Рецепт от Фофина В.В.
Устанавливаем необходимые пакеты
# yum install samba-winbind samba-winbind-clients
Конфигурим winbind
/etc/samba/smb.conf:
------------------------------------------------------------------------
[global]
workgroup = Имя группы
server string = SQUID_CACHE
netbios name = SQUID_CACHE
hosts allow = 127. 10.185.
log file = /var/log/samba/%m.log
max log size = 500
# Сетевые настройки.
socket options = TCP_NODELAY
# ----------------------- Domain Members Options ------------------------
security = domain
passdb backend = tdbsam
realm = Имя_домена.local
password server = szk-dc03.Имя_домена
# ----------------------- Browser Control Options -----------------------
#
# Указываем, что самба не является PDC
local master = no
domain master = no
preferred master = no
domain logons = no
os level = 0
# Использовать шифрованные пароли
encrypt passwords = yes
# Настройки winbind
winbind use default domain = no
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
#
load printers = no
cups options = raw
----------------------------------------------------
# cat /etc/nsswitch.conf | grep winbind
group: files winbind
passwd: files winbind
Вводим сервер в домен
# net ads join -U kxz%5RcNKnEQ
# net ads info
LDAP server: 10.185.10.110
LDAP server name: szk-dc03.Имя_домена
Realm: Имя_домена.LOCAL
Bind Path: dc=Имя_домена,dc=LOCAL
LDAP port: 389
Server time: Thu, 12 Nov 2015 13:59:55 EET
KDC server: 10.185.10.110
Server time offset: 89
Стартуем WINBIND
# systemctl start winbind
# systemctl enable winbind
Проверяем работоспособность WINBIND.
Доступ к порту
# wbinfo -p
Ping to winbindd succeeded
Доступ к PDC
# wbinfo -t
checking the trust secret for domain Имя_домена via RPC calls succeeded
Список пользователей
# wbinfo -u >users.list
Список групп
# wbinfo -g >group.list
Информация о домене и AD
# wbinfo -D Имя_домена
Name : Имя_домена
Alt_Name : Имя_домена.local
SID : S-1-5-21-776322397-1501748726-1403466927
Active Directory : Yes
Native : Yes
Primary : Yes
Проверим аутентификацию
# wbinfo --authenticate=Имя_домена\\sa.zk.ldap%oeZUz5x
plaintext password authentication succeeded
challenge/response password authentication succeeded
Проверим утилитой id доменного пользователя
# id Имя_домена\\sa.zk.ldap
uid=10000(Имя_домена\sa.zk.ldap) gid=10000(Имя_домена\пользователи
домена) groups=10000(Имя_домена\пользователи
домена),10001(Имя_домена\g-zk-link-support)
Укажем пользователя, от имени которого будет проходить аутентификация
# net setauthuser -U Имя_домена\\kxz%5RcNKnEQ
# net help getauthuser
Имя_домена\Имя_домена\kxz%5RcNKnEQ
Проверяем хелпер
usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Имя_домена\kxz 5RcNKnEQ
OK
Права на каталоги
drwxr-x--- root wbpriv /var/lib/samba/winbindd_privileged
drwxr-xr-x root wbpriv /run/samba/winbindd
для CentOS 7 в /etc/group при установке samba+winbind прописывается
wbpriv:x:88:squid
И на всякий случай
ln -s /var/lib/samba/winbindd_privileged /run/samba
SQUID
================================================================================
Вообщем скрипт wbinfo_group.pl переделали на ext_wbinfo_group_acl
Т.е. теперь для групп вместо:
Код: Выделить всё
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
пишем
Код: Выделить всё
external_acl_type nt_group %LOGIN
/usr/local/libexec/squid/ext_wbinfo_group_acl
И все работает :))
================================================================================
