Главная » Форум » Gentoo Linux » Системное администрирование

NTLM : mod_auth_ntlm_winbind. error 500 и прочие прелести?

JF 16 декабря, 2010 - 12:05

Вообщем ломаю голову уже около недели. Дали задачу сделать NTLM авторизацию для портала Bitrix.
Взял связку krb5+winbind+mod_auth_ntlm_winbind.
Вроде бы все получилось, но вот беда. Выскакивает окно Basic авторизации. Жмешь пару раз отмену и ты авторизован.
В последствием можно еще и получить Internal Server Error (500).

Как побороть эти напасти?
1) Не должна выскакивать форма авторизации доменный пользователям.
2) Если ты не доменный, то ты просто попадаешь на портал.
3) Как избавится от Error 500?

Конфиги и замечания(что еще будет нужно скажите):

- Поднял тоже самое на Fedore 14 с использованием так называемой "Виртуальной машины Bitrix", конфигурации идентичны (кроме Apache, но подмянеть конфиги я уже пробовал - рез. нифига). Работает великолепно.
-Юзер apache добавлен в группу root. Не обходимо, для работы работы с /var/cache/samba/winbindd_privileged
-drwxr-x--- 2 root root 4096 Dec 15 16:56 winbindd_privileged. Хотя в мане написано выставить 777, но при рестарте winbind не стартует, ругаясь на права. Поэтому оставляем 750.
-Машина в домене, DNS прописан.
-wbinfo исполняется и вытаскивает результат.
-net ads - работает
-ntlm_auth --helper-protocol=squid-2.5-ntlmssp - работает и с передачей YR и учетной записью.
-Юзер
-testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
workgroup = MSKSITE
realm = MSK.SITE.RU
security = ADS
password server = site-mskdc2.msk.site.ru
log file = /var/log/samba/log.%m
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes

Config krb5:

Цитата:
[logging]
default = FILE:/var/log/krb5list.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MSK.SITE.RU
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_livetime = 7d
forwardable = true
proxiable = true
ccache = 4
kdc_timesync = 1

[realms]
# use "kdc = ..." if realm admins haven't put SRV records into DNS
MSK.SITE.RU = {
kdc = site-mskdc2.msk.site.ru:88
admin_server = site-mskdc2.msk.site.ru:749
}

.msk.site.ru = MSK.SITE.RU
msk.site.ru = MSK.SITE.RU

Config nsswitch.conf:

Цитата:
passwd: compat winbind
shadow: compat
group: compat winbind

# passwd: db files nis
# shadow: db files nis
# group: db files nis

hosts: files dns
networks: files dns

services: db files
protocols: db files
rpc: db files
ethers: db files
netmasks: files
netgroup: files
bootparams: files

automount: files
aliases: files

Config hosts:

Цитата:
127.0.0.1 localhost site-web site-web.site.ru
::1 site-web site.ru
194.85.204.242 site-web.msk.site.ru site-web site.ru

Config resolv.conf:

Цитата:
domain msksite
search msk.site.ru
nameserver 10.0.1.5

Думаю всетаки проблема с Apache...

‹ Установка Gentoo на диск размером в 2 Гб Subversion. Проблемы с авторизацией. [РЕШЕНО] ›
»

JF написал(а): Юзер apache

Автор backbone, дата создания 16 декабря, 2010 - 13:44.
JF написал(а):
Юзер apache добавлен в группу root
Хотя в мане написано выставить 777

где такой ман?
usermod -a -G winbindd_priv apache
chgrp -R winbindd_priv /var/cache/samba/winbindd_privileged
gpasswd -d apache root

p.s. зачем^Wпочему NTLM ?? может digest ??

Если ничего не было, то как могло что-то появиться? А если все-таки что-то было, то откуда тогда оно взялось? Нашу Вселенную породила Рекурсия!

»

http://dev.1c-bitrix.ru/commu

Автор JF, дата создания 16 декабря, 2010 - 14:22.

http://dev.1c-bitrix.ru/community/blogs/cluster_db/1754.php

Еще много в каких статьях видел данное наставление.

В чем смысл, если samba демоны работают от рута?
usermod -a -G winbindd_priv apache
chgrp -R winbindd_priv /var/cache/samba/winbindd_privileged
gpasswd -d apache root

Что есть digest? Ну даже не знаю как объяснить почему ntlm)))... Потому, что другого как я знаю ничего нет)

»

Ну даже не знаю как объяснить

Автор slepnoga, дата создания 16 декабря, 2010 - 16:36.
Ну даже не знаю как объяснить почему ntlm)))... Потому, что другого как я знаю ничего нет)

LDAP+Kerberos ?

Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)

»

slepnoga написал(а): Ну

Автор JF, дата создания 16 декабря, 2010 - 16:55.
slepnoga написал(а):
Ну даже не знаю как объяснить почему ntlm)))... Потому, что другого как я знаю ничего нет)

LDAP+Kerberos ?

Почитал. Я не нашел, что данная связка, автоматически авторизует доменного юзера на портале. прав, не прав?

»

Вообщем выполнил ваши

Автор JF, дата создания 16 декабря, 2010 - 15:00.

Вообщем выполнил ваши рекомендации. Не помогло.(

»

JF написал(а): Вообщем

Автор backbone, дата создания 16 декабря, 2010 - 18:47.
JF написал(а):
Вообщем выполнил ваши рекомендации. Не помогло.(

что кидает apache в access.log?
В error.log должна быть ошибка, если возникает html500, нет?
В /var/log/samba/log.* тоже пусто?
и в /var/log/krb5list.log, /var/log/kadmind.log ?

Если ничего не было, то как могло что-то появиться? А если все-таки что-то было, то откуда тогда оно взялось? Нашу Вселенную породила Рекурсия!

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".