Авторизация Squid и 2 DC

[kharkov_max]

День добрый.

Подскажите пожалуйста как быть....

Есть контролер домена DC1, есть дополнительный контролер домена DC2.
Есть Freebsd 7.2, Squid и настроеная авторизация через samba (winbind) с DC1.

Каким образом можно прикрутить к авторизации DC2? (т.к. при перезагрузке DC1 отваливается инет у пользователей)
Т.е если недоступен DC1 winbind ищет пользователей на DC2.

Заранее спасибо.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[---nebo---]

а почему бы вам не отдать пользователям DC1, а сквид авторизить на DC2?

для переключения на другой DC вам необходимо изменить настройки в krb5.conf и рестартануть самбу, это можно осуществить скриптом

[kharkov_max]

а почему бы вам не отдать пользователям DC1, а сквид авторизить на DC2?
для переключения на другой DC вам необходимо изменить настройки в krb5.conf и рестартануть самбу, это можно осуществить скриптом

Спасибо.
А krb5 не поймет если указать 2 DC ?
Не хочется скриптом, слишком сложно как-то, нет более простого метода ?

[arkan]

Была у меня подобная трабла
если в krb5.conf указать два или несколько DC (как у меня) то сквидяра хоть и авторизует но до поры до времяни
тоесть очень често отваливалась авторизация
Решил всю эту проблемму сменив способ авторизации на NCSA
полет отличный

[---nebo---]

А krb5 не поймет если указать 2 DC ?

посмотрите

Код: Выделить всё

http://hell.org.ua/index.php?name=News&file=article&sid=20

там автор использует несколько DC одновременно.
Проверете у себя на воможность использования нескольких контроллеров, поведение при выходе одного из строя, отпишитесь по результатам, будет интересно.

[---nebo---]

Была у меня подобная трабла
если в krb5.conf указать два или несколько DC (как у меня) то сквидяра хоть и авторизует но до поры до времяни
тоесть очень често отваливалась авторизация
Решил всю эту проблемму сменив способ авторизации на NCSA
полет отличный

а на сколько это решение проблемы? это больше похоже на изворот
Если у вас вся информация о пользователях хранится в AD, тем более если все красиво структурировано, груповые политики. Есть смысл авторизировать в AD не только пользователей прокси, но и почты .... машин на винде(соответственно) и на юнихах(если есть). Короче единое хранилище пользовательской информации.

[kharkov_max]

А krb5 не поймет если указать 2 DC ?

посмотрите

Код: Выделить всё

http://hell.org.ua/index.php?name=News&file=article&sid=20

там автор использует несколько DC одновременно.
Проверете у себя на воможность использования нескольких контроллеров, поведение при выходе одного из строя, отпишитесь по результатам, будет интересно.

Комбинация:

Код: Выделить всё

DOMAIN.LOCAL = {
                kdc = dc1.DOMAIN.LOCAL:88
                kdc = dc2.DOMAIN.LOCAL:88
                admin_server = dc1.DOMAIN.LOCAL
                default_domain = DOMAIN.LOCAL
        }
        OTHER.REALM = {
                v4_instance_convert = {
                        kerberos = kerberos
                        computer = dc1.DOMAIN.LOCAL
                }

Не помогла...
После получения билета, перезагрузки шлюза и выключения DC1 инет отвалился.
Не хочется потерять решение данной небольшой проблемы, если у кого есть выарианты решения отпишитесь пожалуйста.
Еще раз спасибо...

[Burner]

Не думаю, что проблема в керберосе. Делал авторизацию через винбинд в домене с двумя 2 КД, при перезагрузке ближайшего отваливалась. В логах самбы было видно, что винбинд проверяет только тот КД, который в том же сайте, что и сервер. Возможно, если оба контроллера в одном сайте, то будет работать, в разных у меня не получилось.

[kharkov_max]

А krb5 не поймет если указать 2 DC ?

посмотрите

Код: Выделить всё

http://hell.org.ua/index.php?name=News&file=article&sid=20

там автор использует несколько DC одновременно.
Проверете у себя на воможность использования нескольких контроллеров, поведение при выходе одного из строя, отпишитесь по результатам, будет интересно.

Комбинация:

Код: Выделить всё

DOMAIN.LOCAL = {
                kdc = dc1.DOMAIN.LOCAL:88
                kdc = dc2.DOMAIN.LOCAL:88
                admin_server = dc1.DOMAIN.LOCAL
                default_domain = DOMAIN.LOCAL
        }
        OTHER.REALM = {
                v4_instance_convert = {
                        kerberos = kerberos
                        computer = dc1.DOMAIN.LOCAL
                }

Не помогла...
После получения билета, перезагрузки шлюза и выключения DC1 инет отвалился.
Не хочется потерять решение данной небольшой проблемы, если у кого есть выарианты решения отпишитесь пожалуйста.
Еще раз спасибо...

Решил свою делему так.
В smb.conf параметр password server = *. Пишут что вроде ищет все сервера паролей домена.
У меня security = ads.
http://smb-conf.ru/password-server-g.html
Проверил, вроде работает....

Так что всем спасибо ....

[arkan]

а на сколько это решение проблемы? это больше похоже на изворот
Если у вас вся информация о пользователях хранится в AD, тем более если все красиво структурировано, груповые политики. Есть смысл авторизировать в AD не только пользователей прокси, но и почты .... машин на винде(соответственно) и на юнихах(если есть). Короче единое хранилище пользовательской информации.

Изврат не изврат но авторизация сквидя в AD это самое настоящее нарушение правил информационной безопасности так как любой троян проходит мимо сквидяры как положенно
Проверенно......

А вот обойти авторизацию по логину и пассу NCSA который даже запомнить в браузере нету возможности вот это факт

[snorlov]

Изврат не изврат но авторизация сквидя в AD это самое настоящее нарушение правил информационной безопасности так как любой троян проходит мимо сквидяры как положенно
Проверенно......

Можно поспорить, поскольку уже сам факт попадания на комп трояна....