Страница 1 из 4
squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-04-29 13:56:33
opt1k
небольшая заметка как это сделал я:
http://www.lissyara.su/?id=2101
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-04-29 14:11:53
terminus
О, козырно! мне что-то такое надо будет скоро сделать, но я еще не решил отказываться ли от ntlm или включать его насильно. соответсвенно и выбор между ntlm и kerberos.
Ну это так...
Есть вопрос про аутентификация юзеров - она ведь происхождит прозрачно? Юзеру не показывается окошко "введи лонин/пароль"?
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-04-29 14:21:44
opt1k
конечно, прозрачно
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-04-29 15:01:02
Al
В объяснениях,имхо,лучше разделить четче маханизмы аутентификации и авторизации.
Зы. для авторизации в ад не пробовал делать самописный скрипт? Я у одного заказчика особо не разбирался, аутентификацию - по ип, авторизация - в лдапе (им просто надо было по группам в какой-никакой базе держать) через екстернал акль. По сути, ад тот же лдап+керберос с накрутками
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-04-29 15:01:51
Al
Да, полезно,думаю, будет многим. Публикуй,штоль.
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-04-29 15:03:54
Al
Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?
squid+ad2003\kerberos
Добавлено: 2010-06-27 9:26:07
fuckER
- Win2003, на виртуалке
- сделал практически все как в статье, сделал коррективы для win2003 согласно статьи на вики сквида.
- кейтабы создал без самбы, по примерам из других статей, причем удалось без ошибок и предупреждений (но на сервере в списке билетов (через kerbtray) нет моего)
- kinit успешно
- ff 3.6.4
- поиск описания ошибки squid_kerb_auth: parseNegTokenInit failed with rc=101 не дал мне полезной информации
- тестирую с самой win2003
При запросе от браузера в логах:
2010/06/27 12:11:29| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==' from squid (length: 59).
2010/06/27 12:11:29| squid_kerb_auth: parseNegTokenInit failed with rc=101
2010/06/27 12:11:29| squid_kerb_auth: received type 1 NTLM token
Полагаю дело в шифровке/дешифровке учетных данных, но.....
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-08-25 16:40:27
opt1k
да, в 2003 отличие в строке поиска для ldap. Я тоже научился создавать тикеты без самбы, в самой винде. Только этот тикет сквид под фряхой не принимает. Хотя по линуксом данный тике принялся без проблем. Поэтому на фряхе пока обязательно ставить самбу для генерации тикета. Еще месяца два назад хотел написать баг репорт, но лень...
И важно - из под самой 2003 винды у меня не заработало, заработало на клиенте вин хп.
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-08-25 16:47:42
opt1k
Al писал(а):Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?
самба для генерации кейтаба. Кейтаб содержит логин и пароль для связи с сервером kerberos ну или что то в этом духе
.
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-08-26 11:41:21
princeps
opt1k молодец, таки добил керберос
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-08-26 13:28:21
Alex Keda
opt1k писал(а):Al писал(а):Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?
самба для генерации кейтаба. Кейтаб содержит логин и пароль для связи с сервером kerberos ну или что то в этом духе
.
вы бы всё-таки разобрались, зачем
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-10-26 20:25:58
/bin/sh
Делал по статье
Код: Выделить всё
AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
В логах сквида такая ошибка не подскажите в чем может быть причина? Уже заново переделал все, итог 0.
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-10-27 12:38:59
Sucht
Код: Выделить всё
AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
У меня точно такая же проблема.
FreeBSD (шлюз с прокси):
Код: Выделить всё
FreeBSD gate_serv 7.2-RELEASE FreeBSD 7.2-RELEASE #1: Tue Aug 24 13:37:48 MSD 2010 root@gate_ser
v:/usr/obj/usr/src/sys/gate_17 i386
Также стоят:
squid-3.1.4_1
samba34-3.4.8
Делал по статье.
Поиск по LDAP в AD работает. Шлюзовая машина в домене.
в ipfw добавлено правило для редиректа запросов к сквиду.
Добавлено в squid.conf
Код: Выделить всё
http_port 3128 accel vhost vport allow-direct
иначе он не правильно обрабатывает URL
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-10-27 13:28:42
Sucht
и еще в статье кажется есть ошибка:
а должно ИМХО быть
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2010-10-27 17:45:54
/bin/sh
Код: Выделить всё
squid_kerb_auth: ERROR: gss_acquire_cred() failed: No credentials were supplied, or the credentials were unavailable or inaccessible.. unknown mech-code 0 for mech unknown
2010/10/27 18:40:46| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_acquire_cred() failed: No credentials were supplied, or the credentials were unavailable or inaccessible.. unknown mech-code 0 for mech unknown'
Поменял в настройках ie7 с proxy на proxy.domain.ru, вылезла такая ошибка. Права на keytab менял, не помогло.
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-01-18 12:38:54
f0s
а как быть если нужно вывести через роутер в интернет несколько сетей с доменами? какждая сеть со своим доменом.. как быть в этом случае? в krb5.conf описать все домены? в resolv.conf указать айпи всех контроллеров домена (чтобы fqdn работал), но как быть с самобй? в какой ее домен из этих всех вводить?
и как быть с keytab-ом?
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-02-04 18:35:07
lion_lion
/bin/sh писал(а):Делал по статье
Код: Выделить всё
AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
В логах сквида такая ошибка не подскажите в чем может быть причина? Уже заново переделал все, итог 0.
Привет. Удалось исправить?
Если да так как?
Спасибо
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-02-04 18:36:30
lion_lion
[quote="Sucht"]
Код: Выделить всё
AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
Привет. Удалось исправить?
Если да так как?
Спасибо
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-02-21 19:01:50
Stason
Как то в выходные попросили настроить прокси-сервер на freebsd, ну как обычно начал ставить самбу и че-то она не ставилась и мне это как-то было в лом ковырять и я подумал, что, а нафик нужна самба, когда есть kerberos. И начал думать в эту сторону. Сделал следующее: создал keytab фалы на (KDC) - small business 2008 для freebsd, для разных сервисов HTTP и host, перенес их и добавил в системный keytab (krb5.keytab).
А вот дальше че то не пойму: мне же надо использовать этот системный keytab для ввода в домен и вот когда я делаю kinit -k -t /etc/krb5.keytab HTTP/<freebsd>.
domen.local@DOMEN.LOCAL или kinit -k -t /etc/krb5.keytab host/<freebsd>.
domen.local@DOMEN.LOCAL, то почему то удается это сделать только для одной службы - либо HTTP либо host. Как же мне быть дальше?
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-02-24 9:45:25
Stason
Оказывается одной учётной записи можно поставить в соответствие только один сервис, поэтому если сервисы привязать к разным учеткам то kinit -k -t /etc/krb5.keytab HTTP/<freebsd>.
domen.local@DOMEN.LOCAL и kinit -k -t /etc/krb5.keytab host/<freebsd>.
domen.local@DOMEN.LOCAL как бы типа срабатывает без ошибок.
Но вот опять вопрос: когда я делаю klist -v, я вижу только 1 сервис. Могут ли они быть одновременно при выводе klist? Или так быть не должно?
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-02-24 17:13:43
f0s
Stason писал(а):Оказывается одной учётной записи можно поставить в соответствие только один сервис, поэтому если сервисы привязать к разным учеткам то kinit -k -t /etc/krb5.keytab HTTP/<freebsd>.
domen.local@DOMEN.LOCAL и kinit -k -t /etc/krb5.keytab host/<freebsd>.
domen.local@DOMEN.LOCAL как бы типа срабатывает без ошибок.
Но вот опять вопрос: когда я делаю klist -v, я вижу только 1 сервис. Могут ли они быть одновременно при выводе klist? Или так быть не должно?
если ты сделал через кейтаб, то можешь вообще kdestroy сделать
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-02-24 17:17:50
Stason
f0s писал(а):если ты сделал через кейтаб, то можешь вообще kdestroy сделать
Не совсем понял, а что сделать через kdestroy? Там же вроде просто грохнуть?
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-02-24 17:48:24
f0s
Stason писал(а):f0s писал(а):если ты сделал через кейтаб, то можешь вообще kdestroy сделать
Не совсем понял, а что сделать через kdestroy? Там же вроде просто грохнуть?
да.. то есть все равно что выводится через klist
главное как в прогах прописан путь до кейтаб
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-02-24 17:56:33
Stason
f0s писал(а):да.. то есть все равно что выводится через klist главное как в прогах прописан путь до кейтаб
Подожди, т.е ты хочешь сказать, что не обязательно делать команду kinit, достаточно насоздавать keytab файлов для сервисов и добавить их непосредственно в сервисно-умолчальный системный файл krb5.keytab и все?
Re: squid+ad2008\kerberos+ldap и win7\ie8
Добавлено: 2011-02-24 17:59:06
Stason
f0s писал(а):да.. то есть все равно что выводится через klist главное как в прогах прописан путь до кейтаб
И какой путь тогда указывать? До krb5.keytab или например http.keytab?