Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок
Модераторы: vadim64, terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
BEEn
- рядовой
- Сообщения: 36
- Зарегистрирован: 2014-08-18 17:26:20
Непрочитанное сообщение
BEEn » 2015-05-18 10:07:07
Слетела Kerb авторизация, восстановить не получается... kinit -k HTTP/bsd.org.local проходит на ура, а вот браузеры не авторизирует...
Код: Выделить всё
FreeBSD bsd 10.1-RELEASE-p9 FreeBSD 10.1-RELEASE-p9 #0: Tue Apr 7 01:09:46 UTC 2015 root@amd64-builder.daemonology.net:/usr/obj/usr/src/sys/GENERIC amd64
Код: Выделить всё
Squid Cache: Version 3.5.3
Service Name: squid
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--with-swapdir=/var/squid/cache' '--without-gnutls' '--enable-auth' '--enable-build-info' '--enable-loadable-modules' '--enable-removal-policies=lru heap' '--disable-epoll' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-translation' '--disable-arch-native' '--disable-eui' '--disable-cache-digests' '--disable-delay-pools' '--disable-ecap' '--disable-esi' '--disable-follow-x-forwarded-for' '--enable-htcp' '--disable-icap-client' '--disable-icmp' '--enable-ident-lookups' '--enable-ipv6' '--enable-kqueue' '--without-large-files' '--disable-http-violations' '--without-nettle' '--enable-snmp' '--disable-ssl' '--disable-ssl-crtd' '--disable-stacktraces' '--disable-ipf-transparent' '--disable-ipfw-transparent' '--disable-pf-transparent' '--without-nat-devpf' '--disable-forw-via-db' '--enable-wccp' '--enable-wccpv2' '--with-mit-krb5=/usr/local' 'CFLAGS=-I/usr/local/include -O2 -pipe -I/usr/local/include -I/usr/local/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing' 'LDFLAGS=-L/usr/local/lib -L/usr/local/lib -L/usr/local/lib -pthread -Wl,-rpath,/usr/local/lib:/usr/lib -fstack-protector' 'LIBS=-lkrb5 -lgssapi_krb5 ' '--enable-auth-basic=DB SMB_LM MSNT-multi-domain NCSA PAM POP3 RADIUS fake getpwnam LDAP SASL NIS' '--enable-auth-digest=file' '--enable-external-acl-helpers=file_userip time_quota unix_group LDAP_group kerberos_ldap_group' '--enable-auth-negotiate=kerberos wrapper' '--enable-auth-ntlm=fake smb_lm' '--enable-storeio=ufs aufs diskd' '--enable-disk-io=AIO Blocking IpcIo Mmapped DiskThreads DiskDaemon' '--enable-log-daemon-helpers=file' '--enable-url-rewrite-helpers=fake' '--enable-storeid-rewrite-helpers=file' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=amd64-portbld-freebsd10.1' 'build_alias=amd64-portbld-freebsd10.1' 'CC=cc' 'CPPFLAGS=-I/usr/local/include' 'CXX=c++' 'CXXFLAGS=-O2 -pipe -I/usr/local/include -I/usr/local/include -fstack-protector -DLDAP_DEPRECATED -fno-strict-aliasing ' 'CPP=cpp' --enable-ltdl-convenience
cat squid.conf
Код: Выделить всё
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -i -s HTTP/bsd.org.local
auth_param negotiate children 20
auth_param negotiate keep_alive on
acl auth proxy_auth REQUIRED
http_access allow auth
http_access deny all
логи
Код: Выделить всё
negotiate_kerberos_auth.cc(612): pid=70734 :2015/05/18 08:52:24| negotiate_kerberos_auth: DEBUG: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' from squid (length: 59).
negotiate_kerberos_auth.cc(665): pid=70734 :2015/05/18 08:52:24| negotiate_kerberos_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAbEdAAAADw==' (decoded length: 40).
negotiate_kerberos_auth.cc(675): pid=70734 :2015/05/18 08:52:24| negotiate_kerberos_auth: WARNING: received type 1 NTLM token
2015/05/18 08:52:24 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: received type 1 NTLM token; }}
уже настраивал, работало... но повторить не могу
много манов и конфигов на старых версиях фряхи и сквида... на новых версиях кто-то пробовал настроить?
BEEn
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
ksado.
- проходил мимо
Непрочитанное сообщение
ksado. » 2015-05-22 12:07:40
Добрый день!
Недавно боролся с данной проблемой.
Смотрите в сторону настройки DNS сервера. Обратите внимание на правильность DNS суффикса на клиентской машине.
ksado.
-
BEEn
- рядовой
- Сообщения: 36
- Зарегистрирован: 2014-08-18 17:26:20
Непрочитанное сообщение
BEEn » 2015-05-22 15:48:12
интересно... а что с ним может быть не так? имена разрешаются и туда и обратно... пингую bsd дописывает bsd.org.local всё ок
Код: Выделить всё
C:\Users\b>ipconfig
Настройка протокола IP для Windows
Ethernet adapter Подключение по локальной сети 2:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Ethernet adapter Подключение по локальной сети:
DNS-суффикс подключения . . . . . : ORG.LOCAL
Локальный IPv6-адрес канала . . . : xxxxxxxxxxxxxxxxx
IPv4-адрес. . . . . . . . . . . . : 192.168.0.101
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
Туннельный адаптер isatap.{478303DE-00E9-4B00-A5F8-594798D8AB1A}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . : ORG.LOCAL
Туннельный адаптер isatap.{1118F02F-1CA5-417D-B3AC-30590609B46D}:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . . :
Туннельный адаптер Teredo Tunneling Pseudo-Interface:
Состояние среды. . . . . . . . : Среда передачи недоступна.
DNS-суффикс подключения . . . . .
BEEn
-
ksado.
- проходил мимо
Непрочитанное сообщение
ksado. » 2015-05-25 16:51:36
У меня была следующая проблема:
Есть 2 леса, например "FOREST1.LOCAL" и "FOREST2.LOCAL". Изначально я настраивал керберос аутентификацию для "FOREST1.LOCAL", настроил, все ок. Потом появилась необходимость подключить к этому же прокси пользователей со второго леса "FOREST2.LOCAL". Я получил билетик для кербероса во втором лесу, объединил билетики от первого леса и второго в один keytab файл, немного подправил krb5.conf и конфиг сквида. И у меня получилась такая ситуация, когда пользователи с первого леса ходили в интернет нормально, а для пользователей со второго леса выскакивало окошко аутентификации и в логах сквида была точно такая же ошибка, как и у Вас. А именно попытка аутентификации по NTLM.
Проблема оказалась в неправильном присвоении DNS суффикса для пользователей во втором лесу. (Так вышло, что тестовая машинка, которую я использовал для теста с леса FOREST2.LOCAL, получала IP по DHCP с сервера, который находится в первом лесу, как следствие там же она и получала не правильный DNS суфикс).
ksado.
-
ksado.
- проходил мимо
Непрочитанное сообщение
ksado. » 2015-05-25 16:55:05
И еще.
Попробуйте в конфиге сквида использовать
Код: Выделить всё
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -r -i -s GSS_C_NO_NAME
вместо
Код: Выделить всё
auth_param negotiate program /usr/local/libexec/squid/negotiate_kerberos_auth -d -i -s HTTP/bsd.org.local
ksado.
-
BEEn
- рядовой
- Сообщения: 36
- Зарегистрирован: 2014-08-18 17:26:20
Непрочитанное сообщение
BEEn » 2015-05-26 0:38:29
для теста попробовал на чубунте... так же не заработало, но ошибка правда другая
а вот с GSS_C_NO_NAME стало нормально авторизовать... на терминальном сервере всё пробито ручками, а машинка со сквидом всё получает по DHCP (всё перепроверю отпишусь)
пока на bsd не проверял...
BEEn
-
BEEn
- рядовой
- Сообщения: 36
- Зарегистрирован: 2014-08-18 17:26:20
Непрочитанное сообщение
BEEn » 2015-06-03 14:14:35
после добавление правильного суффикса и ipconfig /flushdns заработало
BEEn
-
Sindikat88
- мл. сержант
- Сообщения: 138
- Зарегистрирован: 2010-09-02 15:07:54
-
Контактная информация:
Непрочитанное сообщение
Sindikat88 » 2015-07-22 13:41:03
BEEn писал(а):после добавление правильного суффикса и ipconfig /flushdns заработало
Подскажите, какой правильный суффикс должен быть?
Sindikat88
-
BEEn
- рядовой
- Сообщения: 36
- Зарегистрирован: 2014-08-18 17:26:20
Непрочитанное сообщение
BEEn » 2015-07-22 17:22:40
если на хосте пробит ip ручками то в свойствах сетевого подключения ставим галку "Дописывать основной DNS-суффикс" и галку "добавлять родительские суффиксы" в поле "DNS-суффикс подключения" пишем "MY.DOMAIN.LOCAL"
BEEn