиотеку GSSAPI на стороне сервера (касается только Linux).
>а spnego уже есть в мит керберос! раньше был только gssapi,Даже не представляешь какой бред тут написан.
это тебе толи знаний не хватает, толи зашоренности мозгов, толи ослиное упрямство, толи всё вместе.настраивал когда-нибудь клиента керберос для работы в АД?
подозреваю что нет.
http://www.windowsnetworking.com/articles_tutorials/authenti...
> There are 2 alternatives to authenticate against Active Directory:
>1. Using the kerberos client (requires Active Directory)
>2. Using Winbind & sambaclientты уперся во второй вариант. и нифига не хочешь понимать первый.
зыж
сама настройка клиента тривиальна - http://docs.oracle.com/cd/E19082-01/819-3321/ggtwg/index.html
зыж
> Пример конфига авторизации LDAP групп для Сквида для нескольких AD лесов со смешанными группами. Выкладывай.оборзел совсем.
мало того что тормоз, так ему ещё и лдапом научить пользоваться за_бесплано и в хамских вопросах.
> зыж
>> Пример конфига авторизации LDAP групп для Сквида для нескольких AD лесов со смешанными группами. Выкладывай.
> оборзел совсем.
> мало того что тормоз, так ему ещё и лдапом научить пользоваться за_бесплано
> и в хамских вопросах.Ну раз не можешь, засчитыватся слив автоматом.
да похеру что ты там считаешь.
сквид может работать с авторизацией в ад без самбы - и вот тут ты слился.
Где именно? Ты писал, что для NTLM авторизации самба не нужна. Вот отсюда поподробнее. Авторизацию в Сквид по NTLM протоколу без использования winbind в студию! Желательно чтобы она была эффективнее winbind, чтобы Самба стала не нужна, как утверждает аноним.
угу. а также я писал и это:
http://en.wikipedia.org/wiki/SPNEGO
> The negotiable sub-mechanisms included NTLM and Kerberos, both used in Active Directory.и то что клиент цербера это умеет.
и ссылки как это можно использовать в сквиде.но тебе хоть кол на голове теши.
Ты глуп. Нагуглить мало, надо понять. Где там написано, что "клиент цербера" (использую твой сельпошный слэнг для понятности), умеет NTLM?
для дворников и уборщиц - работает по нтлм.
в частности у меня.
модераст такой же безграмотный клоун. Нашел что удалять. Но ему в силу юного возраста простительно. Еще может чему-то научиться.
> УМВР и Керберос и NTLM c паролем через winbind для тех кто
> не в AD. Кривоваты некоторые браузеры, но и для них
> имеется костыль. Всего то надо доки почитать.
> Кстати Samba для Kerberos аутентификации не нужна, только для NTLM.У меня тоже ВР. И KRB и NTLM. Но были 3 проблемы, решения которых я не нашел.
1. POST - запросы от сайтов, где используется флеш для аплоада файлов (такие как: facebook, vk, mail и некоторые другие)
2. не работающие через прокси ICQ-клиенты, приходилось натом пускать.
3. забыл. Вспомню - допишу :)Про костыль можно поподробнее?
>[оверквотинг удален]
>> не в AD. Кривоваты некоторые браузеры, но и для них
>> имеется костыль. Всего то надо доки почитать.
>> Кстати Samba для Kerberos аутентификации не нужна, только для NTLM.
> У меня тоже ВР. И KRB и NTLM. Но были 3 проблемы,
> решения которых я не нашел.
> 1. POST - запросы от сайтов, где используется флеш для аплоада файлов
> (такие как: facebook, vk, mail и некоторые другие)
> 2. не работающие через прокси ICQ-клиенты, приходилось натом пускать.
> 3. забыл. Вспомню - допишу :)
> Про костыль можно поподробнее?2. Дополнение: ICQ клиенты не работали даже через Basic(LDAP)-авторизацию.
3. В логах появлялись записи с именем пользователя $COMPUTERNAME вместо username@domain. Проблема была локализована - виноват был Chrome, точнее, скорее всего, его апдейтер. Решить не удалось. Проблема не критична, на работоспособности не сказывалась, но в отчетах появлялись "лишние" строки. Неприятно.
Костыль ― второй NTLM для IE браузеров из других доменов или ноутов не в домене. FF наоборот умеет использовать NTLM через Negotiate и не смотрит на отдельный NTLM. То есть NTLM настроен дважды: один раз в negotiate_wrapper для FF и второй сам по себе для IE.
Здесь почти как у меня http://wiki.bitbinary.com/index.php/Active_Directory_Integra...
Только я не использую BASIC по соображениям безопасности и группы проверяю через winbind так как сложная топология доменов и быстрее.Аськи у хомячков на Миранде принудительно, она умеет HTTPS прокси с NTLM авторизцией. За другие клиенты на 100% не скажу, но нормальные должны уметь. Скайп тоже умеет.
Лично мне проще было работать с керберосом используя net ads <команды>, а не керберовские утили.
а вот с этим я и не спорил. :D
в линухе всё можно настроить 1001 способом и каждый выбирает удобный для себя сам.
вот только это не ответ на вопрос "кто юзает сабж". т.к. юзанием по прямому назначению это не назовёшь.
прозрачное проксирование, ничего особенного
прозрачный прокси не умеет аутентификацию.
но и тут такой мегаинвалидка не нужена.http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans...
Squid LDAP transparent proxy authentication scriptAs we all know you can't use proxy auth with transparent proxies (now also called interception proxies). So, an alternate method needs to be used to authenticate. Luckily, Squid allows you to use custom authentication programs.......................
> прозрачный прокси не умеет аутентификацию.
> но и тут такой мегаинвалидка не нужена.
> http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans...
> Squid LDAP transparent proxy authentication script
> As we all know you can't use proxy auth with transparent proxies
> (now also called interception proxies). So, an alternate method needs to
> be used to authenticate. Luckily, Squid allows you to use custom
> authentication programs.......................Он имеет ввиду прозрачную аутентификацию.
аб чём и речь.
и та через опу с самбой, хотя избыточна.а я просил - см. пост #1.
Хорош отмазываться. Ну не знал зачем нужно. Это нормально. Спросил. Ответили. Все довольны. К чему теперь права качать и защищать ошибочную т.зр.?
кто не знал?
тебе выше ответил и ссылок накидал.
самба для авторизации в АД не нужна!
сколько тебе это повторять?и ещё, если кто-то (по-старинке) использует вынбинд для авторизации в сквиде, то это не значит, что он пользуется самба-сервером вообще.
это как бы логично.
А если теперь почитать по ссылке, внезапно окажется, что там в Сквиде авторизация по IP.
а что есть транспарент прокси? внизапно?
в плане аутентификации по...? чём?
Еще раз и внятно.
вот тут разжёвано для тех кто не умеет пользоваться вики сквида
http://www.opennet.me/openforum/vsluhforumID3/85901.html#28
зыж
и не путай транспарент-прокси с синглсигнон (sso).
это разные вещи, хоть и там, и там пароли вводятся один раз и выглядит одинаково, но транспарент-прокси всегда по ip. т.к. его принцип - перехватывать пакеты и перебрасывать их на 3180 прокси.
сори - 3128 конечно же
>хоть и там, и там пароли вводятся один раз и выглядит одинаковос какого перепуга? Transparent на то и прозрачный, что пользователь ничего не вводит, для него аутентификация проходит прозрачно (проводник сам отправляет логин/пароль залогиненого пользователя)
> http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans...
> Squid LDAP transparent proxy authentication scriptполный бред, а таблицу с соответствием ip - пользователь при 2k пользователей кто будет заполнять? А в системе еще и dhcp, кто потом будет ее обновлять?
> с какого перепуга? Transparent на то и прозрачный, что пользователь ничего не вводитлогично.
просто у меня требуется авторизация для доступа вообще к сетевым ресурсам.
поэтому так и написал.
сори если ввёл в заблуждение.
> полный бред, а таблицу с соответствием ip - пользователь при 2k пользователей кто будет заполнять? А в системе еще и dhcp, кто потом будет ее обновлять?а дхцп тоже держит базу в лдапе.
дальше продолжать?
про этот скрипт - я лично им не пользуюсь. привёл только для тех, кто упомянул прозрачный прокси (видимо при этом путая его с ссо)
>привёл только для тех, кто упомянул прозрачный прокси (видимо при этом путая его с ссо)Для себя то есть =)
не батенька, для тебя.
а ты так удивился появлению ip в вопросе прозрачного проксирования, что даже мне за тебя стыдно стало! :D
зыж
> > http://www.mikealeonetti.com/wiki/index.php/Squid_LDAP_trans... > Squid LDAP transparent proxy authentication script
>полный бред, а таблицу с соответствием ip - пользователь при 2k пользователей кто будет заполнять? А в системе еще и dhcp, кто потом будет ее обновлять?и кстати просмотрел скрипты.
нифига не бред.
они получают ip от броузера при логине пользователя, так что какой именно там ip им похрену. как похрену статический он или динамический.
судя по всему при смене ip выведет опять страничку с авторизацией. (это ж не ссо, а прозрачное прокирование с прикрученной аутентификацией).
так что интересное решение. для мелких контор (где цербер наф ни нужен) очень даже подойдёт.
ззыж
а ведь сюда и билеты с кинит прикрутить можно... во как.
надо попробовать, прозрачный прокси с ссо - мне бы такое пригодилось точно.
гогно, а не решение. Полурешение для публичных точек доступа. Чтобы нормально работало там еще с костылей придется добавить для DHCP, биллингов и пр. В конторах это не нужно.
тебе (так и хочется написать - тормоз) написали, что пох на дхцп.
ip берётся из броузера.
(man http.
смотреть хиадер и что браузер отдаёт веб-серверу/прокси.)
далее юзер вводит в форму (html-форму) логин и пароль (если в базе его ещё нет, то эта форма ему выводится), всё это (включая ip, броузер и тд) заносится в субд, он авторизуется и получает доступ в инет.если на этапе помещения в базу (а может этот этап убрать вообще или помещать это всё в лдап) прикрутить ещё и авторизацию через цербер, то вот он ссо.
Теоретик ватаке =))
Откуда оно ни берется, Сквид авторизирует по IP, а не через LDAP.
сквид авторизует через хелпер, чудик.
А в хелпере... тадамммм: $query = qq/SELECT * FROM addresses WHERE `ip`="$ip_address";/;
решил хамством прикрыть свое невежество, гражданин сельпошник? =)
угу, селект периписать слабо?
или заменить на ldapsearch? или на цербер-клиент?
специалист!!!>> решил хамством прикрыть свое невежество, гражданин сельпошник? =)
> сквид авторизует через хелпер, чудик.и где же тут хамство, гражданин механизатор? :D
>угу, селект периписать слабо?
>или заменить на ldapsearch? или на цербер-клиент?Писать и искать IP в базе LDAP вместо мускуля конечно можно(хоть и чудаковато), но от этого авторизация по IP не перестанет быт авторизацией по IP.
>на цербер-клиент?
Шито???...
Ага, теперь ясно, что вам не ясно. Вот эту строчку читай:
external_acl_type time_squid_auth ttl=5 %SRC /usr/local/bin/squidauth
И скорее гугли что же она означает. =)
нука скорее отвечай как клиент цербера работает?
зыж
> Писать и искать IP в базе LDAP вместо мускуля конечно можно(хоть и чудаковато), но от этого авторизация по IP не перестанет быт авторизацией по IP.ты так и не въехал в прозрачный прокси, о котором эта ветка.
пичалька :/
повторяю - прозрачный прокси ВСЕГДА по ip.
вопрос только в том как часто браузер будет тебе выдавать приглашение ввести логин/пароль.
а если ты уже вошёл по ссо (как любой клиент домена), то вообще не будет выдавать, а сразу пускать.
Ты изначально спутал прозрачный прокси с прозрачной аутентификацией, а так же авторизацию с аутентификацией и пытаешься исправиться, изображая как будто не ты, а другие этого не понимают.>повторяю - прозрачный прокси ВСЕГДА по ip.
Да, теперь объясняй как же ты собирался для авторизации по IP использовать некий "цербер-клиент" в хелпере сквида. Кстати при том, что "цербер" вообще в принципе по природе своей _авторизацией_ не занимается.
врун и лжец.
вот начало ветки - http://www.opennet.me/openforum/vsluhforumID3/85901.html#15
а вот твой слив - http://www.opennet.me/openforum/vsluhforumID3/85901.html#21
> А если теперь почитать по ссылке, внезапно окажется, что там в Сквиде авторизация по IP.вау!!! дебилу понятно что по ip. это же транспарент прокси!. :D
правда ещё и хелпер есть и cgi-скрипт для авторизации по логину. :D
> Да, теперь объясняй как же ты собирался для авторизации по IP использовать некий "цербер-клиент" в хелпере сквида.кредентшионал берутся из веб-формы (см. cgi-скрипт выше), либо из куки с сессионайди при повторном запросе (который произойдёт в случае если браузер закрыли и потом открыли).
далее по ним сопоставляю принципала.
клиент, вызванный из сквид-хелпера, использует их для проверки (клист. там же и даты валидности). если всё верно и тикеты есть, то повторной авторизации не будет. (если нет, то кинит с паролем).
элементарно ватсон. выглядеть будет примерно так:$ klist /tmp/tupjy_filosof_ip.keytab
klist: No credentials cache found (ticket cache FILE:/tmp/tupjy_filosof_ip.keytab)$ kinit -t /tmp/tupjy_filosof_ip.keytab
tupjy_filosof Password for tupjy_filosof@durdom:<tupjy_passwd_4_tupjy_filosof>$ klist /tmp/tupjy_filosof_ip.keytab
Ticket cache: FILE:/tmp/tupjy_filosof_ip.keytab Default principal: tupjy_filosof@DURDOMValid starting Expires Service principal 08/08/12 20:57:55 08/09/12 20:57:55 krbtgt/DURDOM@DURDOM
зыж
для перца с твоими амбициями ты ну слишком тупой.
Ты так ничего и не понял и продолжаешь меня радовать своим свирепым гуглением и фантазированием. Ну и на том спасибо. =)>вот начало ветки
Просто все кроме тебя поняли из контекста, что речь не про прозрачный прокси, а про авторизацию, а ты решил блеснуть своими несуществующими познаниями и приплел прозрачное проксирование, потому что про прозрачный прокси что-то где-то читал, а про прозрачную авторизацию (оно же SSO) услышал впервые.
>клиент, вызванный из сквид-хелпера, использует их для проверки (клист. там же и даты валидности). если всё верно и тикеты есть
Как занимательно. Строчку
external_acl_type time_squid_auth ttl=5 %SRC /usr/local/bin/squidauth
Ты так и не понял. Поясняю: хелпер знает о клиенте только IP. То что в базе соответствует IP ничего не говорит о конкретно подключившемся клиенте.
Очевидный пример: 50 пользователей работают на терминальном сервере, один из них залогинился через вэб форму и в базе теперь есть его креденшлы и IP. Сразу после этого клиент с IP терминального сервера лезет в инет через проксю. Запущенный проксей хелпер получает в качестве параметра этот IP. Задача написать хелпер, который аутентифицирует клиента. Гыыыы. Удачного гуглния!
>kinit -t /tmp/tupjy_filosof_ip.keytabБугога. Эта команда не сработает. Сказать почему? =)))
Потому что кто-то нагуглил не тот ман. =)
Продолжай же. Жду новых лулзов.
ты безнадёжен.
любое желание делится своими наработками отпадает встретившись с таким воинсвующим невежеством.
>любое желание делится своими наработками отпадает встретившись с таким воинсвующим невежеством.желание делится наработками и отпадает. =))) Гыыы, держите меня семеро.
Q.E.D.
Сельпошник с Инетом и гуглем остается тем же безграмотным сельпошником.
ну чё сказать то такому ган дону...
топой как пробка. не знает ничего про ссо. трансперент прокси только от меня узнал как работает. и ещё что-то вякает.
козёл короче.
=)
Не люблю умственно отсталых и поэтому приятно вызывать у них такую попоболь =)