» Авторизация squid в домене Windows 2003 Server

Здравствуйте.
Такая проблема (знаю, что тут она часто поднималась, но найти ответ я не смог) есть FreeBSd 6.3 на ней Samba и Squid и Windows 2003. Хочу авторизовывать в squide пользователей из AD.
Машина в домен вошла.
wbinfo -t ответил что
checking the trust secret via RPC calls succeeded.
Аутентификация в домене проходит.
А вот Squid юзеров в инет не пускает. Спрашивает логин и пароль, но их не принимает хоть ты тресни.

samba# cat /usr/local/etc/squid/squid.conf
http_port 192.168.3.221:8080
cache_mem 64 MB
cache_dir ufs /usr/local/squid/cache 4096 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/cache.log
cache_store_log /usr/local/squid/logs/store.log

acl all src 0.0.0.0/0.0.0.0
dns_nameservers 192.168.3.10
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internetuser"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\Internetusers"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic basic credentialsttl 2 hours
auth_param basic basic casesensitive off

acl DOMAIN proxy_auth REQUIRED
http_access allow DOMAIN
http_access deny all

cache_effective_user squid
cache_effective_group squid

при запуске squid пишет

2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'use_ntlm_negotiate'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'

Может кто сталкивался помогите плиз.

попробуй проверить вручную работу хелпера
freebsd# ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="benotech\domain users" -d10 -I /tmp
[2008/04/02 12:03:06, 5] lib/debug.c:debug_dump_status(391)
INFO: Current debug levels:
all: True/10
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
locking: False/0
msdfs: False/0
dmapi: False/0
greenday пароль
[2008/04/02 12:03:15, 10] utils/ntlm_auth.c:manage_squid_request(2086)
Got 'greenday пароль' from squid (length: 15).
[2008/04/02 12:03:15, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
NT_STATUS_OK: Success (0x0)
OK
^C

Поиск результата не дал и, чтобы не плодить новую тему пишу сюда.
Ситуация такая: есть несколько AD-доменов на windows 2003 между которыми настроены трасты. Хочется организовать выход в интернет для пользователей всех доменов через один прокси через аутентификацию в AD. Разграничением доступа надо производить через доменные группы. Система FreeBSD 7.2.
Что сделал:
- настроена Samba, сервер введен в один из доменов(имя GS), winbind нормально видит пользователей и группы домена
- в squid настроена аутентификация на основе доменных учеток с разграничением на основе доменных групп, входящих в домен GS. Для учеток домена в котором находится samba все нормально работает

Проблемы начинаются, когда через прокси пытается выйти пользователь другого домена, при этом присутствующий в соответствующих группах основного домена, squid его не пускает. В логах появляется следующая запись:
1258979157.394 5 172.16.3.245 TCP_DENIED/403 2092 GET http://ya.ru/ TS\admin NONE/- text/html

Есть ли вариант как обеспечить работу такой связки с пользователями из нескольких доменов?
можно конечно на том же сервере создать jail и там аналогично настроить самбу и сквид, вогнав их в другой домен, но хотелось бы по возможности обойтись без этого

Конфиги

smb.conf
[global]
workgroup = GS
server string = TestProxy
netbios name = TESTPROXY
security = ADS
password server = 172.16.0.3 172.16.2.3
realm = GS.INT
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
server string = Test Proxy server of gs.int
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = no
template homedir = /tmp/winnt/%D/%U
template shell = /bin/sh


squid.conf (то что тимеет отношение к теме)

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group ttl=60 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

# пользователи у которых просто интернет - с ограничениями
acl inet_users external nt_group proxy_intenet_allow
# пользователи с доступом к сайтам типа job.ru
acl inet_job external nt_group proxy_job
# пользователи у которых доступ к icq
acl inet_icq external nt_group proxy_icq

acl job_ru dstdomain "/usr/local/etc/squid/acl/job_ru"
acl icq_com dstdomain "/usr/local/etc/squid/acl/icq"

http_access allow job_ru inet_job
http_access allow icq_com inet_icq
http_access allow !job_ru !icq_com inet_users
http_access deny all

Здравствуйте.
Такая проблема (знаю, что тут она часто поднималась, но найти ответ я не смог) есть FreeBSd 6.3 на ней Samba и Squid и Windows 2003. Хочу авторизовывать в squide пользователей из AD.
Машина в домен вошла.
wbinfo -t ответил что
checking the trust secret via RPC calls succeeded.
Аутентификация в домене проходит.
А вот Squid юзеров в инет не пускает. Спрашивает логин и пароль, но их не принимает хоть ты тресни.

samba# cat /usr/local/etc/squid/squid.conf
http_port 192.168.3.221:8080
cache_mem 64 MB
cache_dir ufs /usr/local/squid/cache 4096 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/cache.log
cache_store_log /usr/local/squid/logs/store.log

acl all src 0.0.0.0/0.0.0.0
dns_nameservers 192.168.3.10
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internetuser"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\Internetusers"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic basic credentialsttl 2 hours
auth_param basic basic casesensitive off

acl DOMAIN proxy_auth REQUIRED
http_access allow DOMAIN
http_access deny all

cache_effective_user squid
cache_effective_group squid

при запуске squid пишет

2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'use_ntlm_negotiate'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'

Может кто сталкивался помогите плиз.

попробуй проверить вручную работу хелпера
freebsd# ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="benotech\domain users" -d10 -I /tmp
[2008/04/02 12:03:06, 5] lib/debug.c:debug_dump_status(391)
INFO: Current debug levels:
all: True/10
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
locking: False/0
msdfs: False/0
dmapi: False/0
greenday пароль
[2008/04/02 12:03:15, 10] utils/ntlm_auth.c:manage_squid_request(2086)
Got 'greenday пароль' from squid (length: 15).
[2008/04/02 12:03:15, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
NT_STATUS_OK: Success (0x0)
OK
^C

Поиск результата не дал и, чтобы не плодить новую тему пишу сюда.
Ситуация такая: есть несколько AD-доменов на windows 2003 между которыми настроены трасты. Хочется организовать выход в интернет для пользователей всех доменов через один прокси через аутентификацию в AD. Разграничением доступа надо производить через доменные группы. Система FreeBSD 7.2.
Что сделал:
- настроена Samba, сервер введен в один из доменов(имя GS), winbind нормально видит пользователей и группы домена
- в squid настроена аутентификация на основе доменных учеток с разграничением на основе доменных групп, входящих в домен GS. Для учеток домена в котором находится samba все нормально работает

Проблемы начинаются, когда через прокси пытается выйти пользователь другого домена, при этом присутствующий в соответствующих группах основного домена, squid его не пускает. В логах появляется следующая запись:
1258979157.394 5 172.16.3.245 TCP_DENIED/403 2092 GET http://ya.ru/ TS\admin NONE/- text/html

Есть ли вариант как обеспечить работу такой связки с пользователями из нескольких доменов?
можно конечно на том же сервере создать jail и там аналогично настроить самбу и сквид, вогнав их в другой домен, но хотелось бы по возможности обойтись без этого

Конфиги

smb.conf
[global]
workgroup = GS
server string = TestProxy
netbios name = TESTPROXY
security = ADS
password server = 172.16.0.3 172.16.2.3
realm = GS.INT
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
server string = Test Proxy server of gs.int
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = no
template homedir = /tmp/winnt/%D/%U
template shell = /bin/sh


squid.conf (то что тимеет отношение к теме)

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group ttl=60 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

# пользователи у которых просто интернет - с ограничениями
acl inet_users external nt_group proxy_intenet_allow
# пользователи с доступом к сайтам типа job.ru
acl inet_job external nt_group proxy_job
# пользователи у которых доступ к icq
acl inet_icq external nt_group proxy_icq

acl job_ru dstdomain "/usr/local/etc/squid/acl/job_ru"
acl icq_com dstdomain "/usr/local/etc/squid/acl/icq"

http_access allow job_ru inet_job
http_access allow icq_com inet_icq
http_access allow !job_ru !icq_com inet_users
http_access deny all

Здравствуйте.
Такая проблема (знаю, что тут она часто поднималась, но найти ответ я не смог) есть FreeBSd 6.3 на ней Samba и Squid и Windows 2003. Хочу авторизовывать в squide пользователей из AD.
Машина в домен вошла.
wbinfo -t ответил что
checking the trust secret via RPC calls succeeded.
Аутентификация в домене проходит.
А вот Squid юзеров в инет не пускает. Спрашивает логин и пароль, но их не принимает хоть ты тресни.

samba# cat /usr/local/etc/squid/squid.conf
http_port 192.168.3.221:8080
cache_mem 64 MB
cache_dir ufs /usr/local/squid/cache 4096 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/cache.log
cache_store_log /usr/local/squid/logs/store.log

acl all src 0.0.0.0/0.0.0.0
dns_nameservers 192.168.3.10
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internetuser"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\Internetusers"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic basic credentialsttl 2 hours
auth_param basic basic casesensitive off

acl DOMAIN proxy_auth REQUIRED
http_access allow DOMAIN
http_access deny all

cache_effective_user squid
cache_effective_group squid

при запуске squid пишет

2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'use_ntlm_negotiate'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'

Может кто сталкивался помогите плиз.

попробуй проверить вручную работу хелпера
freebsd# ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="benotech\domain users" -d10 -I /tmp
[2008/04/02 12:03:06, 5] lib/debug.c:debug_dump_status(391)
INFO: Current debug levels:
all: True/10
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
locking: False/0
msdfs: False/0
dmapi: False/0
greenday пароль
[2008/04/02 12:03:15, 10] utils/ntlm_auth.c:manage_squid_request(2086)
Got 'greenday пароль' from squid (length: 15).
[2008/04/02 12:03:15, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
NT_STATUS_OK: Success (0x0)
OK
^C

Поиск результата не дал и, чтобы не плодить новую тему пишу сюда.
Ситуация такая: есть несколько AD-доменов на windows 2003 между которыми настроены трасты. Хочется организовать выход в интернет для пользователей всех доменов через один прокси через аутентификацию в AD. Разграничением доступа надо производить через доменные группы. Система FreeBSD 7.2.
Что сделал:
- настроена Samba, сервер введен в один из доменов(имя GS), winbind нормально видит пользователей и группы домена
- в squid настроена аутентификация на основе доменных учеток с разграничением на основе доменных групп, входящих в домен GS. Для учеток домена в котором находится samba все нормально работает

Проблемы начинаются, когда через прокси пытается выйти пользователь другого домена, при этом присутствующий в соответствующих группах основного домена, squid его не пускает. В логах появляется следующая запись:
1258979157.394 5 172.16.3.245 TCP_DENIED/403 2092 GET http://ya.ru/ TS\admin NONE/- text/html

Есть ли вариант как обеспечить работу такой связки с пользователями из нескольких доменов?
можно конечно на том же сервере создать jail и там аналогично настроить самбу и сквид, вогнав их в другой домен, но хотелось бы по возможности обойтись без этого

Конфиги

smb.conf
[global]
workgroup = GS
server string = TestProxy
netbios name = TESTPROXY
security = ADS
password server = 172.16.0.3 172.16.2.3
realm = GS.INT
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
server string = Test Proxy server of gs.int
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = no
template homedir = /tmp/winnt/%D/%U
template shell = /bin/sh


squid.conf (то что тимеет отношение к теме)

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group ttl=60 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

# пользователи у которых просто интернет - с ограничениями
acl inet_users external nt_group proxy_intenet_allow
# пользователи с доступом к сайтам типа job.ru
acl inet_job external nt_group proxy_job
# пользователи у которых доступ к icq
acl inet_icq external nt_group proxy_icq

acl job_ru dstdomain "/usr/local/etc/squid/acl/job_ru"
acl icq_com dstdomain "/usr/local/etc/squid/acl/icq"

http_access allow job_ru inet_job
http_access allow icq_com inet_icq
http_access allow !job_ru !icq_com inet_users
http_access deny all

Здравствуйте.
Такая проблема (знаю, что тут она часто поднималась, но найти ответ я не смог) есть FreeBSd 6.3 на ней Samba и Squid и Windows 2003. Хочу авторизовывать в squide пользователей из AD.
Машина в домен вошла.
wbinfo -t ответил что
checking the trust secret via RPC calls succeeded.
Аутентификация в домене проходит.
А вот Squid юзеров в инет не пускает. Спрашивает логин и пароль, но их не принимает хоть ты тресни.

samba# cat /usr/local/etc/squid/squid.conf
http_port 192.168.3.221:8080
cache_mem 64 MB
cache_dir ufs /usr/local/squid/cache 4096 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/cache.log
cache_store_log /usr/local/squid/logs/store.log

acl all src 0.0.0.0/0.0.0.0
dns_nameservers 192.168.3.10
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internetuser"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\Internetusers"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic basic credentialsttl 2 hours
auth_param basic basic casesensitive off

acl DOMAIN proxy_auth REQUIRED
http_access allow DOMAIN
http_access deny all

cache_effective_user squid
cache_effective_group squid

при запуске squid пишет

2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'use_ntlm_negotiate'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'

Может кто сталкивался помогите плиз.

попробуй проверить вручную работу хелпера
freebsd# ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="benotech\domain users" -d10 -I /tmp
[2008/04/02 12:03:06, 5] lib/debug.c:debug_dump_status(391)
INFO: Current debug levels:
all: True/10
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
locking: False/0
msdfs: False/0
dmapi: False/0
greenday пароль
[2008/04/02 12:03:15, 10] utils/ntlm_auth.c:manage_squid_request(2086)
Got 'greenday пароль' from squid (length: 15).
[2008/04/02 12:03:15, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
NT_STATUS_OK: Success (0x0)
OK
^C

Поиск результата не дал и, чтобы не плодить новую тему пишу сюда.
Ситуация такая: есть несколько AD-доменов на windows 2003 между которыми настроены трасты. Хочется организовать выход в интернет для пользователей всех доменов через один прокси через аутентификацию в AD. Разграничением доступа надо производить через доменные группы. Система FreeBSD 7.2.
Что сделал:
- настроена Samba, сервер введен в один из доменов(имя GS), winbind нормально видит пользователей и группы домена
- в squid настроена аутентификация на основе доменных учеток с разграничением на основе доменных групп, входящих в домен GS. Для учеток домена в котором находится samba все нормально работает

Проблемы начинаются, когда через прокси пытается выйти пользователь другого домена, при этом присутствующий в соответствующих группах основного домена, squid его не пускает. В логах появляется следующая запись:
1258979157.394 5 172.16.3.245 TCP_DENIED/403 2092 GET http://ya.ru/ TS\admin NONE/- text/html

Есть ли вариант как обеспечить работу такой связки с пользователями из нескольких доменов?
можно конечно на том же сервере создать jail и там аналогично настроить самбу и сквид, вогнав их в другой домен, но хотелось бы по возможности обойтись без этого

Конфиги

smb.conf
[global]
workgroup = GS
server string = TestProxy
netbios name = TESTPROXY
security = ADS
password server = 172.16.0.3 172.16.2.3
realm = GS.INT
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
server string = Test Proxy server of gs.int
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = no
template homedir = /tmp/winnt/%D/%U
template shell = /bin/sh


squid.conf (то что тимеет отношение к теме)

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group ttl=60 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

# пользователи у которых просто интернет - с ограничениями
acl inet_users external nt_group proxy_intenet_allow
# пользователи с доступом к сайтам типа job.ru
acl inet_job external nt_group proxy_job
# пользователи у которых доступ к icq
acl inet_icq external nt_group proxy_icq

acl job_ru dstdomain "/usr/local/etc/squid/acl/job_ru"
acl icq_com dstdomain "/usr/local/etc/squid/acl/icq"

http_access allow job_ru inet_job
http_access allow icq_com inet_icq
http_access allow !job_ru !icq_com inet_users
http_access deny all

Здравствуйте.
Такая проблема (знаю, что тут она часто поднималась, но найти ответ я не смог) есть FreeBSd 6.3 на ней Samba и Squid и Windows 2003. Хочу авторизовывать в squide пользователей из AD.
Машина в домен вошла.
wbinfo -t ответил что
checking the trust secret via RPC calls succeeded.
Аутентификация в домене проходит.
А вот Squid юзеров в инет не пускает. Спрашивает логин и пароль, но их не принимает хоть ты тресни.

samba# cat /usr/local/etc/squid/squid.conf
http_port 192.168.3.221:8080
cache_mem 64 MB
cache_dir ufs /usr/local/squid/cache 4096 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/cache.log
cache_store_log /usr/local/squid/logs/store.log

acl all src 0.0.0.0/0.0.0.0
dns_nameservers 192.168.3.10
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internetuser"
auth_param ntlm children 5
auth_param ntlm max_challenge_reuses 0
auth_param ntlm max_challenge_lifetime 2 minutes
auth_param ntlm use_ntlm_negotiate off

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\Internetusers"
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic basic credentialsttl 2 hours
auth_param basic basic casesensitive off

acl DOMAIN proxy_auth REQUIRED
http_access allow DOMAIN
http_access deny all

cache_effective_user squid
cache_effective_group squid

при запуске squid пишет

2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_reuses'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'max_challenge_lifetime'
2008/03/24 16:37:04| unrecognised ntlm auth scheme parameter 'use_ntlm_negotiate'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'
2008/03/24 16:37:04| unrecognised basic auth scheme parameter 'basic'

Может кто сталкивался помогите плиз.

попробуй проверить вручную работу хелпера
freebsd# ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="benotech\domain users" -d10 -I /tmp
[2008/04/02 12:03:06, 5] lib/debug.c:debug_dump_status(391)
INFO: Current debug levels:
all: True/10
tdb: False/0
printdrivers: False/0
lanman: False/0
smb: False/0
rpc_parse: False/0
rpc_srv: False/0
rpc_cli: False/0
passdb: False/0
sam: False/0
auth: False/0
winbind: False/0
vfs: False/0
idmap: False/0
quota: False/0
acls: False/0
locking: False/0
msdfs: False/0
dmapi: False/0
greenday пароль
[2008/04/02 12:03:15, 10] utils/ntlm_auth.c:manage_squid_request(2086)
Got 'greenday пароль' from squid (length: 15).
[2008/04/02 12:03:15, 3] utils/ntlm_auth.c:check_plaintext_auth(298)
NT_STATUS_OK: Success (0x0)
OK
^C

Поиск результата не дал и, чтобы не плодить новую тему пишу сюда.
Ситуация такая: есть несколько AD-доменов на windows 2003 между которыми настроены трасты. Хочется организовать выход в интернет для пользователей всех доменов через один прокси через аутентификацию в AD. Разграничением доступа надо производить через доменные группы. Система FreeBSD 7.2.
Что сделал:
- настроена Samba, сервер введен в один из доменов(имя GS), winbind нормально видит пользователей и группы домена
- в squid настроена аутентификация на основе доменных учеток с разграничением на основе доменных групп, входящих в домен GS. Для учеток домена в котором находится samba все нормально работает

Проблемы начинаются, когда через прокси пытается выйти пользователь другого домена, при этом присутствующий в соответствующих группах основного домена, squid его не пускает. В логах появляется следующая запись:
1258979157.394 5 172.16.3.245 TCP_DENIED/403 2092 GET http://ya.ru/ TS\admin NONE/- text/html

Есть ли вариант как обеспечить работу такой связки с пользователями из нескольких доменов?
можно конечно на том же сервере создать jail и там аналогично настроить самбу и сквид, вогнав их в другой домен, но хотелось бы по возможности обойтись без этого

Конфиги

smb.conf
[global]
workgroup = GS
server string = TestProxy
netbios name = TESTPROXY
security = ADS
password server = 172.16.0.3 172.16.2.3
realm = GS.INT
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
server string = Test Proxy server of gs.int
log file = /var/log/samba/%m.%U.log
max log size = 50000
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = no
template homedir = /tmp/winnt/%D/%U
template shell = /bin/sh


squid.conf (то что тимеет отношение к теме)

auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30

auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group ttl=60 %LOGIN /usr/local/libexec/squid/wbinfo_group.pl

# пользователи у которых просто интернет - с ограничениями
acl inet_users external nt_group proxy_intenet_allow
# пользователи с доступом к сайтам типа job.ru
acl inet_job external nt_group proxy_job
# пользователи у которых доступ к icq
acl inet_icq external nt_group proxy_icq

acl job_ru dstdomain "/usr/local/etc/squid/acl/job_ru"
acl icq_com dstdomain "/usr/local/etc/squid/acl/icq"

http_access allow job_ru inet_job
http_access allow icq_com inet_icq
http_access allow !job_ru !icq_com inet_users
http_access deny all