Не работает Керберос

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
ce-zar
ефрейтор
Сообщения: 60
Зарегистрирован: 2008-04-03 15:37:09
Откуда: Санкт-Петербург

Не работает Керберос

Непрочитанное сообщение ce-zar » 2008-04-18 12:43:29

Здравствуйте, ГУРУ!!! Во фрихе новичок...
Установлена FreeBSD 6.3+NTP+BIND+webmin+OpenSSH+ipfw+squid+sarg+Apache+Proftpd.
Пытаюсь раздать Инет пользователям из виндовых групп домена на 2003 Сервер по статье Лисяры http://www.lissyara.su/?id=1375. Установил самбу 3.0.28, подредактировал /etc/krb5.conf (все как положено, в верхнем регистре).
Ядро собрано со следующими опциями:
  • options IPFIREWALL
    options IPFIREWALL_VERBOSE
    options IPFIREWALL_VERBOSE_LIMIT=100
    options IPFIREWALL_FORWARD
    options IPSTEALTH
    options IPDIVERT
    options DUMMYNET
    options IPSEC
    options IPSEC_ESP
    options TCP_DROP_SYNFIN
Проблема вот в чем: все пингуется, однако при попытке получить билетик керберос (kinit admin) пишет krb5_get_init_creds: unable to reach ahy KDC in realm mydomain.local
Однако, если ввести kinit admin@mydomain.local пишет: Password incorrect
Сервак работает как файерволл со сквидом. Пробовал пересобрать ядро без вышеуказанных опций - все работает: билет дает, в домен втыкается...
Такое ощущение, что при попытке получить билет, он тыкается на внешний интерфейс...
Господа, может у кого есть идеи, где копать, помогите кто чем может... :cry:
Ни фига не пойму...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
GreenDay
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-21 20:25:39
Откуда: Новосибирск
Контактная информация:

Re: Не работает Керберос

Непрочитанное сообщение GreenDay » 2008-04-18 12:49:43

наверно надо привести настройки /etc/krb5.conf для начала
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.

Аватара пользователя
ce-zar
ефрейтор
Сообщения: 60
Зарегистрирован: 2008-04-03 15:37:09
Откуда: Санкт-Петербург

Re: Не работает Керберос

Непрочитанное сообщение ce-zar » 2008-04-18 13:13:52

GreenDay писал(а):наверно надо привести настройки /etc/krb5.conf для начала

Код: Выделить всё

[libdefaults]
        default_realm = ASOLINS.LOCAL
	clockskew = 300
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	
[realms]
	ASOLINS.LOCAL = {
		kdc = asol.asolins.local
		admin_server = asol.asolins.local
	}
	OTHER.REALM = {
		v4_instance_convert = {
			kerberos = kerberos
			computer = ASOL.ASOLINS.LOCAL
		}
	}
[domain_realm]
	.asolins.local = ASOLINS.LOCAL

[appdefaults]
	kinit = {
	renewable = true
	forwardable = true
	}	
	
[logging]
	kdc = FILE:/var/log/krb5kdc.log
	admin_server = FILE:/var/log/kadmin.log
	default = FILE:/var/log/krb5lib.log
Имеется резервный сервак на FreeBSD 6.3 (предположим 192.168.0.2). Так вот если его (резервный) установить в качестве шлюза, на текущем отключить ipfw из ядра, поменять ip (192.168.0.3), а в /etc/rc.conf установить
defaultrouter="192.168.0.2" (т.е. грубо говоря использовать в качестве рабочей станции), то DC билет дает (с этим конфигом).
(САМ ПОСЛЕ ПРОЧЕЛ ТО, ЧТО НАПИСАЛ И НИЧЕГО НЕ ПОНЯЛ :D - уже подправил)
Последний раз редактировалось ce-zar 2008-04-18 13:40:26, всего редактировалось 2 раза.
Ни фига не пойму...

Аватара пользователя
GreenDay
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-21 20:25:39
Откуда: Новосибирск
Контактная информация:

Re: Не работает Керберос

Непрочитанное сообщение GreenDay » 2008-04-18 13:26:42

а он вообще адрес KDC разрезольвить то может?
поставь попробуй адрес KDC IP-адресом
ошибку выдает про то, что найти не может KDC - проблема в DNS
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.

Аватара пользователя
ce-zar
ефрейтор
Сообщения: 60
Зарегистрирован: 2008-04-03 15:37:09
Откуда: Санкт-Петербург

Re: Не работает Керберос

Непрочитанное сообщение ce-zar » 2008-04-18 13:52:35

GreenDay писал(а):а он вообще адрес KDC разрезольвить то может?
поставь попробуй адрес KDC IP-адресом
ошибку выдает про то, что найти не может KDC - проблема в DNS
Пробовал, и сейчас, на всякий случай, еще раз попробовал, та же самая ситуация...

mail# ping asol
PING asol.asolins.local (192.168.0.1): 56 data bytes

т.е. имя в ip-шник разрешается, DNS работает...

Кстати, ранее, когда отключал ему ipfw, билет давал только таким макаром:
kinit admin@ASOLINS.LOCAL
если набрать
kinit admin@asolins.local
ругался, что найти не может KDC, а сейчас на kinit admin@ASOLINS.LOCAL ругается что найти не может KDC, а на
kinit admin@asolins.local ругается Password incorrect
Ни фига не пойму...

Аватара пользователя
3t0n
мл. сержант
Сообщения: 122
Зарегистрирован: 2006-05-06 7:41:04
Откуда: Москва-Владимир
Контактная информация:

Re: Не работает Керберос

Непрочитанное сообщение 3t0n » 2008-04-18 17:00:57

а сопостовимую запись в hosts всетаки для PDC на никсах сделай, обрати на синхронизацию времени внимание (это чисто советы на будующее) вводи внимательно пароль DOMAIN/АДМИНИСТАРОТРА PDC, читай логи --> гуглшмугл
О человеке можно судить по его Temporary Internet Files

Аватара пользователя
ce-zar
ефрейтор
Сообщения: 60
Зарегистрирован: 2008-04-03 15:37:09
Откуда: Санкт-Петербург

Re: Не работает Керберос

Непрочитанное сообщение ce-zar » 2008-04-18 18:57:33

3t0n писал(а):а сопостовимую запись в hosts всетаки для PDC на никсах сделай, обрати на синхронизацию времени внимание (это чисто советы на будующее) вводи внимательно пароль DOMAIN/АДМИНИСТАРОТРА PDC, читай логи --> гуглшмугл
Пароль ввожу более чем внимательно (внимательнее некуда, капслок выключен) :)
Имеется в виду /etc/hosts ? Вот он:

Код: Выделить всё

::1			localhost.asolins.local localhost
127.0.0.1		localhost.asolins.local localhost
192.168.0.1		asol.asolins.local asol
192.168.0.2		mail.asolins.local mail 
Кстати при синхронизации:

Код: Выделить всё

mail# net time set -S 192.168.0.1
Fri Aprl 18 19:43:07 MSD 2008
/bin/date 200804181943.07 failed. Error was (Unknowh error: 0)
Что это может быть?
Кстати, вот /etc/rc.conf

Код: Выделить всё

# -- sysinstall generated deltas -- # Thu Jan 31 13:56:17 2008
# Created: Thu Jan 31 13:56:17 2008
sendmail_enable="NONE"
inetd_enable="YES"
keymap="ru.koi8-r"
linux_enable="YES"
sshd_enable="YES"
#usbd_enable="YES"
rwhod_enable="NO"
tcp_extensions="NO"

hostname="mail.asolins.local"
###Internet interface
ifconfig_fxp0="inet 80.xxx.xxx.150 netmask 255.255.255.252"
defaultrouter="80.xxx.xxx.149"
###LAN
ifconfig_rl0="inet 192.168.0.2  netmask 255.255.255.0"

tcp_drop_synfin="YES"

###NAT & FW
gateway_enable="YES"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
#firewall_quiet="NO"
firewall_type="ASOL"
#firewall_type="OPEN"

###Squid
winbindd_enable="YES"
squid_enable="YES"

###Clock
timed_enable="NO"               # Run the time daemon (or NO).
#timed_flags=""                  # Flags to timed (if enabled).
ntpdate_enable="YES"             # Run ntpdate to sync time on boot (or NO).
ntpdate_program="/usr/sbin/ntpdate"     # path to ntpdate, if you want a different one.
ntpdate_flags="-b"              # Flags to ntpdate (if enabled).
ntpdate_config="/etc/ntp/ntp.conf"  # ntpdate(8) configuration file
#ntpdate_hosts=""                # Whitespace-separated list of ntpdate(8) servers.
ntpd_enable="YES"               # Run ntpd Network Time Protocol (or NO).
ntpd_program="/usr/sbin/ntpd"   # path to ntpd, if you want a different one.
ntpd_config="/etc/ntp/ntp.conf"     # ntpd(8) configuration file
ntpd_sync_on_start="YES"                # Sync time on ntpd startup, even if offset is high
ntpd_flags="-p /var/run/ntpd.pid -f /var/db/ntpd.drift"
                                # Flags to ntpd (if enabled).
fsck_y_enable="YES"

###DNS Server
named_enable="YES"

###Web Admin
webmin_enable="YES"

###Apache
apache22_enable="YES"

###ProFTP
proftpd_enable="YES"
Может здесь чего не так?
ПОМогите советом, господа... Может действительно, он на внешнем интерфейсе KDC ищет?
Ни фига не пойму...

skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

Re: Не работает Керберос

Непрочитанное сообщение skrond » 2008-04-19 21:24:10

настраивал такую штукенцию, правда пользовался вот этой статьей
__http://www.samag.ru/art/02.2007/02.2007_05.html
у меня все заработало.

Аватара пользователя
GreenDay
мл. сержант
Сообщения: 100
Зарегистрирован: 2008-02-21 20:25:39
Откуда: Новосибирск
Контактная информация:

Re: Не работает Керберос

Непрочитанное сообщение GreenDay » 2008-04-20 6:47:36

в этой статье автор в списке использованной литературы указал
2. «SAMBA с авторизацией в AD и поддержкой NT ACL» – http://www.lissyara.su.
:)
Бесполезно рассказывать о высоком моральном облике коллектива человеку, имеющему доступ к логам прокси-сервера этого коллектива.

skrond
рядовой
Сообщения: 23
Зарегистрирован: 2008-04-15 11:08:06

Re: Не работает Керберос

Непрочитанное сообщение skrond » 2008-04-20 18:38:34

GreenDay писал(а):в этой статье автор в списке использованной литературы указал
2. «SAMBA с авторизацией в AD и поддержкой NT ACL» – http://www.lissyara.su.
:)
))) простите не знал

Аватара пользователя
ce-zar
ефрейтор
Сообщения: 60
Зарегистрирован: 2008-04-03 15:37:09
Откуда: Санкт-Петербург

Re: Не работает Керберос

Непрочитанное сообщение ce-zar » 2008-04-21 16:52:19

Господа, объясните, так и должно быть? Билет керберос не дает, но меня смущает ip, указанный ниже, ведь dc у меня 192.168.0.1

Код: Выделить всё

Binding to domain with command /usr/local/bin/net join -U supervisor .. 
[2008/04/21 17:48:18, 0] libsmb/nmblib.c:send_udp(791)
  Packet send failed to 192.168.0.255(137) ERRNO=Permission denied
Unable to find a suitable server
[2008/04/21 17:48:19, 0] libsmb/nmblib.c:send_udp(791)
  Packet send failed to 192.168.0.255(137) ERRNO=Permission denied
Unable to find a suitable server

.. failed! See the output above for the reason why.
Может в bind надо копать?

Кстати, повторюсь, ранее ip сервака, который надо включить в домен был 192.168.0.3. Самбу устанавливал с этим ip и все работало. Далее, ip поменял на 192.168.0.2, т.к. не хотелось перенастраивать шлюз на всех машинах в сети, а dhcp не использую. Вот после этого глюки и начались (билет не дает, в домен не пускает). Попробовал переустановить самбу - не помогает (кстати, а как сбросить предыдущие настройки установки - т.е. получить окно с опциями при установке пакета?)... Может кто чего подскажет путного - уже неделю бьюсь - kinit с закрытыми глазами могу набрать :)
Ни фига не пойму...