[Samba-it] samba + squid e autenticazione trasparente

Fri Sep 19 05:03:37 MDT 2008

Paolo Sala ha scritto:
> Giuseppe Arvati scrisse in data 18/09/2008 15:57:
>> [...]
>> Spero di essere stato + chiaro
> Conosco poco squid (l'ho usato parecchi anni fa) ma come fa a 
> colloquiare con il PDC? Io credo proprio lo faccia tramite winbind. 
> Per verificarlo, prova a vedere cosa dice "wbinfo -p" sul server che 
> ospita squid. Se risponde prova a tirare giù winbind e vedere se squid 
> autentica. Se non autentica più... non ci sono dubbi:e è winbind ad 
> autenticare gli utenti.
>
> Ciao
>
> Piviul
> _______________________________________________
> Samba-it mailing list
> Samba-it at xsec.it
> https://lists.xsec.it/mailman/listinfo/samba-it
>
Il server squid si comporta come un pc che deve autenticarsi al dominio 
(lo fa tramite un modulo che si chiama ntlm_auth fornito con squid)
e il server samba (pdc) controlla le credenziali

il browser configurato x l'utilizzo del proxy il quale richiede richiede 
le credenziali di accesso ( squid e' settato in modo che sia obbigatorio 
autenticarsi) alla workstation e utilizza questi dati per autenticarsi 
su samba, se samba dice utente ok allora la navigazone prosegue. Il 
tutto avviene senza che l'utente inserisca credenziali. Se pero' 
l'autenticazione fallisce si apre ua maschera di richesta utente/password
Ho registrato il log nel primo caso quando il dati vengono passati  in 
automatico
e quanto i dati sono inseriti a mano nella maschera delle credenziali

dati automaticamente passati da squid a samba
[2008/09/19 10:56:24, 3] smbd/sesssetup.c:reply_sesssetup_and_X(1414)
  sesssetupX:name=[APAM]\[GARVATI]@[apamfw2]
[2008/09/19 10:56:24, 5] auth/auth_util.c:make_user_info_map(161)
  make_user_info_map: Mapping user [APAM]\[GARVATI] from workstation 
[apamfw2]
....
[2008/09/19 10:56:24, 9] passdb/passdb.c:pdb_update_autolock_flag(1418)
  pdb_update_autolock_flag: Account garvati not autolocked, no check needed
[2008/09/19 10:56:24, 3] libsmb/ntlm_check.c:ntlm_password_check(371)
  ntlm_password_check: NO LanMan password set for user garvati (and no 
NT password supplied)
[2008/09/19 10:56:24, 4] libsmb/ntlm_check.c:ntlm_password_check(399)
  ntlm_password_check: Checking LMv2 password with domain APAM
[2008/09/19 10:56:24, 4] libsmb/ntlm_check.c:ntlm_password_check(409)
  ntlm_password_check: Checking LMv2 password with upper-cased version 
of domain APAM
[2008/09/19 10:56:24, 4] libsmb/ntlm_check.c:ntlm_password_check(419)
  ntlm_password_check: Checking LMv2 password without a domain
[2008/09/19 10:56:24, 4] libsmb/ntlm_check.c:ntlm_password_check(432)
  ntlm_password_check: Checking NT MD4 password in LM field
[2008/09/19 10:56:24, 3] libsmb/ntlm_check.c:ntlm_password_check(455)
 >>>  :-( ntlm_password_check: LM password, NT MD4 password in LM field 
and LMv2 failed for user garvati

dati inseriti manualmente e passati da squid a samba

[2008/09/19 10:56:54, 3] smbd/sesssetup.c:reply_sesssetup_and_X(1414)
  sesssetupX:name=[APAM]\[GARVATI]@[apamfw2]
[2008/09/19 10:56:54, 5] auth/auth_util.c:make_user_info_map(161)
  make_user_info_map: Mapping user [APAM]\[GARVATI] from workstation 
[apamfw2]
...
[2008/09/19 10:56:54, 9] passdb/passdb.c:pdb_update_autolock_flag(1418)
  pdb_update_autolock_flag: Account garvati not autolocked, no check needed
[2008/09/19 10:56:54, 3] libsmb/ntlm_check.c:ntlm_password_check(371)
  ntlm_password_check: NO LanMan password set for user garvati (and no 
NT password supplied)
[2008/09/19 10:56:54, 4] libsmb/ntlm_check.c:ntlm_password_check(399)
  ntlm_password_check: Checking LMv2 password with domain APAM
[2008/09/19 10:56:54, 4] libsmb/ntlm_check.c:ntlm_password_check(409)
  ntlm_password_check: Checking LMv2 password with upper-cased version 
of domain APAM
[2008/09/19 10:56:54, 4] libsmb/ntlm_check.c:ntlm_password_check(419)
  ntlm_password_check: Checking LMv2 password without a domain
[2008/09/19 10:56:54, 4] libsmb/ntlm_check.c:ntlm_password_check(432)
  ntlm_password_check: Checking NT MD4 password in LM field
[2008/09/19 10:56:54, 4] auth/auth_sam.c:sam_account_ok(138)
 >>>  :-) sam_account_ok: Checking SMB password for user garvati
[2008/09/19 10:56:54, 5] auth/auth_sam.c:logon_hours_ok(120)
  logon_hours_ok: user garvati allowed to logon at this time (Fri Sep 19 
08:56:54 2008
  )

Se non riesco a sistemarlo provero' ad utilizzare winbind. Sono un po' 
restio xche'
non volevo introdurre un servizio che conosco poco se se ne puo' fare a meno

grazie comunque dell'interessamento

giuseppe