Вообщем ломаю голову уже около недели. Дали задачу сделать NTLM авторизацию для портала Bitrix.
Взял связку krb5+winbind+mod_auth_ntlm_winbind.
Вроде бы все получилось, но вот беда. Выскакивает окно Basic авторизации. Жмешь пару раз отмену и ты авторизован.
В последствием можно еще и получить Internal Server Error (500).
Как побороть эти напасти?
1) Не должна выскакивать форма авторизации доменный пользователям.
2) Если ты не доменный, то ты просто попадаешь на портал без авторизации.
3) Как избавиться от Error 500?
Конфиги и замечания(что еще будет нужно скажите):
-OS - Gentoo. Не могу использовать вашу ВМ, уж такие условия.
-Samba 3.5.6
- Поднял тоже самое на Fedore 14 с использованием "Виртуальной машины Bitrix", конфигурации идентичны (кроме Apache, но подмянеть конфиги я уже пробовал - рез. нифига). Работает великолепно.
-Создана группа winbindd_priv. Юзер apache добавлен в эту группу.
/var/cache/samba/winbindd_privileged - установленна группа владелец winbindd_priv.
{
usermod -a -G winbindd_priv apache
chgrp -R winbindd_priv /var/cache/samba/winbindd_privileged
}
-drwxr-x--- 2 root winbindd_priv 4096 Dec 16 13:58 winbindd_privileged
-Samba в домене, DNS прописан.
-wbinfo исполняется и получает результат.
-net ads - работает
-ntlm_auth --helper-protocol=squid-2.5-ntlmssp - работает и с передачей YR и учетной записью.
-testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
workgroup = MSKSITE
realm = MSK.SITE.RU
security = ADS
password server = site-mskdc2.msk.site.ru
log file = /var/log/samba/log.%m
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes
Config krb5:
Config nsswitch.conf:
Config hosts:
Config resolv.conf:
Думаю всетаки проблема с Apache...
Лог апача:
Взял связку krb5+winbind+mod_auth_ntlm_winbind.
Вроде бы все получилось, но вот беда. Выскакивает окно Basic авторизации. Жмешь пару раз отмену и ты авторизован.
В последствием можно еще и получить Internal Server Error (500).
Как побороть эти напасти?
1) Не должна выскакивать форма авторизации доменный пользователям.
2) Если ты не доменный, то ты просто попадаешь на портал без авторизации.
3) Как избавиться от Error 500?
Конфиги и замечания(что еще будет нужно скажите):
-OS - Gentoo. Не могу использовать вашу ВМ, уж такие условия.
-Samba 3.5.6
- Поднял тоже самое на Fedore 14 с использованием "Виртуальной машины Bitrix", конфигурации идентичны (кроме Apache, но подмянеть конфиги я уже пробовал - рез. нифига). Работает великолепно.
-Создана группа winbindd_priv. Юзер apache добавлен в эту группу.
/var/cache/samba/winbindd_privileged - установленна группа владелец winbindd_priv.
{
usermod -a -G winbindd_priv apache
chgrp -R winbindd_priv /var/cache/samba/winbindd_privileged
}
-drwxr-x--- 2 root winbindd_priv 4096 Dec 16 13:58 winbindd_privileged
-Samba в домене, DNS прописан.
-wbinfo исполняется и получает результат.
-net ads - работает
-ntlm_auth --helper-protocol=squid-2.5-ntlmssp - работает и с передачей YR и учетной записью.
-testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
workgroup = MSKSITE
realm = MSK.SITE.RU
security = ADS
password server = site-mskdc2.msk.site.ru
log file = /var/log/samba/log.%m
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes
Config krb5:
Цитата |
---|
[logging] default = FILE:/var/log/krb5list.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = MSK.SITE.RU dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_livetime = 7d forwardable = true proxiable = true ccache = 4 kdc_timesync = 1 [realms] # use "kdc = ..." if realm admins haven't put SRV records into DNS MSK.SITE.RU = { kdc = site-mskdc2.msk.site.ru:88 admin_server = site-mskdc2.msk.site.ru:749 } .msk.site.ru = MSK.SITE.RU msk.site.ru = MSK.SITE.RU |
Config nsswitch.conf:
Цитата |
---|
passwd: compat winbind shadow: compat group: compat winbind # passwd: db files nis # shadow: db files nis # group: db files nis hosts: files dns networks: files dns services: db files protocols: db files rpc: db files ethers: db files netmasks: files netgroup: files bootparams: files automount: files aliases: files |
Config hosts:
Цитата |
---|
127.0.0.1 localhost site-web site-web.site.ru ::1 site-web site.ru 194.85.204.242 site-web.msk.site.ru site-web site.ru |
Config resolv.conf:
Цитата |
---|
domain msksite search msk.site.ru nameserver 10.0.1.5 |
Думаю всетаки проблема с Apache...
Лог апача:
Цитата |
---|
[Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(742): [client 194.85.204.6] got response: TT TlRMTVNTUAACAAAADgAOADAAAAAFgomiICddiMLyL/IAAAAAAAAAAEQARAA+AAAATQBTAEsATQBFAFMASQACAA4ATQBTAEsATQBFAFMASQABABAATQBFAFMASQAtAFcARQBCAAQAAAADABIAbABvAGMAYQBsAGgAbwBzAHQAAAAAAA==, referer: [Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(412): [client 194.85.204.6] sending back TlRMTVNTUAACAAAADgAOADAAAAAFgomiICddiMLyL/IAAAAAAAAAAEQARAA+AAAATQBTAEsATQBFAFMASQACAA4ATQBTAEsATQBFAFMASQABABAATQBFAFMASQAtAFcARQBCAAQAAAADABIAbABvAGMAYQBsAGgAbwBzAHQAAAAAAA==, referer: [Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(1019): [client 194.85.204.6] doing ntlm auth dance, referer: [Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(485): [client 194.85.204.6] Using existing auth helper 21479, referer: [Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(704): [client 194.85.204.6] parsing reply from helper to KK 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\n, referer: [Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(742): [client 194.85.204.6] got response: AF CORPMSK\\okoreev, referer: [Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(788): [client 194.85.204.6] authenticated CORPMSK\\okoreev, referer: [Thu Dec 16 14:36:00 2010] [debug] mod_auth_ntlm_winbind.c(1019): [client 194.85.204.5] doing ntlm auth dance, referer: [Thu Dec 16 14:36:00 2010] [debug] mod_auth_ntlm_winbind.c(485): [client 194.85.204.5] Using existing auth helper 21193, referer: [Thu Dec 16 14:36:00 2010] [debug] mod_auth_ntlm_winbind.c(653): [client 194.85.204.5] creating auth user, referer: [Thu Dec 16 14:36:00 2010] [debug] mod_auth_ntlm_winbind.c(694): [client 194.85.204.5] failed to write NTLMSSP string to helper - wrote 0 bytes, referer: [Thu Dec 16 14:36:42 2010] [debug] mod_auth_ntlm_winbind.c(1019): [client 194.85.204.6] doing ntlm auth dance, referer: |