[FUG-BR] (off) Squid + Active Directory

Fernando L. Silva fernandol.mail em terra.com.br
Sexta Agosto 1 16:56:05 BRT 2008 

Boa tarde Pessoal !!!

A um tempo atrás eu tive o problema abaixo, cheguei a recorrer a lista, mais acabou que não resolvi e fiz o "downgrade" da versão do meu squid e samba.

Agora estou montando novamente um Proxy com autenticação no AD e novamente o problema... Bom vms lá...

Eu tenho ele funcionando na versão 2.5.14_2  do Squid e versão 3.0.23c_2 do samba...

O ambiente que estou montando agora e que não está funcionado tem o Squid na versão 2.7.3  e Samba versão 3.0.31_1.

O erro que me aparece no cache.log no momento da autenticação é o seguinte:

[2008/08/01 15:46:33, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
  NT_STATUS_OK: Success (0x0)
Could not convert sid S-1-5-21-992990153-3527494177-555559510-3105 to gid
Could not get groups for user 0
2008/08/01 15:46:33| helperHandleRead: unexpected reply on channel -1 from nt_group #1 'OK'

O comando wbinfo -u e wbinfo -g me trás todos usuários e grupos do AD normalmente respectivamente.

Abaixo os comandos que executo e obtenho sucesso em todas respostas, de teste de conexão, consultar user e group e até trás o GID.

srv-gw01-paa# wbinfo -t
checking the trust secret via RPC calls succeeded

srv-gw01-paa# wbinfo -n fernando.lima
S-1-5-21-992990153-3527494177-555559510-3105 User (1)

srv-gw01-paa# wbinfo -n g-netliberada-soc
S-1-5-21-992990153-3527494177-555559510-2810 Domain Group (2)

srv-gw01-paa# wbinfo -Y S-1-5-21-992990153-3527494177-555559510-2810
10082

Abaixo estou colocando o meu smb.conf

workgroup = meudominio (netbios)
netbios name = srv-gw01-paa
server string = "Samba 3.0.21a w/ ADS Support"
unix charset = LOCALE
log level = 5
log file = /var/log/samba/LOG.%m
max log size = 1024
load printers = no
domain master = no
wins server = ip do domain controler
password server = ip do domain controler
passdb expand explicit = no
ldap ssl = no
security = domain
realm =  MEUDOMINIO.COM.BR
encrypt passwords = yes
disable spoolss = yes
show add printer wizard = no
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
#bind interfaces only = yes
#winbind separator = /
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

Abaixo a parte referente a autenticação do meu squid.conf

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Internet Monitorada - Digite seu Usuario e Senha

#ACL para External Groups
external_acl_type nt_group ttl=0 concurrency=5 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl


Comparando as respostas do servidor novo e do servidor que está funcionando com as versões antigas, notei uma única diferença.

Servidor em Produção
srv-gw01-soc# wbinfo -g | grep G-NetLiberada-SOC
G-NetLiberada-SOC

Servidor Novo
srv-gw01-paa# wbinfo -g | grep g-netliberada-soc
g-netliberada-soc

Pois é... No servidor que está funcionando os grupos são trazidos para o FreeBSD exatamente como estão no AD com letras em maiusculo e minusculo.

No servidor novo vem tudo em minusculo, não sei se isso tem alguma coisa a ver.

Caso eu não tenha sido meio confuso na explicação fala ai, que tento esclarecer..

Por favor, alguém que tenho isto implementado pode me dar um help...

Agradeço desde já...
Fernando

Mais detalhes sobre a lista de discussão freebsd