[FUG-BR] (off) Squid + Active Directory

Matheus Cadori matheuscadori em gmail.com
Sábado Agosto 2 09:54:23 BRT 2008 

Cara seguinte tive uns problemas parecidos quando estava implementando esta
solução e o problema era pq eu tambm ja tinha um outro servidor rodando a
mesma solução então tive q dar uma alterada nesta parte do samba:

um ficou assim
        idmap uid = 600-20000
        idmap gid = 600-20000

e o outro ficou assim
        idmap uid = 2000-100000
        idmap gid = 2000-100000


tipo não sei te explicar muito bem pq, mas parece que eles não podem estar
na mesma faixa derrepente o pessoal ai da lista pode te explicar melhor
espero ter ajudado!


e ai esta uma documentação de apoio que usei para implementar:

http://www.held-im-ruhestand.de/software/samba-and-active-directory

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=5346&pagina=3

http://www.kurai.org/~gdunn/samba3-ad/fbsd_samba.html

http://br.tldp.org/projetos/howto/arquivos/txt/samba.pt_BR.txt

http://www.informit.com/articles/article.aspx?p=413095

http://www.fug.com.br/content/view/409/9/

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/NetCommand.html

http://www.guiadohardware.net/tutoriais/samba-swat/                     #Parte
1

http://www.guiadohardware.net/tutoriais/samba-configuracao-avancada/    #Parte
2

http://jf.eti.br/howto-integrar-autenticacao-de-contas-e-servicos-ao-ads-do-windows-2003-server/

http://www.squid-cache.org.br/index.php?option=com_content&task=view&id=109&Itemid=27

http://www.vivaolinux.com.br/artigos/verArtigo.php?codigo=7029

http://wiki.samba.org/index.php/Samba_&_Active_Directory



2008/8/1 Fernando L. Silva <fernandol.mail em terra.com.br>

> Boa tarde Pessoal !!!
>
> A um tempo atrás eu tive o problema abaixo, cheguei a recorrer a lista,
> mais acabou que não resolvi e fiz o "downgrade" da versão do meu squid e
> samba.
>
> Agora estou montando novamente um Proxy com autenticação no AD e novamente
> o problema... Bom vms lá...
>
> Eu tenho ele funcionando na versão 2.5.14_2  do Squid e versão 3.0.23c_2 do
> samba...
>
> O ambiente que estou montando agora e que não está funcionado tem o Squid
> na versão 2.7.3  e Samba versão 3.0.31_1.
>
> O erro que me aparece no cache.log no momento da autenticação é o seguinte:
>
> [2008/08/01 15:46:33, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
>  NT_STATUS_OK: Success (0x0)
> Could not convert sid S-1-5-21-992990153-3527494177-555559510-3105 to gid
> Could not get groups for user 0
> 2008/08/01 15:46:33| helperHandleRead: unexpected reply on channel -1 from
> nt_group #1 'OK'
>
> O comando wbinfo -u e wbinfo -g me trás todos usuários e grupos do AD
> normalmente respectivamente.
>
> Abaixo os comandos que executo e obtenho sucesso em todas respostas, de
> teste de conexão, consultar user e group e até trás o GID.
>
> srv-gw01-paa# wbinfo -t
> checking the trust secret via RPC calls succeeded
>
> srv-gw01-paa# wbinfo -n fernando.lima
> S-1-5-21-992990153-3527494177-555559510-3105 User (1)
>
> srv-gw01-paa# wbinfo -n g-netliberada-soc
> S-1-5-21-992990153-3527494177-555559510-2810 Domain Group (2)
>
> srv-gw01-paa# wbinfo -Y S-1-5-21-992990153-3527494177-555559510-2810
> 10082
>
> Abaixo estou colocando o meu smb.conf
>
> workgroup = meudominio (netbios)
> netbios name = srv-gw01-paa
> server string = "Samba 3.0.21a w/ ADS Support"
> unix charset = LOCALE
> log level = 5
> log file = /var/log/samba/LOG.%m
> max log size = 1024
> load printers = no
> domain master = no
> wins server = ip do domain controler
> password server = ip do domain controler
> passdb expand explicit = no
> ldap ssl = no
> security = domain
> realm =  MEUDOMINIO.COM.BR
> encrypt passwords = yes
> disable spoolss = yes
> show add printer wizard = no
> idmap uid = 10000-20000
> idmap gid = 10000-20000
> winbind enum users = yes
> winbind enum groups = yes
> winbind use default domain = yes
> #bind interfaces only = yes
> #winbind separator = /
> socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
>
> Abaixo a parte referente a autenticação do meu squid.conf
>
> auth_param basic program /usr/local/bin/ntlm_auth
> --helper-protocol=squid-2.5-basic
> auth_param basic children 5
> auth_param basic realm Internet Monitorada - Digite seu Usuario e Senha
>
> #ACL para External Groups
> external_acl_type nt_group ttl=0 concurrency=5 %LOGIN
> /usr/local/libexec/squid/wbinfo_group.pl
>
>
> Comparando as respostas do servidor novo e do servidor que está funcionando
> com as versões antigas, notei uma única diferença.
>
> Servidor em Produção
> srv-gw01-soc# wbinfo -g | grep G-NetLiberada-SOC
> G-NetLiberada-SOC
>
> Servidor Novo
> srv-gw01-paa# wbinfo -g | grep g-netliberada-soc
> g-netliberada-soc
>
> Pois é... No servidor que está funcionando os grupos são trazidos para o
> FreeBSD exatamente como estão no AD com letras em maiusculo e minusculo.
>
> No servidor novo vem tudo em minusculo, não sei se isso tem alguma coisa a
> ver.
>
> Caso eu não tenha sido meio confuso na explicação fala ai, que tento
> esclarecer..
>
> Por favor, alguém que tenho isto implementado pode me dar um help...
>
> Agradeço desde já...
> Fernando
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



----
Matheus Cadori Nogueira
<mcadori em unicruz.edu.br>
CTEC - Internet
UNICRUZ - Universidade de Cruz Alta

Mais detalhes sobre a lista de discussão freebsd