kinit succeeded but.. Canno contact any KDC
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- рядовой
- Сообщения: 30
- Зарегистрирован: 2011-12-08 14:18:53
kinit succeeded but.. Canno contact any KDC
Настраивал руководствуясь статье http://www.lissyara.su/articles/freebsd ... up_access/
boxfree# uname -a
FreeBSD boxfree 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Fri Feb 18 02:24:46 UTC 2011
root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386
boxfree# smbclient -V
Version 3.6.1
boxfree# wbinfo -t
checking the trust secret for domain DOM via RPC calls succeeded
boxfree# wbinfo -p
Ping to winbindd succeeded
boxfree# wbinfo -D DOM.LOCAL
Name : DOM
Alt_Name : dom.local
SID : S-1-5-21-2663291518-1480540533-3903290589
Active Directory : Yes
Native : No
Primary : Yes
wbinfo -g все показывает
wbinfo -u тоже все работает
но почему то упорно в логи сыпет следующее
Dec 8 12:35:46 boxfree winbindd[1069]: initialize_winbindd_cache: clearing cache and re-creating with version number 2
Dec 8 12:40:00 boxfree winbindd[1092]: [2011/12/08 12:40:00.911310, 0] libads/sasl.c:908(ads_sasl_spnego_bind)
Dec 8 12:40:00 boxfree winbindd[1092]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm
boxfree# uname -a
FreeBSD boxfree 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Fri Feb 18 02:24:46 UTC 2011
root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386
boxfree# smbclient -V
Version 3.6.1
boxfree# wbinfo -t
checking the trust secret for domain DOM via RPC calls succeeded
boxfree# wbinfo -p
Ping to winbindd succeeded
boxfree# wbinfo -D DOM.LOCAL
Name : DOM
Alt_Name : dom.local
SID : S-1-5-21-2663291518-1480540533-3903290589
Active Directory : Yes
Native : No
Primary : Yes
wbinfo -g все показывает
wbinfo -u тоже все работает
но почему то упорно в логи сыпет следующее
Dec 8 12:35:46 boxfree winbindd[1069]: initialize_winbindd_cache: clearing cache and re-creating with version number 2
Dec 8 12:40:00 boxfree winbindd[1092]: [2011/12/08 12:40:00.911310, 0] libads/sasl.c:908(ads_sasl_spnego_bind)
Dec 8 12:40:00 boxfree winbindd[1092]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: kinit succeeded but.. Canno contact any KDC
сквид собсно, авторизует?
Убей их всех! Бог потом рассортирует...
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: kinit succeeded but.. Canno contact any KDC
А kinit, что говорит?
-
- рядовой
- Сообщения: 30
- Зарегистрирован: 2011-12-08 14:18:53
Re: kinit succeeded but.. Canno contact any KDC
snorlov писал(а):А kinit, что говорит?
boxfree# kinit
supervisor@DOM.LOCAL's Password:
kinit: Password incorrect
boxfree# kinit supervisor
supervisor@DOM.LOCAL's Password:
boxfree#
Squid еще не поставил (((
-
- рядовой
- Сообщения: 30
- Зарегистрирован: 2011-12-08 14:18:53
Re: kinit succeeded but.. Canno contact any KDC
Squid поставил а он не авторизует? Может на стороне 2003 R2 Serv что то не настроенно?
-
- рядовой
- Сообщения: 30
- Зарегистрирован: 2011-12-08 14:18:53
Re: kinit succeeded but.. Canno contact any KDC
Подскажите пожалуйста что смотреть почему может не работать.... про KDC ничего толкового не нашел...плохо искал наверное ну хоть направь те чуть
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: kinit succeeded but.. Canno contact any KDC
самбу рестартаните
Убей их всех! Бог потом рассортирует...
-
- рядовой
- Сообщения: 30
- Зарегистрирован: 2011-12-08 14:18:53
Re: kinit succeeded but.. Canno contact any KDC
Взял конфиги из статьи http://www.lissyara.su/articles/freebsd ... /squid+ad/
чуть подправил под реалии free8.2 и squid 3.1
только теперь окно авторизации на стороне пользователя не запускается а сразу выдает
В логах
делал вручную wbinfo -Y S-1-32-2323412341234123 итд все работает sid to gid показывает
Код: Выделить всё
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 1024 MB
cache_dir ufs /usr/local/squid/cache 50000 64 512
access_log /var/log/squid/access.log squid
cache_store_log none
hosts_file /etc/hosts
append_domain .office.local
visible_hostname = Squid
error_directory /usr/local/etc/squid/errors/Russian-1251
auth_param ntlm program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group %LOGIN \
/usr/local/libexec/squid/wbinfo_group.pl
acl inet_users external nt_group inet_users
acl inet_icq external nt_group inet_icq
acl inet_full external nt_group inet_full
acl inet_analit external nt_group inet_analit
acl inet_restrict external nt_group inet_restrict
acl inet_connect external nt_group inet_connect
acl OFFICE proxy_auth REQUIRED
acl SSL_ports port 443 563
acl SSL_for_client_banks port 910 8443 4500
acl safe_ports port 80 # http
acl safe_ports port 21 # ftp
acl safe_ports port 443 # ssl
acl ICQ_ports port 5190 # ICQ
acl CONNECT method CONNECT
acl manager proto cache_object
acl all src
acl localhost src 127.0.0.1/32
acl mydomain_site dstdomain \
"/usr/local/etc/squid/db/allow_all.txt"
acl bad_url url_regex \
"/usr/local/etc/squid/db/deny_url.txt"
acl deny_domains dstdomain \
"/usr/local/etc/squid/db/deny_domains.txt"
acl client_banks dst \
"/usr/local/etc/squid/db/clinet_banks.txt"
acl bad_networks dst \
"/usr/local/etc/squid/db/bad_networks.txt"
acl not_autorized src \
"/usr/local/etc/squid/db/not_autorized.txt"
acl domains_for_restrict dstdomain \
"/usr/local/etc/squid/db/domains_for_restrict.txt"
deny_info ERR_INVALID_URL bad_url
#deny_info ERR_BAD_NETWORKS bad_networks
#deny_info ERR_DENY_DOMAINS deny_domains
#deny_info ERR_SAFE_PORTS safe_ports
#deny_info ERR_SSL_PORTS SSL_ports
http_access allow manager localhost
http_access deny manager
http_access allow client_banks
http_access allow not_autorized
http_access allow OFFICE mydomain_site
http_access allow inet_full all
http_access deny bad_url
http_access allow inet_icq ICQ_ports
http_access deny bad_networks
http_access deny deny_domains
http_access deny CONNECT !SSL_ports
http_access deny !safe_ports
http_access allow inet_users
http_access allow inet_restrict domains_for_restrict
#deny_info ERR_INET_NO_ALLOW all
http_access deny all
только теперь окно авторизации на стороне пользователя не запускается а сразу выдает
В логах
Код: Выделить всё
2012/01/17 08:10:41| Starting Squid Cache version 3.1.16 for i386-portbld-freebsd8.2...
2012/01/17 08:10:41| Process ID 985
2012/01/17 08:10:41| With 11095 file descriptors available
2012/01/17 08:10:41| Initializing IP Cache...
2012/01/17 08:10:41| DNS Socket created at [::], FD 8
2012/01/17 08:10:41| DNS Socket created at 0.0.0.0, FD 9
2012/01/17 08:10:41| Adding nameserver 192.168.1.2 from /etc/resolv.conf
2012/01/17 08:10:41| Adding domain office.local from /etc/resolv.conf
2012/01/17 08:10:41| helperOpenServers: Starting 30/30 'ntlm_auth' processes
2012/01/17 08:10:41| helperOpenServers: Starting 4/4 'ntlm_auth' processes
2012/01/17 08:10:41| helperOpenServers: Starting 5/5 'wbinfo_group.pl' processes
2012/01/17 08:10:42| Unlinkd pipe opened on FD 92
2012/01/17 08:10:42| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2012/01/17 08:10:42| Store logging disabled
2012/01/17 08:10:42| Swap maxSize 51200000 + 1048576 KB, estimated 4019121 objects
2012/01/17 08:10:42| Target number of buckets: 200956
2012/01/17 08:10:42| Using 262144 Store buckets
2012/01/17 08:10:42| Max Mem size: 1048576 KB
2012/01/17 08:10:42| Max Swap size: 51200000 KB
2012/01/17 08:10:43| Version 1 of swap file with LFS support detected...
2012/01/17 08:10:43| Rebuilding storage in /usr/local/squid/cache (DIRTY)
2012/01/17 08:10:43| Using Least Load store dir selection
2012/01/17 08:10:43| Current Directory is /root
2012/01/17 08:10:43| Loaded Icons.
2012/01/17 08:10:43| Accepting HTTP connections at [::]:3128, FD 95.
2012/01/17 08:10:43| HTCP Disabled.
2012/01/17 08:10:43| Ready to serve requests.
2012/01/17 08:10:43| Done reading /usr/local/squid/cache swaplog (0 entries)
2012/01/17 08:10:43| Finished rebuilding storage from disk.
2012/01/17 08:10:43| 0 Entries scanned
2012/01/17 08:10:43| 0 Invalid entries.
2012/01/17 08:10:43| 0 With invalid flags.
2012/01/17 08:10:43| 0 Objects loaded.
2012/01/17 08:10:43| 0 Objects expired.
2012/01/17 08:10:43| 0 Objects cancelled.
2012/01/17 08:10:43| 0 Duplicate URLs purged.
2012/01/17 08:10:43| 0 Swapfile clashes avoided.
2012/01/17 08:10:43| Took 0.16 seconds ( 0.00 objects/sec).
2012/01/17 08:10:43| Beginning Validation Procedure
2012/01/17 08:10:43| Completed Validation Procedure
2012/01/17 08:10:43| Validated 25 Entries
2012/01/17 08:10:43| store_swap_size = 0
2012/01/17 08:10:43| storeLateRelease: released 0 objects
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_full
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid to gid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_icq
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid to gid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_users
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid to gid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_restrict
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid to gid
-
- рядовой
- Сообщения: 30
- Зарегистрирован: 2011-12-08 14:18:53
Re: kinit succeeded but.. Canno contact any KDC
Если я правильно понимаю то вместо групп inet_users нужно использовать свои или создавать эти группы на стороне сервера AD ... а вот как быть с пробелами в названии групп например domain admins ))) нужно потрошить wbinfo_group.sh ??
- bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
- Контактная информация:
Re: kinit succeeded but.. Canno contact any KDC
да нужно создать группу.
Если в имени группы есть проблел, то его надо заменить так: Domain%users
На худой конец создаете группу тырнет и ее используете.
Если в имени группы есть проблел, то его надо заменить так: Domain%users
На худой конец создаете группу тырнет и ее используете.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Блог о BSD системах.
-
- рядовой
- Сообщения: 30
- Зарегистрирован: 2011-12-08 14:18:53
Re: kinit succeeded but.. Canno contact any KDC
C группами разобрался а вот то что окошко с вводом пароля и пользователя не выводит вот что плохо, и в squid access.log пишет Denied на любые попытки что либо открыть в интернете ))) шут с ним с окном но почему пользователя не авторизует или авторизует но не пускает хотя он в группе напротив которой стоит allow ....
- bagas
- лейтенант
- Сообщения: 922
- Зарегистрирован: 2010-08-18 19:49:01
- Откуда: Воронеж
- Контактная информация:
Re: kinit succeeded but.. Canno contact any KDC
тогда настройте basic авторизацию...
я вот так себе прокси настраивал
http://likeunix.ru/%D1%80%D0%B0%D0%B1%D ... quid-conf/
я вот так себе прокси настраивал
http://likeunix.ru/%D1%80%D0%B0%D0%B1%D ... quid-conf/
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.
Блог о BSD системах.
-
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Re: kinit succeeded but.. Canno contact any KDC
У вас в IE может стоять интегральная аутенфикация, а поскольку сквид сопряжен с АД, аутенфикация в этом случае прозрачна для пользователя.2fast4u писал(а):C группами разобрался а вот то что окошко с вводом пароля и пользователя не выводит вот что плохо, и в squid access.log пишет Denied на любые попытки что либо открыть в интернете ))) шут с ним с окном но почему пользователя не авторизует или авторизует но не пускает хотя он в группе напротив которой стоит allow ....
-
- рядовой
- Сообщения: 30
- Зарегистрирован: 2011-12-08 14:18:53
Re: kinit succeeded but.. Canno contact any KDC
Спасибо огромное за помощь вроде как с авторизацией разобрался перестало выдавать Доступ запрещен но теперь другие грабли указываю железку раздающую инет как шлюз 192.168.1.12 в resolv.conf указываю nameserver 192.168.1.10 там DNS но домен там другой-- SCI(192.168.1.10) мои пользователи находятся на домене --- DOM(192.168.1.2) .... если указываю в resolv.conf адрес DNS то интернет есть а вот nslookup уже не видит домен DOM тогда не выводится список групп и пользователей и нет авторизации а если наоборот то авторизация есть но нет интернета.
-
- рядовой
- Сообщения: 30
- Зарегистрирован: 2011-12-08 14:18:53
Re: kinit succeeded but.. Canno contact any KDC
Как всегда все дело в не внимательности и небольшой тонкости в моем случае нужно было в конфиг сквида добавить строчку dns_nameservers 192.168.1.10 без этой строки squid берет данные в resolv.conf а там IP 192.168.1.2. Теперь работает и авторизация и интернет...испытания продолжаются ))
-
- проходил мимо
- Сообщения: 2
- Зарегистрирован: 2013-09-17 16:31:27
Re: kinit succeeded but.. Canno contact any KDC
расскажи как решил? те же грабли:
2fast4u писал(а):C группами разобрался а вот то что окошко с вводом пароля и пользователя не выводит вот что плохо, и в squid access.log пишет Denied на любые попытки что либо открыть в интернете ))) шут с ним с окном но почему пользователя не авторизует или авторизует но не пускает хотя он в группе напротив которой стоит allow ....
2fast4u писал(а):Спасибо огромное за помощь вроде как с авторизацией разобрался перестало выдавать Доступ запрещен но теперь другие грабли указываю железку раздающую инет как шлюз 192.168.1.12 в resolv.conf указываю nameserver 192.168.1.10 там DNS но домен там другой-- SCI(192.168.1.10) мои пользователи находятся на домене --- DOM(192.168.1.2) .... если указываю в resolv.conf адрес DNS то интернет есть а вот nslookup уже не видит домен DOM тогда не выводится список групп и пользователей и нет авторизации а если наоборот то авторизация есть но нет интернета.