kinit succeeded but.. Canno contact any KDC

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение 2fast4u » 2011-12-08 14:53:43

Настраивал руководствуясь статье http://www.lissyara.su/articles/freebsd ... up_access/


boxfree# uname -a
FreeBSD boxfree 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Fri Feb 18 02:24:46 UTC 2011
root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386

boxfree# smbclient -V
Version 3.6.1

boxfree# wbinfo -t
checking the trust secret for domain DOM via RPC calls succeeded

boxfree# wbinfo -p
Ping to winbindd succeeded

boxfree# wbinfo -D DOM.LOCAL
Name : DOM
Alt_Name : dom.local
SID : S-1-5-21-2663291518-1480540533-3903290589
Active Directory : Yes
Native : No
Primary : Yes

wbinfo -g все показывает
wbinfo -u тоже все работает

но почему то упорно в логи сыпет следующее

Dec 8 12:35:46 boxfree winbindd[1069]: initialize_winbindd_cache: clearing cache and re-creating with version number 2
Dec 8 12:40:00 boxfree winbindd[1092]: [2011/12/08 12:40:00.911310, 0] libads/sasl.c:908(ads_sasl_spnego_bind)
Dec 8 12:40:00 boxfree winbindd[1092]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение Alex Keda » 2011-12-08 18:24:36

сквид собсно, авторизует?
Убей их всех! Бог потом рассортирует...

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение snorlov » 2011-12-08 23:16:12

А kinit, что говорит?

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение 2fast4u » 2011-12-09 11:08:47

snorlov писал(а):А kinit, что говорит?

boxfree# kinit
supervisor@DOM.LOCAL's Password:
kinit: Password incorrect
boxfree# kinit supervisor
supervisor@DOM.LOCAL's Password:
boxfree#

Squid еще не поставил (((

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение 2fast4u » 2011-12-26 7:03:41

Squid поставил а он не авторизует? Может на стороне 2003 R2 Serv что то не настроенно?

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение 2fast4u » 2012-01-11 16:41:12

Подскажите пожалуйста что смотреть почему может не работать.... про KDC ничего толкового не нашел...плохо искал наверное ну хоть направь те чуть :oops:

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение Alex Keda » 2012-01-13 15:40:25

самбу рестартаните
Убей их всех! Бог потом рассортирует...

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение 2fast4u » 2012-01-17 8:24:09

Взял конфиги из статьи http://www.lissyara.su/articles/freebsd ... /squid+ad/

Код: Выделить всё

http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 1024 MB
cache_dir ufs /usr/local/squid/cache 50000 64 512
access_log /var/log/squid/access.log squid
cache_store_log none
hosts_file /etc/hosts
append_domain .office.local
visible_hostname = Squid
error_directory /usr/local/etc/squid/errors/Russian-1251

auth_param ntlm program /usr/local/bin/ntlm_auth        \
        --helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth       \
        --helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours



external_acl_type nt_group %LOGIN       \
        /usr/local/libexec/squid/wbinfo_group.pl


acl     inet_users      external nt_group inet_users
acl     inet_icq        external nt_group inet_icq
acl     inet_full       external nt_group inet_full
acl     inet_analit     external nt_group inet_analit
acl     inet_restrict   external nt_group inet_restrict
acl     inet_connect    external nt_group inet_connect
acl     OFFICE            proxy_auth     REQUIRED

acl     SSL_ports               port    443 563
acl     SSL_for_client_banks    port    910 8443 4500
acl     safe_ports              port    80      # http
acl     safe_ports              port    21      # ftp
acl     safe_ports              port    443     # ssl
acl     ICQ_ports               port    5190    # ICQ
acl     CONNECT                 method  CONNECT
acl     manager                 proto   cache_object


acl all src
acl localhost src 127.0.0.1/32
acl     mydomain_site      dstdomain       \
        "/usr/local/etc/squid/db/allow_all.txt"
acl     bad_url         url_regex       \
        "/usr/local/etc/squid/db/deny_url.txt"
acl     deny_domains    dstdomain       \
        "/usr/local/etc/squid/db/deny_domains.txt"
acl     client_banks    dst             \
        "/usr/local/etc/squid/db/clinet_banks.txt"
acl     bad_networks    dst             \
        "/usr/local/etc/squid/db/bad_networks.txt"
acl     not_autorized   src             \
        "/usr/local/etc/squid/db/not_autorized.txt"
acl     domains_for_restrict dstdomain  \
        "/usr/local/etc/squid/db/domains_for_restrict.txt"

deny_info       ERR_INVALID_URL             bad_url
#deny_info       ERR_BAD_NETWORKS        bad_networks
#deny_info       ERR_DENY_DOMAINS        deny_domains
#deny_info       ERR_SAFE_PORTS          safe_ports
#deny_info       ERR_SSL_PORTS           SSL_ports


http_access     allow   manager         localhost
http_access     deny    manager

http_access     allow   client_banks
http_access     allow   not_autorized
http_access     allow   OFFICE           mydomain_site
http_access     allow   inet_full       all
http_access     deny    bad_url
http_access     allow   inet_icq        ICQ_ports
http_access     deny    bad_networks
http_access     deny    deny_domains
http_access     deny    CONNECT         !SSL_ports
http_access     deny    !safe_ports
http_access     allow   inet_users
http_access     allow   inet_restrict   domains_for_restrict


#deny_info       ERR_INET_NO_ALLOW       all
http_access     deny                    all
чуть подправил под реалии free8.2 и squid 3.1
только теперь окно авторизации на стороне пользователя не запускается а сразу выдает Изображение

В логах

Код: Выделить всё

2012/01/17 08:10:41| Starting Squid Cache version 3.1.16 for i386-portbld-freebsd8.2...

2012/01/17 08:10:41| Process ID 985
2012/01/17 08:10:41| With 11095 file descriptors available

2012/01/17 08:10:41| Initializing IP Cache...
2012/01/17 08:10:41| DNS Socket created at [::], FD 8

2012/01/17 08:10:41| DNS Socket created at 0.0.0.0, FD 9
2012/01/17 08:10:41| Adding nameserver 192.168.1.2 from /etc/resolv.conf
2012/01/17 08:10:41| Adding domain office.local from /etc/resolv.conf

2012/01/17 08:10:41| helperOpenServers: Starting 30/30 'ntlm_auth' processes

2012/01/17 08:10:41| helperOpenServers: Starting 4/4 'ntlm_auth' processes

2012/01/17 08:10:41| helperOpenServers: Starting 5/5 'wbinfo_group.pl' processes

2012/01/17 08:10:42| Unlinkd pipe opened on FD 92

2012/01/17 08:10:42| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2012/01/17 08:10:42| Store logging disabled

2012/01/17 08:10:42| Swap maxSize 51200000 + 1048576 KB, estimated 4019121 objects
2012/01/17 08:10:42| Target number of buckets: 200956

2012/01/17 08:10:42| Using 262144 Store buckets

2012/01/17 08:10:42| Max Mem  size: 1048576 KB

2012/01/17 08:10:42| Max Swap size: 51200000 KB

2012/01/17 08:10:43| Version 1 of swap file with LFS support detected... 

2012/01/17 08:10:43| Rebuilding storage in /usr/local/squid/cache (DIRTY)

2012/01/17 08:10:43| Using Least Load store dir selection
2012/01/17 08:10:43| Current Directory is /root

2012/01/17 08:10:43| Loaded Icons.
2012/01/17 08:10:43| Accepting  HTTP connections at [::]:3128, FD 95.

2012/01/17 08:10:43| HTCP Disabled.
2012/01/17 08:10:43| Ready to serve requests.

2012/01/17 08:10:43| Done reading /usr/local/squid/cache swaplog (0 entries)

2012/01/17 08:10:43| Finished rebuilding storage from disk.

2012/01/17 08:10:43|         0 Entries scanned

2012/01/17 08:10:43|         0 Invalid entries.

2012/01/17 08:10:43|         0 With invalid flags.

2012/01/17 08:10:43|         0 Objects loaded.

2012/01/17 08:10:43|         0 Objects expired.

2012/01/17 08:10:43|         0 Objects cancelled.

2012/01/17 08:10:43|         0 Duplicate URLs purged.

2012/01/17 08:10:43|         0 Swapfile clashes avoided.

2012/01/17 08:10:43|   Took 0.16 seconds (  0.00 objects/sec).

2012/01/17 08:10:43| Beginning Validation Procedure

2012/01/17 08:10:43|   Completed Validation Procedure

2012/01/17 08:10:43|   Validated 25 Entries
2012/01/17 08:10:43|   store_swap_size = 0

2012/01/17 08:10:43| storeLateRelease: released 0 objects
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_full
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid  to gid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_icq
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid  to gid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_users
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid  to gid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_restrict
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid  to gid
делал вручную wbinfo -Y S-1-32-2323412341234123 итд все работает sid to gid показывает

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение 2fast4u » 2012-01-17 9:47:40

Если я правильно понимаю то вместо групп inet_users нужно использовать свои или создавать эти группы на стороне сервера AD ... а вот как быть с пробелами в названии групп например domain admins ))) нужно потрошить wbinfo_group.sh ??

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение bagas » 2012-01-18 8:09:47

да нужно создать группу.
Если в имени группы есть проблел, то его надо заменить так: Domain%users
На худой конец создаете группу тырнет и ее используете.
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение 2fast4u » 2012-01-18 14:20:08

C группами разобрался а вот то что окошко с вводом пароля и пользователя не выводит вот что плохо, и в squid access.log пишет Denied на любые попытки что либо открыть в интернете ))) шут с ним с окном но почему пользователя не авторизует или авторизует но не пускает хотя он в группе напротив которой стоит allow ....

Аватара пользователя
bagas
лейтенант
Сообщения: 922
Зарегистрирован: 2010-08-18 19:49:01
Откуда: Воронеж
Контактная информация:

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение bagas » 2012-01-18 15:09:03

тогда настройте basic авторизацию...
я вот так себе прокси настраивал
http://likeunix.ru/%D1%80%D0%B0%D0%B1%D ... quid-conf/
Что бы ты не делал , жизнь слишком коротка!
Блог о BSD системах.

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение snorlov » 2012-01-18 15:12:59

2fast4u писал(а):C группами разобрался а вот то что окошко с вводом пароля и пользователя не выводит вот что плохо, и в squid access.log пишет Denied на любые попытки что либо открыть в интернете ))) шут с ним с окном но почему пользователя не авторизует или авторизует но не пускает хотя он в группе напротив которой стоит allow ....
У вас в IE может стоять интегральная аутенфикация, а поскольку сквид сопряжен с АД, аутенфикация в этом случае прозрачна для пользователя.

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение 2fast4u » 2012-01-28 7:54:32

Спасибо огромное за помощь вроде как с авторизацией разобрался перестало выдавать Доступ запрещен но теперь другие грабли указываю железку раздающую инет как шлюз 192.168.1.12 в resolv.conf указываю nameserver 192.168.1.10 там DNS но домен там другой-- SCI(192.168.1.10) мои пользователи находятся на домене --- DOM(192.168.1.2) .... если указываю в resolv.conf адрес DNS то интернет есть а вот nslookup уже не видит домен DOM тогда не выводится список групп и пользователей и нет авторизации а если наоборот то авторизация есть но нет интернета.

2fast4u
рядовой
Сообщения: 30
Зарегистрирован: 2011-12-08 14:18:53

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение 2fast4u » 2012-02-01 9:42:24

Как всегда все дело в не внимательности и небольшой тонкости в моем случае нужно было в конфиг сквида добавить строчку dns_nameservers 192.168.1.10 без этой строки squid берет данные в resolv.conf а там IP 192.168.1.2. Теперь работает и авторизация и интернет...испытания продолжаются ))

luckyy
проходил мимо
Сообщения: 2
Зарегистрирован: 2013-09-17 16:31:27

Re: kinit succeeded but.. Canno contact any KDC

Непрочитанное сообщение luckyy » 2013-10-21 15:22:54

расскажи как решил? те же грабли:
2fast4u писал(а):C группами разобрался а вот то что окошко с вводом пароля и пользователя не выводит вот что плохо, и в squid access.log пишет Denied на любые попытки что либо открыть в интернете ))) шут с ним с окном но почему пользователя не авторизует или авторизует но не пускает хотя он в группе напротив которой стоит allow ....
2fast4u писал(а):Спасибо огромное за помощь вроде как с авторизацией разобрался перестало выдавать Доступ запрещен но теперь другие грабли указываю железку раздающую инет как шлюз 192.168.1.12 в resolv.conf указываю nameserver 192.168.1.10 там DNS но домен там другой-- SCI(192.168.1.10) мои пользователи находятся на домене --- DOM(192.168.1.2) .... если указываю в resolv.conf адрес DNS то интернет есть а вот nslookup уже не видит домен DOM тогда не выводится список групп и пользователей и нет авторизации а если наоборот то авторизация есть но нет интернета.