Авторизация Squid и 2 DC

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Авторизация Squid и 2 DC

Непрочитанное сообщение kharkov_max » 2009-11-12 8:28:16

День добрый.

Подскажите пожалуйста как быть....

Есть контролер домена DC1, есть дополнительный контролер домена DC2.
Есть Freebsd 7.2, Squid и настроеная авторизация через samba (winbind) с DC1.

Каким образом можно прикрутить к авторизации DC2? (т.к. при перезагрузке DC1 отваливается инет у пользователей)
Т.е если недоступен DC1 winbind ищет пользователей на DC2.

Заранее спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение ---nebo--- » 2009-11-12 15:25:43

а почему бы вам не отдать пользователям DC1, а сквид авторизить на DC2?

для переключения на другой DC вам необходимо изменить настройки в krb5.conf и рестартануть самбу, это можно осуществить скриптом
...участки под застройку в живописном месте Интернет

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение kharkov_max » 2009-11-12 17:19:42

---nebo--- писал(а):а почему бы вам не отдать пользователям DC1, а сквид авторизить на DC2?
для переключения на другой DC вам необходимо изменить настройки в krb5.conf и рестартануть самбу, это можно осуществить скриптом
Спасибо.
А krb5 не поймет если указать 2 DC ?
Не хочется скриптом, слишком сложно как-то, нет более простого метода ?

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение arkan » 2009-11-12 18:03:47

Была у меня подобная трабла
если в krb5.conf указать два или несколько DC (как у меня) то сквидяра хоть и авторизует но до поры до времяни
тоесть очень често отваливалась авторизация
Решил всю эту проблемму сменив способ авторизации на NCSA
:Yahoo!: :Yahoo!: :Yahoo!: полет отличный

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение ---nebo--- » 2009-11-12 18:13:46

А krb5 не поймет если указать 2 DC ?
посмотрите

Код: Выделить всё

http://hell.org.ua/index.php?name=News&file=article&sid=20
там автор использует несколько DC одновременно.
Проверете у себя на воможность использования нескольких контроллеров, поведение при выходе одного из строя, отпишитесь по результатам, будет интересно. :smile:
...участки под застройку в живописном месте Интернет

Аватара пользователя
---nebo---
старшина
Сообщения: 424
Зарегистрирован: 2008-11-01 21:06:23
Откуда: Киев
Контактная информация:

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение ---nebo--- » 2009-11-12 18:18:44

arkan писал(а):Была у меня подобная трабла
если в krb5.conf указать два или несколько DC (как у меня) то сквидяра хоть и авторизует но до поры до времяни
тоесть очень често отваливалась авторизация
Решил всю эту проблемму сменив способ авторизации на NCSA
:Yahoo!: :Yahoo!: :Yahoo!: полет отличный
а на сколько это решение проблемы? это больше похоже на изворот :smile:
Если у вас вся информация о пользователях хранится в AD, тем более если все красиво структурировано, груповые политики. Есть смысл авторизировать в AD не только пользователей прокси, но и почты .... машин на винде(соответственно) и на юнихах(если есть). Короче единое хранилище пользовательской информации.
...участки под застройку в живописном месте Интернет

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение kharkov_max » 2009-11-13 0:02:04

---nebo--- писал(а):
А krb5 не поймет если указать 2 DC ?
посмотрите

Код: Выделить всё

http://hell.org.ua/index.php?name=News&file=article&sid=20
там автор использует несколько DC одновременно.
Проверете у себя на воможность использования нескольких контроллеров, поведение при выходе одного из строя, отпишитесь по результатам, будет интересно. :smile:
Комбинация:

Код: Выделить всё

DOMAIN.LOCAL = {
                kdc = dc1.DOMAIN.LOCAL:88
                kdc = dc2.DOMAIN.LOCAL:88
                admin_server = dc1.DOMAIN.LOCAL
                default_domain = DOMAIN.LOCAL
        }
        OTHER.REALM = {
                v4_instance_convert = {
                        kerberos = kerberos
                        computer = dc1.DOMAIN.LOCAL
                }
Не помогла...
После получения билета, перезагрузки шлюза и выключения DC1 инет отвалился.
Не хочется потерять решение данной небольшой проблемы, если у кого есть выарианты решения отпишитесь пожалуйста.
Еще раз спасибо...

Burner
лейтенант
Сообщения: 693
Зарегистрирован: 2009-06-14 7:02:26

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение Burner » 2009-11-13 0:16:53

Не думаю, что проблема в керберосе. Делал авторизацию через винбинд в домене с двумя 2 КД, при перезагрузке ближайшего отваливалась. В логах самбы было видно, что винбинд проверяет только тот КД, который в том же сайте, что и сервер. Возможно, если оба контроллера в одном сайте, то будет работать, в разных у меня не получилось.

Аватара пользователя
kharkov_max
капитан
Сообщения: 1811
Зарегистрирован: 2008-10-03 14:56:40

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение kharkov_max » 2009-11-13 15:49:36

kharkov_max писал(а):
---nebo--- писал(а):
А krb5 не поймет если указать 2 DC ?
посмотрите

Код: Выделить всё

http://hell.org.ua/index.php?name=News&file=article&sid=20
там автор использует несколько DC одновременно.
Проверете у себя на воможность использования нескольких контроллеров, поведение при выходе одного из строя, отпишитесь по результатам, будет интересно. :smile:
Комбинация:

Код: Выделить всё

DOMAIN.LOCAL = {
                kdc = dc1.DOMAIN.LOCAL:88
                kdc = dc2.DOMAIN.LOCAL:88
                admin_server = dc1.DOMAIN.LOCAL
                default_domain = DOMAIN.LOCAL
        }
        OTHER.REALM = {
                v4_instance_convert = {
                        kerberos = kerberos
                        computer = dc1.DOMAIN.LOCAL
                }
Не помогла...
После получения билета, перезагрузки шлюза и выключения DC1 инет отвалился.
Не хочется потерять решение данной небольшой проблемы, если у кого есть выарианты решения отпишитесь пожалуйста.
Еще раз спасибо...
Решил свою делему так.
В smb.conf параметр password server = *. Пишут что вроде ищет все сервера паролей домена.
У меня security = ads.
http://smb-conf.ru/password-server-g.html
Проверил, вроде работает....

Так что всем спасибо ....

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение arkan » 2009-11-13 18:24:41

---nebo--- писал(а):а на сколько это решение проблемы? это больше похоже на изворот :smile:
Если у вас вся информация о пользователях хранится в AD, тем более если все красиво структурировано, груповые политики. Есть смысл авторизировать в AD не только пользователей прокси, но и почты .... машин на винде(соответственно) и на юнихах(если есть). Короче единое хранилище пользовательской информации.
Изврат не изврат но авторизация сквидя в AD это самое настоящее нарушение правил информационной безопасности так как любой троян проходит мимо сквидяры как положенно
Проверенно......

А вот обойти авторизацию по логину и пассу NCSA который даже запомнить в браузере нету возможности вот это факт

snorlov
подполковник
Сообщения: 3839
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Авторизация Squid и 2 DC

Непрочитанное сообщение snorlov » 2009-11-14 0:42:47

arkan писал(а): Изврат не изврат но авторизация сквидя в AD это самое настоящее нарушение правил информационной безопасности так как любой троян проходит мимо сквидяры как положенно
Проверенно......
Можно поспорить, поскольку уже сам факт попадания на комп трояна....