<div dir="ltr"><div>Hi all,</div><div>    I'm trying to install a brand new Squid 4.7 on an Arch GNU/Linux (Kernel 5.0.7), authorizing its users against Active Directory, based on a Windows 2008 R2 Domain.</div><div>    I configured samba4 on the Arch machine, and it looks working well. wbinfo commands get executed and with correct output.</div><div>    But when using the Squid, I get all the time messages like: <br></div><div><br></div><div>2019/05/27 04:08:12 kid1| Set Current Directory to /var/spool/squid<br>2019/05/27 04:08:12 kid1| Starting Squid Cache version 4.7 for x86_64-pc-linux-gnu...<br>2019/05/27 04:08:12 kid1| Service Name: squid<br>2019/05/27 04:08:12 kid1| Process ID 7584<br>2019/05/27 04:08:12 kid1| Process Roles: worker<br>2019/05/27 04:08:12 kid1| With 1024 file descriptors available<br>2019/05/27 04:08:12 kid1| Initializing IP Cache...<br>2019/05/27 04:08:12 kid1| DNS Socket created at [::], FD 7<br>2019/05/27 04:08:12 kid1| DNS Socket created at 0.0.0.0, FD 10<br>2019/05/27 04:08:12 kid1| Adding domain ciabernal.local from /etc/resolv.conf<br>2019/05/27 04:08:12 kid1| Adding domain ciabernal.local from /etc/resolv.conf<br>2019/05/27 04:08:12 kid1| Adding nameserver 192.168.32.5 from /etc/resolv.conf<br>2019/05/27 04:08:12 kid1| helperOpenServers: Starting 0/10 'negotiate_wrapper' processes<br>2019/05/27 04:08:12 kid1| helperStatefulOpenServers: No 'negotiate_wrapper' processes needed.<br>2019/05/27 04:08:12 kid1| helperOpenServers: Starting 0/10 'ntlm_auth' processes<br>2019/05/27 04:08:12 kid1| helperStatefulOpenServers: No 'ntlm_auth' processes needed.<br>2019/05/27 04:08:12 kid1| helperOpenServers: Starting 0/10 'basic_ldap_auth' processes<br>2019/05/27 04:08:12 kid1| helperOpenServers: No 'basic_ldap_auth' processes needed.<br>2019/05/27 04:08:12 kid1| helperOpenServers: Starting 0/5 'ext_ldap_group_acl' processes<br>2019/05/27 04:08:12 kid1| helperOpenServers: No 'ext_ldap_group_acl' processes needed.<br>2019/05/27 04:08:12 kid1| Logfile: opening log /var/log/squid/access.log<br>2019/05/27 04:08:12 kid1| WARNING: log name now starts with a module name. Use 'stdio:/var/log/squid/access.log'<br>2019/05/27 04:08:12 kid1| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec<br>2019/05/27 04:08:12 kid1| Store logging disabled<br>2019/05/27 04:08:12 kid1| Swap maxSize 0 + 262144 KB, estimated 20164 objects<br>2019/05/27 04:08:12 kid1| Target number of buckets: 1008<br>2019/05/27 04:08:12 kid1| Using 8192 Store buckets<br>2019/05/27 04:08:12 kid1| Max Mem  size: 262144 KB<br>2019/05/27 04:08:12 kid1| Max Swap size: 0 KB<br>2019/05/27 04:08:12 kid1| Using Least Load store dir selection<br>2019/05/27 04:08:12 kid1| Set Current Directory to /var/spool/squid<br>2019/05/27 04:08:12 kid1| Finished loading MIME types and icons.<br>2019/05/27 04:08:12 kid1| HTCP Disabled.<br>2019/05/27 04:08:12 kid1| Squid plugin modules loaded: 0<br>2019/05/27 04:08:12 kid1| Adaptation support is off.<br>2019/05/27 04:08:12 kid1| Accepting HTTP Socket connections at local=[::]:3128 remote=[::] FD 12 flags=9<br>2019/05/27 04:08:13 kid1| storeLateRelease: released 0 objects<br>2019/05/27 04:08:22 kid1| Starting new negotiateauthenticator helpers...<br>2019/05/27 04:08:22 kid1| helperOpenServers: Starting 1/10 'negotiate_wrapper' processes<br>negotiate_kerberos_auth.cc(489): pid=7586 :2019/05/27 04:08:22| negotiate_kerberos_auth: INFO: Starting version 3.1.0sq<br>negotiate_kerberos_auth.cc(548): pid=7586 :2019/05/27 04:08:22| negotiate_kerberos_auth: INFO: Setting keytab to FILE:/etc/krb5.keytab<br>negotiate_kerberos_auth.cc(572): pid=7586 :2019/05/27 04:08:22| negotiate_kerberos_auth: INFO: Changed keytab to MEMORY:negotiate_kerberos_auth_7586<br>directory_create_or_exist_strict: invalid ownership on directory /var/cache/samba/msg.lock<br>cmdline_messaging_context: Unable to initialize messaging context.<br>lp_load_ex: refreshing parameters<br>Initialising global parameters<br>rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)<br>Processing section "[Global]"<br>GENSEC backend 'gssapi_spnego' registered<br>GENSEC backend 'gssapi_krb5' registered<br>GENSEC backend 'gssapi_krb5_sasl' registered<br>GENSEC backend 'spnego' registered<br>GENSEC backend 'schannel' registered<br>GENSEC backend 'naclrpc_as_system' registered<br>GENSEC backend 'sasl-EXTERNAL' registered<br>GENSEC backend 'ntlmssp' registered<br>GENSEC backend 'ntlmssp_resume_ccache' registered<br>GENSEC backend 'http_basic' registered<br>GENSEC backend 'http_ntlm' registered<br>GENSEC backend 'http_negotiate' registered<br>GENSEC backend 'krb5' registered<br>GENSEC backend 'fake_gssapi_krb5' registered<br>Got NTLMSSP neg_flags=0xe2088297<br>Got user=[user01] domain=[mydomain] workstation=[MYPC] len1=24 len2=304<br>Login for user [mydomain]\[user01]@[MYPC] failed due to [Reading winbind reply failed!]<br>GENSEC login failed: NT_STATUS_UNSUCCESSFUL<br>2019/05/27 04:08:22 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}<br></div><div><br></div><div>    Some questions I have: <br></div><div><br></div><div>1) About the message: <br></div><div><br></div><div>
directory_create_or_exist_strict: invalid ownership on directory /var/cache/samba/msg.lock<br>cmdline_messaging_context: Unable to initialize messaging context. <br></div><div><br></div><div>    Checking the permissions, it has 755, so I really do not understand why it´s showing this. Don't know if there is some ownership rule or something like this...</div><div><br></div><div>2) About the message: <br></div><div><br></div><div>
Login for user [mydomain]\[user01]@[MYPC] failed due to [Reading winbind reply failed!] <br></div><div><br></div><div>    I tried debugging Samba, but see no message indicating something here. Any help would be really appreciated.</div><div><br></div><div>3) Is there any example configuration for Squid 4 + Samba 4 + Active Directory? Sorry for this, but I see tons of information about Active Directory for Samba 4 and Squid3, but not much about the configuration I'm trying to have.</div><div>    I see several differences, for instance: <br></div><div><br></div><div>1) Use of "negotiate_wrapper".</div><div>2) Several aspects of files located on /var/lib/squid, where I do not see the equivalence between them and the ones listed for Squid3, and visible on tons of documentation.</div><div>3) Some docs say NTLM is deprecated, some are still showing ntlm_auth on config files. This is why I really need to see if there is any example for this config...<br></div><div><br></div><div>    Thanks a lot in advance for your time and attention, and best regards.<br></div><div><br>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">HeCSa</div></div></div>