Форум IT-KB

Доброго времени суток...
Отличный цикл статей, спасибо за него
Столкнулся со следующей проблемой
basic авторизация отрабатывает без проблем, при подключении NTLM и Kerberos отказывается авторизовывать с ошибкой
ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
ERROR: NTLM Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}

при этом при запуске в консоли следующей команды
/usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "CN=Users,dc=granit,dc=safety" -D SquidKerb@granit.safety -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:=cn=%g,CN=Users,DC=granit,DC=safety))" -h ds2.granit.safety ds.granit.safety
все отрабатывает идеально и выдается ответ:
ext_ldap_group_acl.cc(583): pid=1440 :Connected OK
ext_ldap_group_acl.cc(722): pid=1440 :group filter '(&(objectclass=person)(sAMAccountName=CherkasovIY)(memberOf:=cn=Internet-Full-Anon,CN=Users,DC=granit,DC=safety))', searchbase 'CN=Users,dc=granit,dc=safety'
OK
то есть поиск по LDAP каталогу происходит и наличие юзера в заданной группе определяется

сответственно проблема где то в районе хелперов
Подскажите можно ли их позапускать в консоли самостоятельно и что им подавать на вход чтобы проверить работу?

Сначала нужно убедиться в том, что winbind-у нормально доступен домен.
Проверьте работают ли доверительные отношения с доменом:
Проверьте аутентификацию пользователя в домене:

root@squid:/usr/lib/squid3# wbinfo -t
checking the trust secret for domain GRANIT via RPC calls succeeded
root@squid:/usr/lib/squid3# wbinfo -a GRANIT\\CherkasovIY
Enter GRANIT\CherkasovIY's password:
plaintext password authentication succeeded
Enter GRANIT\CherkasovIY's password:
challenge/response password authentication succeeded

Все отрабатывает нормально

Возможно пользователь, от имени которого запускаются процессы squid, в том числе и дочерние процессы хелперов, имеет какие-то проблемы с правами доступа на файлы winbind. Обратите внимание на то что написано в конце этой заметки http://blog.it-kb.ru/2014/06/24/forward ... d-winbind/

Обратил, но в том то и дело что сквид и все дочерние процессы запускается от имени root

Странная конфигурация. И наверно не совсем правильная с точки зрения безопасности. Обычно squid запускается от имени специального пользователя, который кстати говоря определяется в squid.conf. Попробуйте добавить к хелперу ntlm_auth ключ дебага https://www.samba.org/samba/docs/man/ma ... uth.1.html

Проверить работу хелпера ntlm_auth из под пользователя от имени которого стартует squid можно так:
Ответ должен быть таким:

NT_STATUS_OK: Success (0x0)

Полез в squid.conf проверять имя пользователя, и оказалось что таки все действительно запускается от имени пользователя proxy, внес необходимые изменения в права на файл keytab и группу winbind_priv и все заработало, спасибо вам большое!