squid+ad2008\kerberos+ldap и win7\ie8

[opt1k]

небольшая заметка как это сделал я:
http://www.lissyara.su/?id=2101

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[terminus]

О, козырно! мне что-то такое надо будет скоро сделать, но я еще не решил отказываться ли от ntlm или включать его насильно. соответсвенно и выбор между ntlm и kerberos.

Ну это так...
Есть вопрос про аутентификация юзеров - она ведь происхождит прозрачно? Юзеру не показывается окошко "введи лонин/пароль"?

[opt1k]

конечно, прозрачно

[Al]

В объяснениях,имхо,лучше разделить четче маханизмы аутентификации и авторизации.
Зы. для авторизации в ад не пробовал делать самописный скрипт? Я у одного заказчика особо не разбирался, аутентификацию - по ип, авторизация - в лдапе (им просто надо было по группам в какой-никакой базе держать) через екстернал акль. По сути, ад тот же лдап+керберос с накрутками

[Al]

Да, полезно,думаю, будет многим. Публикуй,штоль.

[Al]

Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?

[fuckER]

- Win2003, на виртуалке
- сделал практически все как в статье, сделал коррективы для win2003 согласно статьи на вики сквида.
- кейтабы создал без самбы, по примерам из других статей, причем удалось без ошибок и предупреждений (но на сервере в списке билетов (через kerbtray) нет моего)
- kinit успешно
- ff 3.6.4
- поиск описания ошибки squid_kerb_auth: parseNegTokenInit failed with rc=101 не дал мне полезной информации
- тестирую с самой win2003

При запросе от браузера в логах:

2010/06/27 12:11:29| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFAs4OAAAADw==' from squid (length: 59).
2010/06/27 12:11:29| squid_kerb_auth: parseNegTokenInit failed with rc=101
2010/06/27 12:11:29| squid_kerb_auth: received type 1 NTLM token

Полагаю дело в шифровке/дешифровке учетных данных, но.....

[opt1k]

да, в 2003 отличие в строке поиска для ldap. Я тоже научился создавать тикеты без самбы, в самой винде. Только этот тикет сквид под фряхой не принимает. Хотя по линуксом данный тике принялся без проблем. Поэтому на фряхе пока обязательно ставить самбу для генерации тикета. Еще месяца два назад хотел написать баг репорт, но лень...
И важно - из под самой 2003 винды у меня не заработало, заработало на клиенте вин хп.

[opt1k]

Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?

самба для генерации кейтаба. Кейтаб содержит логин и пароль для связи с сервером kerberos ну или что то в этом духе .

[princeps]

opt1k молодец, таки добил керберос

[Alex Keda]

Да, особо не вчитывался, но зачем самба? И нахрен нужен кейтаб?

самба для генерации кейтаба. Кейтаб содержит логин и пароль для связи с сервером kerberos ну или что то в этом духе .

вы бы всё-таки разобрались, зачем

[/bin/sh]

Делал по статье

Код: Выделить всё

AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token' 

В логах сквида такая ошибка не подскажите в чем может быть причина? Уже заново переделал все, итог 0.

[Sucht]

Код: Выделить всё

AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'

У меня точно такая же проблема.

Код: Выделить всё

AD на Win Server 2008 R2 Entrprise

FreeBSD (шлюз с прокси):

Код: Выделить всё

FreeBSD gate_serv 7.2-RELEASE FreeBSD 7.2-RELEASE #1: Tue Aug 24 13:37:48 MSD 2010     root@gate_ser
v:/usr/obj/usr/src/sys/gate_17  i386

Также стоят:
squid-3.1.4_1
samba34-3.4.8

Делал по статье.
Поиск по LDAP в AD работает. Шлюзовая машина в домене.
в ipfw добавлено правило для редиректа запросов к сквиду.
Добавлено в squid.conf

Код: Выделить всё

http_port 3128 accel vhost vport allow-direct

иначе он не правильно обрабатывает URL

[Sucht]

и еще в статье кажется есть ошибка:

Код: Выделить всё

...
chown chown squid /etc/krb5.keytab 
...

а должно ИМХО быть

Код: Выделить всё

chown squid:squid /etc/krb5.keytab 

[/bin/sh]

Код: Выделить всё

squid_kerb_auth: ERROR: gss_acquire_cred() failed:  No credentials were supplied, or the credentials were unavailable or inaccessible.. unknown mech-code 0 for mech unknown
2010/10/27 18:40:46| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_acquire_cred() failed:  No credentials were supplied, or the credentials were unavailable or inaccessible.. unknown mech-code 0 for mech unknown'

Поменял в настройках ie7 с proxy на proxy.domain.ru, вылезла такая ошибка. Права на keytab менял, не помогло.

[f0s]

а как быть если нужно вывести через роутер в интернет несколько сетей с доменами? какждая сеть со своим доменом.. как быть в этом случае? в krb5.conf описать все домены? в resolv.conf указать айпи всех контроллеров домена (чтобы fqdn работал), но как быть с самобй? в какой ее домен из этих всех вводить? и как быть с keytab-ом?

[lion_lion]

Делал по статье

Код: Выделить всё

AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token' 

В логах сквида такая ошибка не подскажите в чем может быть причина? Уже заново переделал все, итог 0.

Привет. Удалось исправить?
Если да так как?
Спасибо

[lion_lion]

[quote="Sucht"]

Код: Выделить всё

AuthenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'

Привет. Удалось исправить?
Если да так как?
Спасибо

[Stason]

Как то в выходные попросили настроить прокси-сервер на freebsd, ну как обычно начал ставить самбу и че-то она не ставилась и мне это как-то было в лом ковырять и я подумал, что, а нафик нужна самба, когда есть kerberos. И начал думать в эту сторону. Сделал следующее: создал keytab фалы на (KDC) - small business 2008 для freebsd, для разных сервисов HTTP и host, перенес их и добавил в системный keytab (krb5.keytab).
А вот дальше че то не пойму: мне же надо использовать этот системный keytab для ввода в домен и вот когда я делаю kinit -k -t /etc/krb5.keytab HTTP/<freebsd>.domen.local@DOMEN.LOCAL или kinit -k -t /etc/krb5.keytab host/<freebsd>.domen.local@DOMEN.LOCAL, то почему то удается это сделать только для одной службы - либо HTTP либо host. Как же мне быть дальше?

[Stason]

Оказывается одной учётной записи можно поставить в соответствие только один сервис, поэтому если сервисы привязать к разным учеткам то kinit -k -t /etc/krb5.keytab HTTP/<freebsd>.domen.local@DOMEN.LOCAL и kinit -k -t /etc/krb5.keytab host/<freebsd>.domen.local@DOMEN.LOCAL как бы типа срабатывает без ошибок.
Но вот опять вопрос: когда я делаю klist -v, я вижу только 1 сервис. Могут ли они быть одновременно при выводе klist? Или так быть не должно?

[f0s]

Оказывается одной учётной записи можно поставить в соответствие только один сервис, поэтому если сервисы привязать к разным учеткам то kinit -k -t /etc/krb5.keytab HTTP/<freebsd>.domen.local@DOMEN.LOCAL и kinit -k -t /etc/krb5.keytab host/<freebsd>.domen.local@DOMEN.LOCAL как бы типа срабатывает без ошибок.
Но вот опять вопрос: когда я делаю klist -v, я вижу только 1 сервис. Могут ли они быть одновременно при выводе klist? Или так быть не должно?

если ты сделал через кейтаб, то можешь вообще kdestroy сделать

[Stason]

если ты сделал через кейтаб, то можешь вообще kdestroy сделать

Не совсем понял, а что сделать через kdestroy? Там же вроде просто грохнуть?

[f0s]

если ты сделал через кейтаб, то можешь вообще kdestroy сделать

Не совсем понял, а что сделать через kdestroy? Там же вроде просто грохнуть?

да.. то есть все равно что выводится через klist
главное как в прогах прописан путь до кейтаб

[Stason]

да.. то есть все равно что выводится через klist главное как в прогах прописан путь до кейтаб

Подожди, т.е ты хочешь сказать, что не обязательно делать команду kinit, достаточно насоздавать keytab файлов для сервисов и добавить их непосредственно в сервисно-умолчальный системный файл krb5.keytab и все?

[Stason]

да.. то есть все равно что выводится через klist главное как в прогах прописан путь до кейтаб

И какой путь тогда указывать? До krb5.keytab или например http.keytab?