Страница 1 из 1
Не работает Керберос
Добавлено: 2008-04-18 12:43:29
ce-zar
Здравствуйте, ГУРУ!!! Во фрихе новичок...
Установлена FreeBSD 6.3+NTP+BIND+webmin+OpenSSH+ipfw+squid+sarg+Apache+Proftpd.
Пытаюсь раздать Инет пользователям из виндовых групп домена на 2003 Сервер по статье Лисяры
http://www.lissyara.su/?id=1375. Установил самбу 3.0.28, подредактировал /etc/krb5.conf (все как положено, в верхнем регистре).
Ядро собрано со следующими опциями:
- options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_FORWARD
options IPSTEALTH
options IPDIVERT
options DUMMYNET
options IPSEC
options IPSEC_ESP
options TCP_DROP_SYNFIN
Проблема вот в чем: все пингуется, однако при попытке получить билетик керберос (kinit admin) пишет krb5_get_init_creds: unable to reach ahy KDC in realm mydomain.local
Однако, если ввести kinit
admin@mydomain.local пишет: Password incorrect
Сервак работает как файерволл со сквидом. Пробовал пересобрать ядро без вышеуказанных опций - все работает: билет дает, в домен втыкается...
Такое ощущение, что при попытке получить билет, он тыкается на внешний интерфейс...
Господа, может у кого есть идеи, где копать, помогите кто чем может...
Re: Не работает Керберос
Добавлено: 2008-04-18 12:49:43
GreenDay
наверно надо привести настройки /etc/krb5.conf для начала
Re: Не работает Керберос
Добавлено: 2008-04-18 13:13:52
ce-zar
GreenDay писал(а):наверно надо привести настройки /etc/krb5.conf для начала
Код: Выделить всё
[libdefaults]
default_realm = ASOLINS.LOCAL
clockskew = 300
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
[realms]
ASOLINS.LOCAL = {
kdc = asol.asolins.local
admin_server = asol.asolins.local
}
OTHER.REALM = {
v4_instance_convert = {
kerberos = kerberos
computer = ASOL.ASOLINS.LOCAL
}
}
[domain_realm]
.asolins.local = ASOLINS.LOCAL
[appdefaults]
kinit = {
renewable = true
forwardable = true
}
[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log
Имеется резервный сервак на FreeBSD 6.3 (предположим 192.168.0.2). Так вот если его (резервный) установить в качестве шлюза, на текущем отключить ipfw из ядра, поменять ip (192.168.0.3), а в /etc/rc.conf установить
defaultrouter="192.168.0.2" (т.е. грубо говоря использовать в качестве рабочей станции), то DC билет дает (с этим конфигом).
(САМ ПОСЛЕ ПРОЧЕЛ ТО, ЧТО НАПИСАЛ И НИЧЕГО НЕ ПОНЯЛ
- уже подправил)
Re: Не работает Керберос
Добавлено: 2008-04-18 13:26:42
GreenDay
а он вообще адрес KDC разрезольвить то может?
поставь попробуй адрес KDC IP-адресом
ошибку выдает про то, что найти не может KDC - проблема в DNS
Re: Не работает Керберос
Добавлено: 2008-04-18 13:52:35
ce-zar
GreenDay писал(а):а он вообще адрес KDC разрезольвить то может?
поставь попробуй адрес KDC IP-адресом
ошибку выдает про то, что найти не может KDC - проблема в DNS
Пробовал, и сейчас, на всякий случай, еще раз попробовал, та же самая ситуация...
mail# ping asol
PING asol.asolins.local (192.168.0.1): 56 data bytes
т.е. имя в ip-шник разрешается, DNS работает...
Кстати, ранее, когда отключал ему ipfw, билет давал только таким макаром:
kinit
admin@ASOLINS.LOCAL
если набрать
kinit
admin@asolins.local
ругался, что найти не может KDC, а сейчас на kinit
admin@ASOLINS.LOCAL ругается что найти не может KDC, а на
kinit
admin@asolins.local ругается Password incorrect
Re: Не работает Керберос
Добавлено: 2008-04-18 17:00:57
3t0n
а сопостовимую запись в hosts всетаки для PDC на никсах сделай, обрати на синхронизацию времени внимание (это чисто советы на будующее) вводи внимательно пароль DOMAIN/АДМИНИСТАРОТРА PDC, читай логи --> гуглшмугл
Re: Не работает Керберос
Добавлено: 2008-04-18 18:57:33
ce-zar
3t0n писал(а):а сопостовимую запись в hosts всетаки для PDC на никсах сделай, обрати на синхронизацию времени внимание (это чисто советы на будующее) вводи внимательно пароль DOMAIN/АДМИНИСТАРОТРА PDC, читай логи --> гуглшмугл
Пароль ввожу более чем внимательно (внимательнее некуда, капслок выключен)
Имеется в виду /etc/hosts ? Вот он:
Код: Выделить всё
::1 localhost.asolins.local localhost
127.0.0.1 localhost.asolins.local localhost
192.168.0.1 asol.asolins.local asol
192.168.0.2 mail.asolins.local mail
Кстати при синхронизации:
Код: Выделить всё
mail# net time set -S 192.168.0.1
Fri Aprl 18 19:43:07 MSD 2008
/bin/date 200804181943.07 failed. Error was (Unknowh error: 0)
Что это может быть?
Кстати, вот /etc/rc.conf
Код: Выделить всё
# -- sysinstall generated deltas -- # Thu Jan 31 13:56:17 2008
# Created: Thu Jan 31 13:56:17 2008
sendmail_enable="NONE"
inetd_enable="YES"
keymap="ru.koi8-r"
linux_enable="YES"
sshd_enable="YES"
#usbd_enable="YES"
rwhod_enable="NO"
tcp_extensions="NO"
hostname="mail.asolins.local"
###Internet interface
ifconfig_fxp0="inet 80.xxx.xxx.150 netmask 255.255.255.252"
defaultrouter="80.xxx.xxx.149"
###LAN
ifconfig_rl0="inet 192.168.0.2 netmask 255.255.255.0"
tcp_drop_synfin="YES"
###NAT & FW
gateway_enable="YES"
natd_enable="YES"
natd_interface="fxp0"
natd_flags="-f /etc/natd.conf"
firewall_enable="YES"
#firewall_quiet="NO"
firewall_type="ASOL"
#firewall_type="OPEN"
###Squid
winbindd_enable="YES"
squid_enable="YES"
###Clock
timed_enable="NO" # Run the time daemon (or NO).
#timed_flags="" # Flags to timed (if enabled).
ntpdate_enable="YES" # Run ntpdate to sync time on boot (or NO).
ntpdate_program="/usr/sbin/ntpdate" # path to ntpdate, if you want a different one.
ntpdate_flags="-b" # Flags to ntpdate (if enabled).
ntpdate_config="/etc/ntp/ntp.conf" # ntpdate(8) configuration file
#ntpdate_hosts="" # Whitespace-separated list of ntpdate(8) servers.
ntpd_enable="YES" # Run ntpd Network Time Protocol (or NO).
ntpd_program="/usr/sbin/ntpd" # path to ntpd, if you want a different one.
ntpd_config="/etc/ntp/ntp.conf" # ntpd(8) configuration file
ntpd_sync_on_start="YES" # Sync time on ntpd startup, even if offset is high
ntpd_flags="-p /var/run/ntpd.pid -f /var/db/ntpd.drift"
# Flags to ntpd (if enabled).
fsck_y_enable="YES"
###DNS Server
named_enable="YES"
###Web Admin
webmin_enable="YES"
###Apache
apache22_enable="YES"
###ProFTP
proftpd_enable="YES"
Может здесь чего не так?
ПОМогите советом, господа... Может действительно, он на внешнем интерфейсе KDC ищет?
Re: Не работает Керберос
Добавлено: 2008-04-19 21:24:10
skrond
настраивал такую штукенцию, правда пользовался вот этой статьей
__http://
www.samag.ru/art/02.2007/02.2007_05.html
у меня все заработало.
Re: Не работает Керберос
Добавлено: 2008-04-20 6:47:36
GreenDay
в этой статье автор в списке использованной литературы указал
2. «SAMBA с авторизацией в AD и поддержкой NT ACL» –
http://www.lissyara.su.
Re: Не работает Керберос
Добавлено: 2008-04-20 18:38:34
skrond
GreenDay писал(а):в этой статье автор в списке использованной литературы указал
2. «SAMBA с авторизацией в AD и поддержкой NT ACL» –
http://www.lissyara.su.
))) простите не знал
Re: Не работает Керберос
Добавлено: 2008-04-21 16:52:19
ce-zar
Господа, объясните, так и должно быть? Билет керберос не дает, но меня смущает ip, указанный ниже, ведь dc у меня 192.168.0.1
Код: Выделить всё
Binding to domain with command /usr/local/bin/net join -U supervisor ..
[2008/04/21 17:48:18, 0] libsmb/nmblib.c:send_udp(791)
Packet send failed to 192.168.0.255(137) ERRNO=Permission denied
Unable to find a suitable server
[2008/04/21 17:48:19, 0] libsmb/nmblib.c:send_udp(791)
Packet send failed to 192.168.0.255(137) ERRNO=Permission denied
Unable to find a suitable server
.. failed! See the output above for the reason why.
Может в bind надо копать?
Кстати, повторюсь, ранее ip сервака, который надо включить в домен был 192.168.0.3. Самбу устанавливал с этим ip и все работало. Далее, ip поменял на 192.168.0.2, т.к. не хотелось перенастраивать шлюз на всех машинах в сети, а dhcp не использую. Вот после этого глюки и начались (билет не дает, в домен не пускает). Попробовал переустановить самбу - не помогает (кстати, а как сбросить предыдущие настройки установки - т.е. получить окно с опциями при установке пакета?)... Может кто чего подскажет путного - уже неделю бьюсь - kinit с закрытыми глазами могу набрать