<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>
</head>
<body dir="ltr">
<div style="color: rgb(0, 0, 0); font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">
</div>
Hi All,
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">Thanks a lot!</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">Issue has been solved, hope it's useful for other people if they encounter the same situation as me.</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">--------------------------------------------</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">--require-membership-of="IBM\Domain Users" with Quotation Mark is not supported, has to be removed as:</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">--require-membership-of=IBM\Domain_Users</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">But what if Domain Group must has a space, use SID to instead of Domain Group Name :</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">--require-membership-of=S-1-5-21-1386769244-779028218-18449361</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">--------------------------------------------</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">debug:</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">To reduce unnecessary logs, it's good to set debug level as</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">debug_options 29,9</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">To get SID by winbind</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">wbinfo -n "IBM\Domain Users"</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">To test ntlm_auth
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">ntlm_auth --username=Administrator --require-membership-of="IBM\Domain_Users"</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">OR</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">ntlm_auth --username=Administrator --require-membership-of=IBM\\Domain_Users</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">OR</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">ntlm_auth --username=Administrator --require-membership-of="S-1-5-21-1386769244-779028218-18449361"</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">OR</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">ntlm_auth --username=Administrator --require-membership-of=S-1-5-21-1386769244-779028218-18449361</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: EmojiFont,Calibri,Helvetica,sans-serif,'Apple Color Emoji','Segoe UI Emoji', NotoColorEmoji,'Segoe UI Symbol','Android Emoji',EmojiSymbols; font-size: 12pt;">
To join computer as a Domain Member without modify krb5.conf manually. <span title=":微笑:" id="🙂">
🙂</span></div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">realm join --user=Administrators ibm.local -v</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: EmojiFont,Calibri,Helvetica,sans-serif,'Apple Color Emoji','Segoe UI Emoji', NotoColorEmoji,'Segoe UI Symbol','Android Emoji',EmojiSymbols; font-size: 12pt;">
But Samba need to be configured manually. <span title=":微微皱眉:" id="🙁">🙁</span></div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">--------------------------------------------</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">Working for me on CentOS7 + Squid4.5 + Windows AD
<br>
</div>
<div style="font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;"><br>
</div>
<div><font color="#808080" face="Comic Sans MS" size="1" style="font-size: 8pt;">Best regards.</font><font color="#808080" face="Comic Sans MS"><br>
</font><b><font color="#000000" face="Comic Sans MS"><font>TOM</font></font><font face="Comic Sans MS">.WANG</font></b></div>
<div id="signature"><br>
<div>
<div id="appendonsend"></div>
<div style="color: rgb(0, 0, 0); font-family: Calibri,Helvetica,sans-serif; font-size: 12pt;">
<br>
</div>
<hr tabindex="-1" style="width: 98%; display: inline-block;">
<div id="divRplyFwdMsg" dir="ltr"><font color="#000000" face="Calibri, sans-serif" style="font-size: 11pt;"><b>发件人:</b> squid-users <squid-users-bounces@lists.squid-cache.org> 代表 L.P.H. van Belle <belle@bazuin.nl><br>
<b>发送时间:</b> 2019年2月21日 10:14<br>
<b>收件人:</b> squid-users@lists.squid-cache.org<br>
<b>主题:</b> Re: [squid-users] The issue NTLM_AUTH with --require-membership-of</font>
<div> </div>
</div>
<div class="BodyFragment"><font size="2"><span style="font-size: 11pt;">
<div class="PlainText">I think you problem has todo NT1. <br>
<br>
I assum you already tried the setting in smb.conf :  <br>
ntlm auth =  ntlmv1-permitted <br>
(which is the alias for yes) <br>
<br>
<br>
And which samba/ntlm_auth version it this? Standard centos? <br>
I must say i noob in Centos, so i'll shown you what i know from debian. <br>
And it might be better to switch to kerberos auth. <br>
<br>
I know there are problems with the groups in ntlm_auth and its detection.<br>
If i recall right, a patch passed recently, so waiting for that on the next samba version.
<br>
<br>
I use the following.<br>
<br>
auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth \<br>
    --kerberos /usr/lib/squid/negotiate_kerberos_auth -s HTTP/$(hostname -f)@MY_REALM \<br>
    --ntlm /usr/bin/ntlm_auth --helper-protocol=gss-spnego --domain=NTDOM<br>
<br>
With ldap fallback<br>
auth_param basic program /usr/lib/squid/basic_ldap_auth -R -v 3 \<br>
    -b "ou=Office,dc=some,dc=domain,dc=tld" \<br>
    -D ldap-bind@MY_REALM \<br>
    -W /etc/squid/private/ldap-bind \<br>
    -f sAMAccountName=%s \<br>
    -H ldaps://dc1.FQDN \<br>
    -H ldaps://dc2.FQDN<br>
<br>
The ldap-bind account, needs, no pre-check on kerberos auth and disable passwd expire.
<br>
<br>
The group part, now im not using it myself but per example. Should be something like this.
<br>
<br>
Basicly its : <br>
Search for %LOGIN from this point : DC=office,DC=some,DC=domain,DC=tld  And get person-%a from group Proxygroups<br>
<br>
external_acl_type ldapgroup %LOGIN /usr/lib/squid/squid_ldap_group -b DC=office,DC=some,DC=domain,DC=tld \<br>
    -f (&(objectclass=person)(cn=%v)(groupMembership=cn=%a,ou=Proxygroups,DC=office,DC=some,DC=domain,DC=tld)) \<br>
    -D ldap-bind@MY_REALM \<br>
    -W /etc/squid/private/ldap-bind \<br>
    -H ldaps://dc1.FQDN \<br>
    -H ldaps://dc2.FQDN<br>
<br>
<br>
external_acl_type AD_Group %LOGIN /usr/lib64/squid/squid_ldap_group -b DC=office,DC=some,DC=domain,DC=tld \<br>
    -s sub \<br>
    -R -v3 \<br>
    -D ldap-bind@MY_REALM \<br>
    -W /etc/squid/private/ldap-bind \<br>
    -f "(&(objectclass=person)(userPrincipalName=%v)(memberof=cn=%a,ou=Proxygroups,DC=office,DC=some,DC=domain,DC=tld))" \<br>
    -H ldaps://dc1.FQDN \<br>
    -H ldaps://dc2.FQDN<br>
<br>
I Hope this helps a bit. <br>
<br>
Greetz, <br>
<br>
Louis<br>
<br>
<br>
<br>
> -----Oorspronkelijk bericht-----<br>
> Van: squid-users <br>
> [<a href="mailto:squid-users-bounces@lists.squid-cache.org">mailto:squid-users-bounces@lists.squid-cache.org</a>] Namens
<br>
> Amos Jeffries<br>
> Verzonden: donderdag 21 februari 2019 10:18<br>
> Aan: squid-users@lists.squid-cache.org<br>
> Onderwerp: Re: [squid-users] The issue NTLM_AUTH with <br>
> --require-membership-of<br>
> <br>
> On 21/02/19 9:35 pm, WANG TOM wrote:<br>
> > <br>
> --------------------------------------------------------------<br>
> --------------------------------<br>
> > And I have tested run ntlm_auth directly, it looks successfully.<br>
> > "ntlm_auth --require-membership-of='IBM\Domain Users'<br>
> > --username=Administrators --password=123456<br>
> > NT_STATUS_OK: The operation completed successfully. (0x0)"<br>
> > <br>
> --------------------------------------------------------------<br>
> --------------------------------<br>
> > I have no idea what I have missed or made mistake, could <br>
> someone can help.<br>
> > <br>
> <br>
> Very likely that whitespace in the parameter string. Squid does not<br>
> support double-quote encoding of most parameters.<br>
> <br>
> That means the helper will be passed two different environment<br>
> arguments.  One being "--require-membership-of='IBM\Domain".<br>
> The second being "Users'"<br>
> <br>
> IIRC you can probably %-encode that (as "IBM\Domain%20Users").<br>
> <br>
> <br>
> If not that then you are going to have to debug what the <br>
> helper is doing.<br>
> <br>
> <br>
> NP: This helper is provided by Samba, it is not part of Squid. So<br>
> questions about its abilities and encodings supported are a <br>
> question for<br>
> their help channels. Someone here _might_ know, but do not <br>
> count on that.<br>
> <br>
> <br>
> Amos<br>
> _______________________________________________<br>
> squid-users mailing list<br>
> squid-users@lists.squid-cache.org<br>
> <a href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a><br>
> <br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
squid-users@lists.squid-cache.org<br>
<a href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</div>
</span></font></div>
</div>
</div>
</body>
</html>