Страница 1 из 1
Авторизация Squid и 2 DC
Добавлено: 2009-11-12 8:28:16
kharkov_max
День добрый.
Подскажите пожалуйста как быть....
Есть контролер домена DC1, есть дополнительный контролер домена DC2.
Есть Freebsd 7.2, Squid и настроеная авторизация через samba (winbind) с DC1.
Каким образом можно прикрутить к авторизации DC2? (т.к. при перезагрузке DC1 отваливается инет у пользователей)
Т.е если недоступен DC1 winbind ищет пользователей на DC2.
Заранее спасибо.
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-12 15:25:43
---nebo---
а почему бы вам не отдать пользователям DC1, а сквид авторизить на DC2?
для переключения на другой DC вам необходимо изменить настройки в krb5.conf и рестартануть самбу, это можно осуществить скриптом
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-12 17:19:42
kharkov_max
---nebo--- писал(а):а почему бы вам не отдать пользователям DC1, а сквид авторизить на DC2?
для переключения на другой DC вам необходимо изменить настройки в krb5.conf и рестартануть самбу, это можно осуществить скриптом
Спасибо.
А krb5 не поймет если указать 2 DC ?
Не хочется скриптом, слишком сложно как-то, нет более простого метода ?
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-12 18:03:47
arkan
Была у меня подобная трабла
если в krb5.conf указать два или несколько DC (как у меня) то сквидяра хоть и авторизует но до поры до времяни
тоесть очень често отваливалась авторизация
Решил всю эту проблемму сменив способ авторизации на NCSA
полет отличный
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-12 18:13:46
---nebo---
А krb5 не поймет если указать 2 DC ?
посмотрите
Код: Выделить всё
http://hell.org.ua/index.php?name=News&file=article&sid=20
там автор использует несколько DC одновременно.
Проверете у себя на воможность использования нескольких контроллеров, поведение при выходе одного из строя, отпишитесь по результатам, будет интересно.
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-12 18:18:44
---nebo---
arkan писал(а):Была у меня подобная трабла
если в krb5.conf указать два или несколько DC (как у меня) то сквидяра хоть и авторизует но до поры до времяни
тоесть очень често отваливалась авторизация
Решил всю эту проблемму сменив способ авторизации на NCSA
полет отличный
а на сколько это решение проблемы? это больше похоже на изворот
Если у вас вся информация о пользователях хранится в AD, тем более если все красиво структурировано, груповые политики. Есть смысл авторизировать в AD не только пользователей прокси, но и почты .... машин на винде(соответственно) и на юнихах(если есть). Короче единое хранилище пользовательской информации.
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-13 0:02:04
kharkov_max
---nebo--- писал(а):А krb5 не поймет если указать 2 DC ?
посмотрите
Код: Выделить всё
http://hell.org.ua/index.php?name=News&file=article&sid=20
там автор использует несколько DC одновременно.
Проверете у себя на воможность использования нескольких контроллеров, поведение при выходе одного из строя, отпишитесь по результатам, будет интересно.
Комбинация:
Код: Выделить всё
DOMAIN.LOCAL = {
kdc = dc1.DOMAIN.LOCAL:88
kdc = dc2.DOMAIN.LOCAL:88
admin_server = dc1.DOMAIN.LOCAL
default_domain = DOMAIN.LOCAL
}
OTHER.REALM = {
v4_instance_convert = {
kerberos = kerberos
computer = dc1.DOMAIN.LOCAL
}
Не помогла...
После получения билета, перезагрузки шлюза и выключения DC1 инет отвалился.
Не хочется потерять решение данной небольшой проблемы, если у кого есть выарианты решения отпишитесь пожалуйста.
Еще раз спасибо...
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-13 0:16:53
Burner
Не думаю, что проблема в керберосе. Делал авторизацию через винбинд в домене с двумя 2 КД, при перезагрузке ближайшего отваливалась. В логах самбы было видно, что винбинд проверяет только тот КД, который в том же сайте, что и сервер. Возможно, если оба контроллера в одном сайте, то будет работать, в разных у меня не получилось.
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-13 15:49:36
kharkov_max
kharkov_max писал(а):---nebo--- писал(а):А krb5 не поймет если указать 2 DC ?
посмотрите
Код: Выделить всё
http://hell.org.ua/index.php?name=News&file=article&sid=20
там автор использует несколько DC одновременно.
Проверете у себя на воможность использования нескольких контроллеров, поведение при выходе одного из строя, отпишитесь по результатам, будет интересно.
Комбинация:
Код: Выделить всё
DOMAIN.LOCAL = {
kdc = dc1.DOMAIN.LOCAL:88
kdc = dc2.DOMAIN.LOCAL:88
admin_server = dc1.DOMAIN.LOCAL
default_domain = DOMAIN.LOCAL
}
OTHER.REALM = {
v4_instance_convert = {
kerberos = kerberos
computer = dc1.DOMAIN.LOCAL
}
Не помогла...
После получения билета, перезагрузки шлюза и выключения DC1 инет отвалился.
Не хочется потерять решение данной небольшой проблемы, если у кого есть выарианты решения отпишитесь пожалуйста.
Еще раз спасибо...
Решил свою делему так.
В smb.conf параметр password server = *. Пишут что вроде ищет все сервера паролей домена.
У меня security = ads.
http://smb-conf.ru/password-server-g.html
Проверил, вроде работает....
Так что всем спасибо ....
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-13 18:24:41
arkan
---nebo--- писал(а):а на сколько это решение проблемы? это больше похоже на изворот
Если у вас вся информация о пользователях хранится в AD, тем более если все красиво структурировано, груповые политики. Есть смысл авторизировать в AD не только пользователей прокси, но и почты .... машин на винде(соответственно) и на юнихах(если есть). Короче единое хранилище пользовательской информации.
Изврат не изврат но авторизация сквидя в AD это самое настоящее нарушение правил информационной безопасности так как любой троян проходит мимо сквидяры как положенно
Проверенно......
А вот обойти авторизацию по логину и пассу NCSA который даже запомнить в браузере нету возможности вот это факт
Re: Авторизация Squid и 2 DC
Добавлено: 2009-11-14 0:42:47
snorlov
arkan писал(а):
Изврат не изврат но авторизация сквидя в AD это самое настоящее нарушение правил информационной безопасности так как любой троян проходит мимо сквидяры как положенно
Проверенно......
Можно поспорить, поскольку уже сам факт попадания на комп трояна....