Bug 4182 - Squid + winbind = unsecure permissions
: Squid + winbind = unsecure permissions
Status: CLOSED FIXED
: Sisyphus
(All bugs in Sisyphus/squid)
: unstable
: all Linux
: P2 major
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2004-05-17 15:31 by
Modified: 2005-07-13 15:46 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2004-05-17 15:31:36
Итак.
Имеем желание сделать ntlm-авторизацию в squid, используем winbindd со стороны
samba и ntlm_auth от нее же как helper к squid.

winbind обращается домену и создает сокет в каталоге
/var/lib/samba/winbind_privileged (при этом winbind запускается только в случае,
если на эту папку права 750 root:winbind). 

ntlm_auth со стороны squid должен иметь возможность коннектиться к этому сокету,
и логично было бы это реализовать включением squid в группу winbind (второй
вариант - поставить на папку права 777, третий - запускать его не как сейчас по
умолчанию от squid:squid, а от группы winbind).

Но бага состоит в том, что в коде squid не реализована совсем система чтобы он
учитывал записи о группах, в которые он включен в соответствии с /etc/group,
поэтому при нормальных (750) правах на winbind_privileged хелпер не может
получить доступ к сокету.

сейчас подпорка воткнута такая:
1. ставим права 750
2. запускаем winbind
3. ставим права 777
4. запускаем squid

хотелось бы, чтобы squid понимал группы из /etc/group и не было необходимости в
правах 777 на winbind_privileged.
------- Comment #1 From 2004-05-17 15:40:42 -------
на мантейнера...
------- Comment #2 From 2004-07-27 17:25:19 -------
Пока майнтейнеры squid чухаются, можно пересобрать squid с этими патчиками:
http://www.squid-cache.org/bugs/show_bug.cgi?id=1021
------- Comment #3 From 2004-08-16 18:06:31 -------
http://www.squid-cache.org/Versions/v2/2.5/bugs/#squid-2.5.STABLE6-initgroups
Official patch for 2.5S6.
------- Comment #4 From 2004-08-17 13:21:32 -------
Я приложил к squid-2.5.STABLE6-alt2.src.rpm
Возможно, возьмут как NMU.
------- Comment #5 From 2004-09-01 13:20:28 -------
Взято.