squid+ad2008\kerberos+ldap и win7\ie8

[Dmitry82]

При создании krb5.keytab вот еще что выходит:

Код: Выделить всё

server1# net ads keytab CREATE
Warning: "kerberos method" must be set to a keytab method to use keytab functions.
server1# net ads keytab ADD HTTP
Warning: "kerberos method" must be set to a keytab method to use keytab functions.
Processing principals to add...

Это номрально ?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Stason]

вчера интереса ради попробовал ещё раз сгенерировать кейтаб средствами винды...

Ни как не доходят руки до попробовать, как попробую, отпишусь, кстати делает ли ldapsearch?

[opt1k]

не могу сказать точно, у меня этот warning всегда выскакивает, гугл про него ничего не знает. Нормальной работе никак не мешает.
А проблема может быть где угодно. покажите ваш конфиг сквида, может там что-то неверно, ведь он у вас отличается от моего.

[Dmitry82]

Воть.

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth
auth_param negotiate children 5
auth_param negotiate keep_alive on

acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
#
# Example rule allowing access from your local networks.
# Adapt to list your (internal) IP networks from where browsing
# should be allowed
acl localnet src 10.0.0.0/8<---># RFC1918 possible internal network
acl localnet src 172.16.0.0/12<># RFC1918 possible internal network
acl localnet src 192.168.0.0/16># RFC1918 possible internal network
#
acl SSL_ports port 443
acl Safe_ports port 80<><------># http
acl Safe_ports port 21<><------># ftp
acl Safe_ports port 443><------># https
acl Safe_ports port 70<><------># gopher
acl Safe_ports port 210><------># wais
acl Safe_ports port 1025-65535<># unregistered ports
acl Safe_ports port 280><------># http-mgmt
acl Safe_ports port 488><------># gss-http
acl Safe_ports port 591><------># filemaker
acl Safe_ports port 777><------># multiling http
acl CONNECT method CONNECT

acl AUTHENTICATED proxy_auth REQUIRED

http_access allow AUTHENTICATED
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
http_access allow localnet

# And finally deny all other access to this proxy
http_access deny all

icp_access allow localnet
icp_access deny all

http_port 3128

acl shoutcast rep_header X-HTTP09-First-Line ^ICY.[0-9]
upgrade_http0.9 deny shoutcast

Выложил все, на всяк случай..

[opt1k]

конфиг вроде впорядке, но на всякий случай, вот примерно таким минимальным конфигом я раньше проверял работу керберос аутентификатора:

Код: Выделить всё

http_port 3128
cache_dir ufs /usr/squid/cache 8000 8 64
access_log /var/log/squid/access.log squid

auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on

acl AUTHENTICATED proxy_auth REQUIRED

acl localnet src 192.168.0.0/24
http_access allow AUTHENTICATED localnet
http_access deny all

попробуйте.

[Dmitry82]

Не работает

[opt1k]

Код: Выделить всё

acl localnet src 192.168.0.0/24

адрес меняли на свой?
версия ОС сервера, клиента.
Какой браузер и версия?

[Dmitry82]

Такой же диапазон, такая же маска.
Win2003R2/FreeBSD 8.1/XP.
IE 7, 8.

[allways]

Dmitry82, проверь создались ли записи в DNS для машины со сквидом и каким образом прописываешь адрес прокси-сервера в браузере?

[Dmitry82]

В DNS запись создавал.
Адрес прокси прописывал IP последний раз по имени.
Не получается.

[allways]

Вообще такая схема не работает с IP, проверяй везде соответствие имен, проблема скорее всего в этом.

[Dmitry82]

Т.е. Запись DNS должна соответствовать хостнейм + домен сервера? В браузере только по имени? Что еще проверить, вдруг что из головы вылетело.

[rgarazd]

Не совсем понятно как можно проверить работоспособность
#сл. три строки - аутентификатор

Код: Выделить всё

auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth
Из access.log видно, что имя пользователя не подставляеться

поиск принадлежности пользователя группе проходит.

[Dmitry82]

Подожди. Не сразу ведь группе то? А если я хочу всех авторизованных пользователей пускать. Он полюбому должен пользователя возвращать.

[kilkeny]

Добрый день.
Настроил samba и heimdal по статье. До squid еще не добрался, так как не смог заставить нормально работать Самбу.
Первый раз столкнулся с доменом на Win server 2008. Домен в режиме 2008.
kinit отработал нормально. Keytab создался.

Код: Выделить всё

root@gw:~ # setenv KRB5_KTNAME FILE:/etc/krb5.keytab
root@gw:~ # net ads keytab CREATE
Warning: "kerberos method" must be set to a keytab method to use keytab functions.
root@gw:~ # net ads keytab ADD HTTP

Warning: "kerberos method" must be set to a keytab method to use keytab functions.
Processing principals to add...

Код: Выделить всё

root@gw:~ # klist
Credentials cache: FILE:/tmp/krb5cc_0
        Principal: admin@RS.LOCAL

  Issued           Expires          Principal
Apr  8 14:02:10  Apr  8 16:50:10  krbtgt/ RS.LOCAL@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL
Apr  8 14:02:48  Apr  8 16:50:10  ldap/rs-dc.rs.local@RS.LOCAL

Машина вошла в домен сразу.
Но предоставить доступ к шарам самбы для доменных пользователей не могу.

В логе вот что:

Код: Выделить всё

root@gw:~ # tail /var/log/samba/log.192.168.1.2 
[2011/04/08 14:06:05.718931,  1] smbd/service.c:678(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2011/04/08 14:06:05.721381,  1] smbd/service.c:678(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2011/04/08 14:06:09.511178,  1] smbd/service.c:678(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2011/04/08 14:06:09.512294,  1] smbd/service.c:678(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2011/04/08 14:06:09.515208,  1] smbd/service.c:678(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED

Код: Выделить всё

root@gw:~ # wbinfo -u
гость
krbtgt
администратор
admin
...

Код: Выделить всё

# wbinfo -g
компьютеры домена
издатели сертификатов
пользователи домена
гости домена
серверы ras и ias
администраторы домена
администраторы схемы
администраторы предприятия
admins
...

Вот конфиг самбы:

Код: Выделить всё

[global]
   workgroup = RS
   server string = Proxy Server
   netbios name = SERVER
   security = ads
   hosts allow = 192.168.1. 192.168.22. 127.
   load printers = no
   log file = /var/log/samba/log.%m
   max log size = 50
   password server = rs-dc.rs.local
   realm = RS.LOCAL
   interfaces = 192.168.1.1/24
   local master = no
   os level = 33
   domain master = no
   preferred master = no
   domain logons = no
   wins server = rs-dc.rs.local
   dns proxy = no 
   display charset = utf8
   unix charset = utf8
   dos charset = utf8
   nt acl support = yes
   inherit acls = yes
   map acl inherit = yes 
   auth methods = winbind
   encrypt passwords = yes
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   winbind separator = +
   winbind enum users = yes
   winbind enum groups = yes
   winbind use default domain = yes
   disable spoolss = yes
   show add printer wizard = no

[files]
   comment = Files Storage
   path = /home/samba/files
   valid users = "@admins"
   browseable = yes
   printable = no
   write list = "@admins"

[backup]
   comment = BackUp Storage
   path = /home/samba/backup
   valid users = "@admins"
   browseable = yes
   printable = no
   write list = "@admins"

Вот конфиг kerberos

Код: Выделить всё

# cat /etc/krb5.conf 
[libdefaults]
        default_realm = RS.LOCAL
	clockskew = 300
	dns_lookup_kdc = no
	dns_lookup_realm = no
	default_keytab_name = /etc/krb5.keytab

default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
	
[realms]
	RS.LOCAL = {
		kdc = rs-dc.rs.local
		admin_server = rs-dc.rs.local
		default_domain = rs.local
	}
[domain_realm]
	.rs.local = RS.LOCAL
	rs.local = RS.LOCAL

[rgarazd]

Подскажите пожалуйста в чем проблема может быть?
Аутентификация не проходит с squid_kerb_auth
LDAP получает данные с АД нормально
cache.log вот что пишет

Код: Выделить всё

2011/04/08 14:07:51| squid_kerb_auth: WARNING: received type 1 NTLM token
2011/04/08 14:07:51| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
2011/04/08 14:07:52| squid_kerb_auth: DEBUG: Got 'YR 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' from squid (length: 2059).
2011/04/08 14:07:52| squid_kerb_auth: DEBUG: Decode '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' (decoded length: 1540).
2011/04/08 14:07:52| squid_kerb_auth: ERROR: gss_acquire_cred() failed:  No credentials were supplied, or the credentials were unavailable or inaccessible.. unknown mech-code 0 for mech unknown

[rgarazd]

Помогите пожалуйста разобраться.

Код: Выделить всё

/usr/local/libexec/squid/squid_kerb_auth_test MY-PROHY

2011/04/09 23:40:28| squid_kerb_auth_test: gss_init_sec_context() failed: An unsupported mechanism was requested. unknown mech-code 0 for mech unknown
Token: NULL

если вместо MY-PROHY указать имя любой другой машини с домена, то результат

Код: Выделить всё

/usr/local/libexec/squid/squid_kerb_auth_test OTHERWORKSTATION

Token: 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

На сколько я понимаю эти все ошибки в этой ветке из-за того, что машина с FreeBSD MY-PROHY не может получить kerberos билет.
Или я не прав? Уже все форумы перечитал, не могу решить проблему. Возможно что-то не так с /etc/krb5.conf

Контролер Windows 2008 R2 SP1, но поскольку есть дублирующий Windows 2003, то режим работы домена 2003.

Установленые версии:


FreeBSD 8.2, Samba35,

Код: Выделить всё

MY-PROHY# squid -v

Squid Cache: Version 3.1.10
configure options: '--with-default-user=squid' '--bindir=/usr/local/sbin' '--sbindir=/usr/local/sbin' '--datadir=/usr/local/etc/squid' '--libexecdir=/usr/local/libexec/squid' '--localstatedir=/var/squid' '--sysconfdir=/usr/local/etc/squid' '--with-logdir=/var/log/squid' '--with-pidfile=/var/run/squid/squid.pid' '--enable-removal-policies=lru heap' '--disable-linux-netfilter' '--disable-linux-tproxy' '--disable-epoll' '--disable-translation' '--enable-auth=basic digest negotiate ntlm' '--enable-basic-auth-helpers=DB NCSA PAM MSNT SMB squid_radius_auth LDAP YP' '--enable-digest-auth-helpers=password ldap' '--enable-external-acl-helpers=ip_user session unix_group wbinfo_group ldap_group' '--enable-ntlm-auth-helpers=smb_lm' '--enable-negotiate-auth-helpers=squid_kerb_auth' '--enable-storeio=ufs diskd aufs' '--enable-disk-io=AIO Blocking DiskDaemon DiskThreads' '--disable-ecap' '--disable-loadable-modules' '--enable-kqueue' '--disable-optimizations' '--prefix=/usr/local' '--mandir=/usr/local/man' '--infodir=/usr/local/info/' '--build=i386-portbld-freebsd8.2' 'build_alias=i386-portbld-freebsd8.2' 'CC=cc' 'CFLAGS=-pipe -I/usr/local/include -g -DLDAP_DEPRECATED' 'LDFLAGS= -L/usr/local/lib' 'CPPFLAGS=' 'CXX=c++' 'CXXFLAGS=-pipe -I/usr/local/include -g -DLDAP_DEPRECATED' 'CPP=cpp' --with-squid=/usr/ports/www/squid31/work/squid-3.1.10 --enable-ltdl-convenience

Код: Выделить всё

MY-PROHY# kinit --version

kinit (Heimdal 1.1.0)
Copyright 1995-2008 Kungliga Tekniska HЖgskolan
Send bug-reports to heimdal-bugs@h5l.org
[/i]

[Dmitry82]

В общем все перепроверил, перенастроил.
Даже проверил

Код: Выделить всё

./squid_kerb_auth_test proxy
Token: YIIFjAYGKwYBBQUCoIIFgDCCBXygDTALBgkqhkiG9xIBAgKiggVpBIIFZWCCBWEGCSqGSIb3EgECAgEAboIFUDCCBUygAwIBBaEDAgEOogcDBQAAAAAAo4IETmGCBEowggRGoAMCAQWhCBsGVEJNLlJVohkwF6ADAgEDoRAwDhsESFRUUBsGcHJveHkyo4IEGDCCBBSgAwIBF6EDAgEDooIEBgSCBAJx4cSh/LYQJlli0/BJ/+ZJ56CSSJ2ModFdKORDvWI/315Q+xQLE4bQDEcNGDfDiSGin6ZMiOD0H/3Sk8HZtnqedZpmks4OKyy7o8nrfY7LftkEnfnzCR5nvKiIusK8CAa4V/xcuXcCEh7P1h5

И т.п. На проксю ломлюсь по имени. В чем еще может быть проблема ?

[Dmitry82]

Ситуация следующая. Работает, НО.
У меня ХР 8 IE - не работает.
На FF4 у меня работает.
У другого чла, ХР и IE 8 - работает.
Чо за фигня

[sidney]

прокси на линуксе, делал по этому гайду: http://blog.ronix.net.ua/2008/08/squidk ... ctory.html
керберос упорно не хочет работать, в логах прокси получает NTLM:

Код: Выделить всё

2011/11/22 17:36:04| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==' from squid (length: 59).
2011/11/22 17:36:04| squid_kerb_auth: parseNegTokenInit failed with rc=101
2011/11/22 17:36:04| squid_kerb_auth: received type 1 NTLM token
2011/11/22 17:36:07| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==' from squid (length: 59).
2011/11/22 17:36:07| squid_kerb_auth: parseNegTokenInit failed with rc=101
2011/11/22 17:36:07| squid_kerb_auth: received type 1 NTLM token
2011/11/22 17:36:09| squid_kerb_auth: Got 'YR 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' from squid (length: 1887).
2011/11/22 17:36:09| squid_kerb_auth: parseNegTokenInit failed with rc=102
2011/11/22 17:36:09| squid_kerb_auth: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information.

последний запрос это ie8, а остальные ff6

подскажите, в каком направлении хотя бы копать?

[sidney]

осилил спустя полтора дня мозгового штурма, слишком много нюансов, которые в гайдах не везде указываются:
у клиента системное время должно соответствовать прокси и КД
в условиях win2008 нужно для mapuser разрешить использовать des шифрование, что бы тикет опознался как родной
в настройках прокси нужно указывать прокси как fqdn, а не ip адрес
необходимо для krb наличие обратной и прямой зоны для сквида

[snorlov]

Статью напиши...

[sidney]

найдут, кому надо, а описать все такие детали все равно не выйдет
кстати, если виндовс в упор не хочет использовать керберос, как в моем примере выше, то не хватает банального релогина клиента на вин-машине

[mc-sim]

1)существует способ создания кейтаба без установки самбы, если кто то знает
как точно это делается - пожалуйста, сообщите мне.

Сообщаю. В венде существует отличная утилитка ktpass (в 2008 идет в комплекте, в 2003 идет на лиске в system-tools). Как пользоваться отлично описано тут.

[G0LDEN_key]

Самба для работы сквид+кербаус+ЛДАП вообще не нужна.

Китаб ИМХО надёжнее всего генерить msktutil -- An Active Directory Keytab Manager,
причём версии не ниже 4х!!!

http://fuhm.net/software/msktutil/

Процедура проста:

0. тянем и собираем msktutil
1. kdestroy
2. kinit Administrator
3. Выполняем скриптик

Код: Выделить всё

#!/bin/sh                                                                                                                                     
                                                                                                                                              
SHORT_HOSTNAME="`hostname -s`"
domain_lc="`hostname -d`"
DOMAIN_UC="`echo $domain_lc | tr [:lower:] [:upper:]`"
YOUR_AD_SERVER_FQDN="[i]здесь прописать fqdn доменконтроллера, типа: ad.local.net[/i]"
                                                                                                                                              
msktutil -c -b "CN=COMPUTERS" \
-s HTTP/$SHORT_HOSTNAME.$domain_lc \
-h $SHORT_HOSTNAME.$domain_lc \
-k /etc/squid/$SHORT_HOSTNAME.keytab \
--computer-name $SHORT_HOSTNAME \
--upn HTTP/$SHORT_HOSTNAME.$domain_lc \
--server $YOUR_AD_SERVER_FQDN \
--verbose --enctypes 28
                                                                                                                                              
chmod 600 /etc/squid/$SHORT_HOSTNAME.keytab
chown squid:squid /etc/squid/$SHORT_HOSTNAME.keytab

4. Теперь

Код: Выделить всё

kinit -A -k -t /etc/squid/SHORT_HOSTNAME.keytab \ 
HTTP/SHORT_HOSTNAME.your.domain.name@YOUR.DOMAIN.NAME

И вперед!

ВАЖНО: your.domain.name - FQDN мелкими буквами (lower case), a YOUR.DOMAIN.NAME - заглавными (upper case)



И ещё:
Для тех, кто хочет свободно искать принадлежность к группе по веткам АД (особенно косвенная принадлежность, вложенная), стоит обратить внимание на 1.2.840.113556.1.4.1941 , оно же LDAP_MATCHING_RULE_IN_CHAIN, это мелкомягкие так облегчают нам труд.

This rule is limited to filters that apply to the DN. This is a special "extended match operator that walks the chain of ancestry in objects all the way to the root until it finds a match.

http://msdn.microsoft.com/en-us/library ... s.85).aspx


Пример:

Код: Выделить всё

external_acl_type ldapgrp children=30 %LOGIN /usr/lib64/squid/squid_ldap_group -R \
        -b "dc=my,dc=local,dc=net" \
        -f "(&(memberof:1.2.840.113556.1.4.1941:=cn=%a,ou=например_ProxyServer,ou=например_Services,ou=оушка,ou=ещё_оушка,dc=my,dc=local,dc=net)(sAMAccountName=%v)(objectClass=person))" \              
        -D squid_ldap@my.local.net \
        -W /etc/squid/adpw.txt \
        -K \
        -h mydomaincontroller.my.local.net

Естественно должен быть заведён доменный юзер squid_ldap с соотв. правами и его пароль должен быть прописан в файле /etc/squid/adpw.txt