Страница 1 из 1
kinit succeeded but.. Canno contact any KDC
Добавлено: 2011-12-08 14:53:43
2fast4u
Настраивал руководствуясь статье
http://www.lissyara.su/articles/freebsd ... up_access/
boxfree# uname -a
FreeBSD boxfree 8.2-RELEASE FreeBSD 8.2-RELEASE #0: Fri Feb 18 02:24:46 UTC 2011
root@almeida.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC i386
boxfree# smbclient -V
Version 3.6.1
boxfree# wbinfo -t
checking the trust secret for domain DOM via RPC calls succeeded
boxfree# wbinfo -p
Ping to winbindd succeeded
boxfree# wbinfo -D DOM.LOCAL
Name : DOM
Alt_Name : dom.local
SID : S-1-5-21-2663291518-1480540533-3903290589
Active Directory : Yes
Native : No
Primary : Yes
wbinfo -g все показывает
wbinfo -u тоже все работает
но почему то упорно в логи сыпет следующее
Dec 8 12:35:46 boxfree winbindd[1069]: initialize_winbindd_cache: clearing cache and re-creating with version number 2
Dec 8 12:40:00 boxfree winbindd[1092]: [2011/12/08 12:40:00.911310, 0] libads/sasl.c:908(ads_sasl_spnego_bind)
Dec 8 12:40:00 boxfree winbindd[1092]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2011-12-08 18:24:36
Alex Keda
сквид собсно, авторизует?
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2011-12-08 23:16:12
snorlov
А kinit, что говорит?
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2011-12-09 11:08:47
2fast4u
snorlov писал(а):А kinit, что говорит?
boxfree# kinit
supervisor@DOM.LOCAL's Password:
kinit: Password incorrect
boxfree# kinit supervisor
supervisor@DOM.LOCAL's Password:
boxfree#
Squid еще не поставил (((
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2011-12-26 7:03:41
2fast4u
Squid поставил а он не авторизует? Может на стороне 2003 R2 Serv что то не настроенно?
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-01-11 16:41:12
2fast4u
Подскажите пожалуйста что смотреть почему может не работать.... про KDC ничего толкового не нашел...плохо искал наверное ну хоть направь те чуть
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-01-13 15:40:25
Alex Keda
самбу рестартаните
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-01-17 8:24:09
2fast4u
Взял конфиги из статьи
http://www.lissyara.su/articles/freebsd ... /squid+ad/
Код: Выделить всё
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 1024 MB
cache_dir ufs /usr/local/squid/cache 50000 64 512
access_log /var/log/squid/access.log squid
cache_store_log none
hosts_file /etc/hosts
append_domain .office.local
visible_hostname = Squid
error_directory /usr/local/etc/squid/errors/Russian-1251
auth_param ntlm program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-ntlmssp
auth_param ntlm children 30
auth_param basic program /usr/local/bin/ntlm_auth \
--helper-protocol=squid-2.5-basic
auth_param basic children 4
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
external_acl_type nt_group %LOGIN \
/usr/local/libexec/squid/wbinfo_group.pl
acl inet_users external nt_group inet_users
acl inet_icq external nt_group inet_icq
acl inet_full external nt_group inet_full
acl inet_analit external nt_group inet_analit
acl inet_restrict external nt_group inet_restrict
acl inet_connect external nt_group inet_connect
acl OFFICE proxy_auth REQUIRED
acl SSL_ports port 443 563
acl SSL_for_client_banks port 910 8443 4500
acl safe_ports port 80 # http
acl safe_ports port 21 # ftp
acl safe_ports port 443 # ssl
acl ICQ_ports port 5190 # ICQ
acl CONNECT method CONNECT
acl manager proto cache_object
acl all src
acl localhost src 127.0.0.1/32
acl mydomain_site dstdomain \
"/usr/local/etc/squid/db/allow_all.txt"
acl bad_url url_regex \
"/usr/local/etc/squid/db/deny_url.txt"
acl deny_domains dstdomain \
"/usr/local/etc/squid/db/deny_domains.txt"
acl client_banks dst \
"/usr/local/etc/squid/db/clinet_banks.txt"
acl bad_networks dst \
"/usr/local/etc/squid/db/bad_networks.txt"
acl not_autorized src \
"/usr/local/etc/squid/db/not_autorized.txt"
acl domains_for_restrict dstdomain \
"/usr/local/etc/squid/db/domains_for_restrict.txt"
deny_info ERR_INVALID_URL bad_url
#deny_info ERR_BAD_NETWORKS bad_networks
#deny_info ERR_DENY_DOMAINS deny_domains
#deny_info ERR_SAFE_PORTS safe_ports
#deny_info ERR_SSL_PORTS SSL_ports
http_access allow manager localhost
http_access deny manager
http_access allow client_banks
http_access allow not_autorized
http_access allow OFFICE mydomain_site
http_access allow inet_full all
http_access deny bad_url
http_access allow inet_icq ICQ_ports
http_access deny bad_networks
http_access deny deny_domains
http_access deny CONNECT !SSL_ports
http_access deny !safe_ports
http_access allow inet_users
http_access allow inet_restrict domains_for_restrict
#deny_info ERR_INET_NO_ALLOW all
http_access deny all
чуть подправил под реалии free8.2 и squid 3.1
только теперь окно авторизации на стороне пользователя не запускается а сразу выдает
В логах
Код: Выделить всё
2012/01/17 08:10:41| Starting Squid Cache version 3.1.16 for i386-portbld-freebsd8.2...
2012/01/17 08:10:41| Process ID 985
2012/01/17 08:10:41| With 11095 file descriptors available
2012/01/17 08:10:41| Initializing IP Cache...
2012/01/17 08:10:41| DNS Socket created at [::], FD 8
2012/01/17 08:10:41| DNS Socket created at 0.0.0.0, FD 9
2012/01/17 08:10:41| Adding nameserver 192.168.1.2 from /etc/resolv.conf
2012/01/17 08:10:41| Adding domain office.local from /etc/resolv.conf
2012/01/17 08:10:41| helperOpenServers: Starting 30/30 'ntlm_auth' processes
2012/01/17 08:10:41| helperOpenServers: Starting 4/4 'ntlm_auth' processes
2012/01/17 08:10:41| helperOpenServers: Starting 5/5 'wbinfo_group.pl' processes
2012/01/17 08:10:42| Unlinkd pipe opened on FD 92
2012/01/17 08:10:42| Local cache digest enabled; rebuild/rewrite every 3600/3600 sec
2012/01/17 08:10:42| Store logging disabled
2012/01/17 08:10:42| Swap maxSize 51200000 + 1048576 KB, estimated 4019121 objects
2012/01/17 08:10:42| Target number of buckets: 200956
2012/01/17 08:10:42| Using 262144 Store buckets
2012/01/17 08:10:42| Max Mem size: 1048576 KB
2012/01/17 08:10:42| Max Swap size: 51200000 KB
2012/01/17 08:10:43| Version 1 of swap file with LFS support detected...
2012/01/17 08:10:43| Rebuilding storage in /usr/local/squid/cache (DIRTY)
2012/01/17 08:10:43| Using Least Load store dir selection
2012/01/17 08:10:43| Current Directory is /root
2012/01/17 08:10:43| Loaded Icons.
2012/01/17 08:10:43| Accepting HTTP connections at [::]:3128, FD 95.
2012/01/17 08:10:43| HTCP Disabled.
2012/01/17 08:10:43| Ready to serve requests.
2012/01/17 08:10:43| Done reading /usr/local/squid/cache swaplog (0 entries)
2012/01/17 08:10:43| Finished rebuilding storage from disk.
2012/01/17 08:10:43| 0 Entries scanned
2012/01/17 08:10:43| 0 Invalid entries.
2012/01/17 08:10:43| 0 With invalid flags.
2012/01/17 08:10:43| 0 Objects loaded.
2012/01/17 08:10:43| 0 Objects expired.
2012/01/17 08:10:43| 0 Objects cancelled.
2012/01/17 08:10:43| 0 Duplicate URLs purged.
2012/01/17 08:10:43| 0 Swapfile clashes avoided.
2012/01/17 08:10:43| Took 0.16 seconds ( 0.00 objects/sec).
2012/01/17 08:10:43| Beginning Validation Procedure
2012/01/17 08:10:43| Completed Validation Procedure
2012/01/17 08:10:43| Validated 25 Entries
2012/01/17 08:10:43| store_swap_size = 0
2012/01/17 08:10:43| storeLateRelease: released 0 objects
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_full
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid to gid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_icq
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid to gid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_users
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid to gid
failed to call wbcLookupName: WBC_ERR_DOMAIN_NOT_FOUND
Could not lookup name inet_restrict
failed to call wbcStringToSid: WBC_ERR_INVALID_PARAM
Could not convert sid to gid
делал вручную wbinfo -Y S-1-32-2323412341234123 итд все работает sid to gid показывает
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-01-17 9:47:40
2fast4u
Если я правильно понимаю то вместо групп inet_users нужно использовать свои или создавать эти группы на стороне сервера AD ... а вот как быть с пробелами в названии групп например domain admins ))) нужно потрошить wbinfo_group.sh ??
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-01-18 8:09:47
bagas
да нужно создать группу.
Если в имени группы есть проблел, то его надо заменить так: Domain%users
На худой конец создаете группу тырнет и ее используете.
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-01-18 14:20:08
2fast4u
C группами разобрался а вот то что окошко с вводом пароля и пользователя не выводит вот что плохо, и в squid access.log пишет Denied на любые попытки что либо открыть в интернете ))) шут с ним с окном но почему пользователя не авторизует или авторизует но не пускает хотя он в группе напротив которой стоит allow ....
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-01-18 15:09:03
bagas
тогда настройте basic авторизацию...
я вот так себе прокси настраивал
http://likeunix.ru/%D1%80%D0%B0%D0%B1%D ... quid-conf/
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-01-18 15:12:59
snorlov
2fast4u писал(а):C группами разобрался а вот то что окошко с вводом пароля и пользователя не выводит вот что плохо, и в squid access.log пишет Denied на любые попытки что либо открыть в интернете ))) шут с ним с окном но почему пользователя не авторизует или авторизует но не пускает хотя он в группе напротив которой стоит allow ....
У вас в IE может стоять интегральная аутенфикация, а поскольку сквид сопряжен с АД, аутенфикация в этом случае прозрачна для пользователя.
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-01-28 7:54:32
2fast4u
Спасибо огромное за помощь вроде как с авторизацией разобрался перестало выдавать Доступ запрещен но теперь другие грабли указываю железку раздающую инет как шлюз 192.168.1.12 в resolv.conf указываю nameserver 192.168.1.10 там DNS но домен там другой-- SCI(192.168.1.10) мои пользователи находятся на домене --- DOM(192.168.1.2) .... если указываю в resolv.conf адрес DNS то интернет есть а вот nslookup уже не видит домен DOM тогда не выводится список групп и пользователей и нет авторизации а если наоборот то авторизация есть но нет интернета.
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2012-02-01 9:42:24
2fast4u
Как всегда все дело в не внимательности и небольшой тонкости в моем случае нужно было в конфиг сквида добавить строчку dns_nameservers 192.168.1.10 без этой строки squid берет данные в resolv.conf а там IP 192.168.1.2. Теперь работает и авторизация и интернет...испытания продолжаются ))
Re: kinit succeeded but.. Canno contact any KDC
Добавлено: 2013-10-21 15:22:54
luckyy
расскажи как решил? те же грабли:
2fast4u писал(а):C группами разобрался а вот то что окошко с вводом пароля и пользователя не выводит вот что плохо, и в squid access.log пишет Denied на любые попытки что либо открыть в интернете ))) шут с ним с окном но почему пользователя не авторизует или авторизует но не пускает хотя он в группе напротив которой стоит allow ....
2fast4u писал(а):Спасибо огромное за помощь вроде как с авторизацией разобрался перестало выдавать Доступ запрещен но теперь другие грабли указываю железку раздающую инет как шлюз 192.168.1.12 в resolv.conf указываю nameserver 192.168.1.10 там DNS но домен там другой-- SCI(192.168.1.10) мои пользователи находятся на домене --- DOM(192.168.1.2) .... если указываю в resolv.conf адрес DNS то интернет есть а вот nslookup уже не видит домен DOM тогда не выводится список групп и пользователей и нет авторизации а если наоборот то авторизация есть но нет интернета.