Вообщем ломаю голову уже около недели. Дали задачу сделать NTLM авторизацию для портала Bitrix.
Взял связку krb5+winbind+mod_auth_ntlm_winbind.
Вроде бы все получилось, но вот беда. Выскакивает окно Basic авторизации. Жмешь пару раз отмену и ты авторизован.
В последствием можно еще и получить Internal Server Error (500).
Как побороть эти напасти?
1) Не должна выскакивать форма авторизации доменный пользователям.
2) Если ты не доменный, то ты просто попадаешь на портал без авторизации.
3) Как избавиться от Error 500?
Конфиги и замечания(что еще будет нужно скажите):
-OS - Gentoo. Не могу использовать вашу ВМ, уж такие условия.
-Samba 3.5.6
- Поднял тоже самое на Fedore 14 с использованием "Виртуальной машины Bitrix", конфигурации идентичны (кроме Apache, но подмянеть конфиги я уже пробовал - рез. нифига). Работает великолепно.
-Создана группа winbindd_priv. Юзер apache добавлен в эту группу.
/var/cache/samba/winbindd_privileged - установленна группа владелец winbindd_priv.
{
usermod -a -G winbindd_priv apache
chgrp -R winbindd_priv /var/cache/samba/winbindd_privileged
}
-drwxr-x--- 2 root winbindd_priv 4096 Dec 16 13:58 winbindd_privileged
-Samba в домене, DNS прописан.
-wbinfo исполняется и получает результат.
-net ads - работает
-ntlm_auth --helper-protocol=squid-2.5-ntlmssp - работает и с передачей YR и учетной записью.
-testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
[global]
workgroup = MSKSITE
realm = MSK.SITE.RU
security = ADS
password server = site-mskdc2.msk.site.ru
log file = /var/log/samba/log.%m
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes
Config krb5:
[quote]
[logging]
default = FILE:/var/log/krb5list.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = MSK.SITE.RU
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_livetime = 7d
forwardable = true
proxiable = true
ccache = 4
kdc_timesync = 1
[realms]
# use "kdc = ..." if realm admins haven't put SRV records into DNS
MSK.SITE.RU = {
kdc = site-mskdc2.msk.site.ru:88
admin_server = site-mskdc2.msk.site.ru:749
}
.msk.site.ru = MSK.SITE.RU
msk.site.ru = MSK.SITE.RU
[/quote]
Config nsswitch.conf:
[quote]
passwd: compat winbind
shadow: compat
group: compat winbind
# passwd: db files nis
# shadow: db files nis
# group: db files nis
hosts: files dns
networks: files dns
services: db files
protocols: db files
rpc: db files
ethers: db files
netmasks: files
netgroup: files
bootparams: files
automount: files
aliases: files
[/quote]
Config hosts:
[quote]
127.0.0.1 localhost site-web site-web.site.ru
::1 site-web site.ru
194.85.204.242 site-web.msk.site.ru site-web site.ru
[/quote]
Config resolv.conf:
[quote]
domain msksite
search msk.site.ru
nameserver 10.0.1.5
[/quote]
Думаю всетаки проблема с Apache...
Лог апача:
[quote]
[Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(742): [client 194.85.204.6] got response: TT TlRMTVNTUAACAAAADgAOADAAAAAFgomiICddiMLyL/IAAAAAAAAAAEQARAA+AAAATQBTAEsATQBFAFMASQACAA4ATQBTAEsATQBFAFMASQABABAATQBFAFMASQAtAFcARQBCAAQAAAADABIAbABvAGMAYQBsAGgAbwBzAHQAAAAAAA==, referer: http://test1.site.ru/
[Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(412): [client 194.85.204.6] sending back TlRMTVNTUAACAAAADgAOADAAAAAFgomiICddiMLyL/IAAAAAAAAAAEQARAA+AAAATQBTAEsATQBFAFMASQACAA4ATQBTAEsATQBFAFMASQABABAATQBFAFMASQAtAFcARQBCAAQAAAADABIAbABvAGMAYQBsAGgAbwBzAHQAAAAAAA==, referer: http://test1.site.ru/
[Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(1019): [client 194.85.204.6] doing ntlm auth dance, referer: http://test1.site.ru/
[Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(485): [client 194.85.204.6] Using existing auth helper 21479, referer: http://test1.site.ru/
[Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(704): [client 194.85.204.6] parsing reply from helper to KK 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\n, referer: http://test1.site.ru/
[Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(742): [client 194.85.204.6] got response: AF CORPMSK\\okoreev, referer: http://test1.site.ru/
[Thu Dec 16 14:35:42 2010] [debug] mod_auth_ntlm_winbind.c(788): [client 194.85.204.6] authenticated CORPMSK\\okoreev, referer: http://test1.site.ru/
[Thu Dec 16 14:36:00 2010] [debug] mod_auth_ntlm_winbind.c(1019): [client 194.85.204.5] doing ntlm auth dance, referer: http://test1.site.ru/
[Thu Dec 16 14:36:00 2010] [debug] mod_auth_ntlm_winbind.c(485): [client 194.85.204.5] Using existing auth helper 21193, referer: http://test1.site.ru/
[Thu Dec 16 14:36:00 2010] [debug] mod_auth_ntlm_winbind.c(653): [client 194.85.204.5] creating auth user, referer: http://test1.site.ru/
[Thu Dec 16 14:36:00 2010] [debug] mod_auth_ntlm_winbind.c(694): [client 194.85.204.5] failed to write NTLMSSP string to helper - wrote 0 bytes, referer: http://test1.site.ru/
[Thu Dec 16 14:36:42 2010] [debug] mod_auth_ntlm_winbind.c(1019): [client 194.85.204.6] doing ntlm auth dance, referer: http://test1.site.ru/
[/quote]