squid+ad2008\kerberos+ldap и win7\ie8

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение opt1k » 2010-04-29 13:56:33

небольшая заметка как это сделал я:
http://www.lissyara.su/?id=2101

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение terminus » 2010-04-29 14:11:53

О, козырно! мне что-то такое надо будет скоро сделать, но я еще не решил отказываться ли от ntlm или включать его насильно. соответсвенно и выбор между ntlm и kerberos.

Ну это так...
Есть вопрос про аутентификация юзеров - она ведь происхождит прозрачно? Юзеру не показывается окошко "введи лонин/пароль"?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение opt1k » 2010-04-29 14:21:44

конечно, прозрачно

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Al » 2010-04-29 15:01:02

В объяснениях,имхо,лучше разделить четче маханизмы аутентификации и авторизации.
Зы. для авторизации в ад не пробовал делать самописный скрипт? Я у одного заказчика особо не разбирался, аутентификацию - по ип, авторизация - в лдапе (им просто надо было по группам в какой-никакой базе держать) через екстернал акль. По сути, ад тот же лдап+керберос с накрутками

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Al » 2010-04-29 15:01:51

Да, полезно,думаю, будет многим. Публикуй,штоль.

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Al » 2010-04-29 15:03:54

Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?

fuckER
проходил мимо

squid+ad2003\kerberos

Непрочитанное сообщение fuckER » 2010-06-27 9:26:07

- Win2003, на виртуалке
- сделал практически все как в статье, сделал коррективы для win2003 согласно статьи на вики сквида.
- кейтабы создал без самбы, по примерам из других статей, причем удалось без ошибок и предупреждений (но на сервере в списке билетов (через kerbtray) нет моего)
- kinit успешно
- ff 3.6.4
- поиск описания ошибки squid_kerb_auth: parseNegTokenInit failed with rc=101 не дал мне полезной информации
- тестирую с самой win2003

При запросе от браузера в логах:

2010/06/27 12:11:29| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==' from squid (length: 59).
2010/06/27 12:11:29| squid_kerb_auth: parseNegTokenInit failed with rc=101
2010/06/27 12:11:29| squid_kerb_auth: received type 1 NTLM token

Полагаю дело в шифровке/дешифровке учетных данных, но.....

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение opt1k » 2010-08-25 16:40:27

да, в 2003 отличие в строке поиска для ldap. Я тоже научился создавать тикеты без самбы, в самой винде. Только этот тикет сквид под фряхой не принимает. Хотя по линуксом данный тике принялся без проблем. Поэтому на фряхе пока обязательно ставить самбу для генерации тикета. Еще месяца два назад хотел написать баг репорт, но лень...
И важно - из под самой 2003 винды у меня не заработало, заработало на клиенте вин хп.

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение opt1k » 2010-08-25 16:47:42

Al писал(а):Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?
самба для генерации кейтаба. Кейтаб содержит логин и пароль для связи с сервером kerberos ну или что то в этом духе :).

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение princeps » 2010-08-26 11:41:21

opt1k молодец, таки добил керберос
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35283
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Alex Keda » 2010-08-26 13:28:21

opt1k писал(а):
Al писал(а):Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?
самба для генерации кейтаба. Кейтаб содержит логин и пароль для связи с сервером kerberos ну или что то в этом духе :).
вы бы всё-таки разобрались, зачем =)
Убей их всех! Бог потом рассортирует...

/bin/sh
проходил мимо

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение /bin/sh » 2010-10-26 20:25:58

Делал по статье

Код: Выделить всё

AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token' 
В логах сквида такая ошибка не подскажите в чем может быть причина? Уже заново переделал все, итог 0.

Sucht
проходил мимо
Сообщения: 2
Зарегистрирован: 2010-10-27 12:31:39

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Sucht » 2010-10-27 12:38:59

Код: Выделить всё

AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
У меня точно такая же проблема.

Код: Выделить всё

AD на Win Server 2008 R2 Entrprise
FreeBSD (шлюз с прокси):

Код: Выделить всё

FreeBSD gate_serv 7.2-RELEASE FreeBSD 7.2-RELEASE #1: Tue Aug 24 13:37:48 MSD 2010     root@gate_ser
v:/usr/obj/usr/src/sys/gate_17  i386
Также стоят:
squid-3.1.4_1
samba34-3.4.8

Делал по статье.
Поиск по LDAP в AD работает. Шлюзовая машина в домене.
в ipfw добавлено правило для редиректа запросов к сквиду.
Добавлено в squid.conf

Код: Выделить всё

http_port 3128 accel vhost vport allow-direct
иначе он не правильно обрабатывает URL

Sucht
проходил мимо
Сообщения: 2
Зарегистрирован: 2010-10-27 12:31:39

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Sucht » 2010-10-27 13:28:42

и еще в статье кажется есть ошибка:

Код: Выделить всё

...
chown chown squid /etc/krb5.keytab 
...
а должно ИМХО быть

Код: Выделить всё

chown squid:squid /etc/krb5.keytab 

/bin/sh
проходил мимо

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение /bin/sh » 2010-10-27 17:45:54

Код: Выделить всё

squid_kerb_auth: ERROR: gss_acquire_cred() failed:  No credentials were supplied, or the credentials were unavailable or inaccessible.. unknown mech-code 0 for mech unknown
2010/10/27 18:40:46| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_acquire_cred() failed:  No credentials were supplied, or the credentials were unavailable or inaccessible.. unknown mech-code 0 for mech unknown'
Поменял в настройках ie7 с proxy на proxy.domain.ru, вылезла такая ошибка. Права на keytab менял, не помогло.

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение f0s » 2011-01-18 12:38:54

а как быть если нужно вывести через роутер в интернет несколько сетей с доменами? какждая сеть со своим доменом.. как быть в этом случае? в krb5.conf описать все домены? в resolv.conf указать айпи всех контроллеров домена (чтобы fqdn работал), но как быть с самобй? в какой ее домен из этих всех вводить? =) и как быть с keytab-ом?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

lion_lion
проходил мимо

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение lion_lion » 2011-02-04 18:35:07

/bin/sh писал(а):Делал по статье

Код: Выделить всё

AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token' 
В логах сквида такая ошибка не подскажите в чем может быть причина? Уже заново переделал все, итог 0.
Привет. Удалось исправить?
Если да так как?
Спасибо

lion_lion
проходил мимо

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение lion_lion » 2011-02-04 18:36:30

[quote="Sucht"]

Код: Выделить всё

AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
Привет. Удалось исправить?
Если да так как?
Спасибо

Stason
ефрейтор
Сообщения: 51
Зарегистрирован: 2009-04-28 13:15:04

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Stason » 2011-02-21 19:01:50

Как то в выходные попросили настроить прокси-сервер на freebsd, ну как обычно начал ставить самбу и че-то она не ставилась и мне это как-то было в лом ковырять и я подумал, что, а нафик нужна самба, когда есть kerberos. И начал думать в эту сторону. Сделал следующее: создал keytab фалы на (KDC) - small business 2008 для freebsd, для разных сервисов HTTP и host, перенес их и добавил в системный keytab (krb5.keytab).
А вот дальше че то не пойму: мне же надо использовать этот системный keytab для ввода в домен и вот когда я делаю kinit -k -t /etc/krb5.keytab HTTP/<freebsd>.domen.local@DOMEN.LOCAL или kinit -k -t /etc/krb5.keytab host/<freebsd>.domen.local@DOMEN.LOCAL, то почему то удается это сделать только для одной службы - либо HTTP либо host. Как же мне быть дальше?

Stason
ефрейтор
Сообщения: 51
Зарегистрирован: 2009-04-28 13:15:04

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Stason » 2011-02-24 9:45:25

Оказывается одной учётной записи можно поставить в соответствие только один сервис, поэтому если сервисы привязать к разным учеткам то kinit -k -t /etc/krb5.keytab HTTP/<freebsd>.domen.local@DOMEN.LOCAL и kinit -k -t /etc/krb5.keytab host/<freebsd>.domen.local@DOMEN.LOCAL как бы типа срабатывает без ошибок.
Но вот опять вопрос: когда я делаю klist -v, я вижу только 1 сервис. Могут ли они быть одновременно при выводе klist? Или так быть не должно?

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение f0s » 2011-02-24 17:13:43

Stason писал(а):Оказывается одной учётной записи можно поставить в соответствие только один сервис, поэтому если сервисы привязать к разным учеткам то kinit -k -t /etc/krb5.keytab HTTP/<freebsd>.domen.local@DOMEN.LOCAL и kinit -k -t /etc/krb5.keytab host/<freebsd>.domen.local@DOMEN.LOCAL как бы типа срабатывает без ошибок.
Но вот опять вопрос: когда я делаю klist -v, я вижу только 1 сервис. Могут ли они быть одновременно при выводе klist? Или так быть не должно?
если ты сделал через кейтаб, то можешь вообще kdestroy сделать
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Stason
ефрейтор
Сообщения: 51
Зарегистрирован: 2009-04-28 13:15:04

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Stason » 2011-02-24 17:17:50

f0s писал(а):если ты сделал через кейтаб, то можешь вообще kdestroy сделать
Не совсем понял, а что сделать через kdestroy? Там же вроде просто грохнуть?

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение f0s » 2011-02-24 17:48:24

Stason писал(а):
f0s писал(а):если ты сделал через кейтаб, то можешь вообще kdestroy сделать
Не совсем понял, а что сделать через kdestroy? Там же вроде просто грохнуть?
да.. то есть все равно что выводится через klist
главное как в прогах прописан путь до кейтаб
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

Stason
ефрейтор
Сообщения: 51
Зарегистрирован: 2009-04-28 13:15:04

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Stason » 2011-02-24 17:56:33

f0s писал(а):да.. то есть все равно что выводится через klist главное как в прогах прописан путь до кейтаб
Подожди, т.е ты хочешь сказать, что не обязательно делать команду kinit, достаточно насоздавать keytab файлов для сервисов и добавить их непосредственно в сервисно-умолчальный системный файл krb5.keytab и все?

Stason
ефрейтор
Сообщения: 51
Зарегистрирован: 2009-04-28 13:15:04

Re: squid+ad2008\kerberos+ldap и win7\ie8

Непрочитанное сообщение Stason » 2011-02-24 17:59:06

f0s писал(а):да.. то есть все равно что выводится через klist главное как в прогах прописан путь до кейтаб
И какой путь тогда указывать? До krb5.keytab или например http.keytab?