Комментарии: Aутентификация Squid+Kerberos c LDAP авторизацией в Active Directory http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html?utm_source=rss&utm_medium=rss&utm_campaign=squidkerberos-c-ldap-active-directory Админ — это состояние души Tue, 22 Nov 2011 03:57:27 +0000 hourly 1 http://wordpress.org/?v=3.0.4 Автор: Fr0sT http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-412 Fr0sT Fri, 04 Nov 2011 17:59:21 +0000 http://blog.ronix.net.ua/?p=142#comment-412 Но теперь не проходит авторизация в cache.log 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59). 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59). 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token C этим как бороться :) ? Но теперь не проходит авторизация в cache.log

2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59).

2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101

2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token

2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59).

2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101

2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token

C этим как бороться :) ?

]]> Автор: ветеран WoW http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-403 ветеран WoW Fri, 13 May 2011 08:21:08 +0000 http://blog.ronix.net.ua/?p=142#comment-403 да потому что не нужно там рестриктить тип криптования. может сложиться ситуация когда машина со сквидом будет искать там тикет с другим типом. да потому что не нужно там рестриктить тип криптования. может сложиться ситуация когда машина со сквидом будет искать там тикет с другим типом.

]]> Автор: KsAdmin http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-400 KsAdmin Fri, 08 Apr 2011 07:26:31 +0000 http://blog.ronix.net.ua/?p=142#comment-400 Долго мучался, но теперь заработало. Проблема еще была в фильтре поика группы пользователя. У меня только так заработало. external_acl_type ldap_check ttl=1200 %LOGIN /usr/lib/squid/squid_ldap_group -R -b "dc=domain,dc=lan" -f "(&(objectclass=user)(sAMAccountName=%v)(memberof=cn=%a,CN=Builtin,DC=domain,DC=lan))" -D "testuser@domain.lan" -w "userpassword" -K -d -h 192.168.1.2 То есть вместо OU=Builtin заработало с CN=Builtin. Собрать Squid предлагаемый по ссылке не получилось зато собрал из source (apt-get source squid3) Работает на squid3, но helper squid_ldap_group из squid2-7. Так как в хелпере от 3-го нет ключа -K чтобы отделить от имени пользователя часть "@domain.lan". От контроллера домена и DNS тоже много чего зависит. Чтобы все заработало домен разварачивал шесть раз))). Долго мучался, но теперь заработало. Проблема еще была в фильтре поика группы пользователя. У меня только так заработало. external_acl_type ldap_check ttl=1200 %LOGIN /usr/lib/squid/squid_ldap_group -R -b «dc=domain,dc=lan» -f «(&(objectclass=user)(sAMAccountName=%v)(memberof=cn=%a,CN=Builtin,DC=domain,DC=lan))» -D «testuser@domain.lan» -w «userpassword» -K -d -h 192.168.1.2 То есть вместо OU=Builtin заработало с CN=Builtin. Собрать Squid предлагаемый по ссылке не получилось зато собрал из source (apt-get source squid3) Работает на squid3, но helper squid_ldap_group из squid2-7. Так как в хелпере от 3-го нет ключа -K чтобы отделить от имени пользователя часть «@domain.lan». От контроллера домена и DNS тоже много чего зависит. Чтобы все заработало домен разварачивал шесть раз))).

]]> Автор: Ross http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-397 Ross Wed, 16 Mar 2011 11:10:12 +0000 http://blog.ronix.net.ua/?p=142#comment-397 Киньте полностью вывод kinit -V -k -t etc... Киньте полностью вывод kinit -V -k -t etc...

]]> Автор: Voffka http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-396 Voffka Wed, 16 Mar 2011 08:52:25 +0000 http://blog.ronix.net.ua/?p=142#comment-396 Очень бы хотел уточнить момент с кейтабом. У меня kinit проходит для юзера нормально, все ок. Но кейтаб когда проверить хочу - Client not found in Kerberos database while getting initial credentials и хоть ты тресни ... Данна запись говорит о том что оно может нормально достучатся до реалма, но не может резолвить юзера. Юзер такой есть и кинит проходит нормально Очень бы хотел уточнить момент с кейтабом. У меня kinit проходит для юзера нормально, все ок. Но кейтаб когда проверить хочу — Client not found in Kerberos database while getting initial credentials и хоть ты тресни ... Данна запись говорит о том что оно может нормально достучатся до реалма, но не может резолвить юзера. Юзер такой есть и кинит проходит нормально

]]> Автор: Ross http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-395 Ross Tue, 15 Mar 2011 05:54:59 +0000 http://blog.ronix.net.ua/?p=142#comment-395 У меня всё заработало, ~ 1 месяц уже работает, полёт нормальный. Статью буду писать. К стати хочу сделать подобные вещи и для почты. Postfix+Cyrus-Imap(or Dovecot). Застрял .... Кому интересно поделюсь, может вместе решим... Спасибо. У меня всё заработало, ~ 1 месяц уже работает, полёт нормальный. Статью буду писать.

К стати хочу сделать подобные вещи и для почты.

Postfix+Cyrus-Imap (or Dovecot). Застрял ...

Кому интересно поделюсь, может вместе решим...

Спасибо.

]]> Автор: ronix http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-394 ronix Mon, 14 Mar 2011 14:43:13 +0000 http://blog.ronix.net.ua/?p=142#comment-394 Спасибо за комментарии по работоспособности описанной в посте схемы! К сожалению, статью писал не я, да и не занимаюсь я подобными вещами уже давно. Так что пока возможности переписать её чтобы получился 100% рабочий вариант с учетом всех изменений пока не получается. Спасибо за комментарии по работоспособности описанной в посте схемы!

К сожалению, статью писал не я, да и не занимаюсь я подобными вещами уже давно.

Так что пока возможности переписать её чтобы получился 100% рабочий вариант с учетом всех изменений пока не получается.

]]> Автор: Voffka http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-393 Voffka Mon, 14 Mar 2011 14:26:01 +0000 http://blog.ronix.net.ua/?p=142#comment-393 вот еще 1 момент http://www.grolmsnet.de/kerbtut/ вот как тут сказано "Please note that there is no direct communication between KDC ulmo and webserver beren when using SPNEGO!". вообщем после пересборки того файла утентиФИКАЦИИ кинит больше не сможет работать с кейтабом. вот еще 1 момент

www.grolmsnet.de/kerbtut/

вот как тут сказано «Please note that there is no direct communication between KDC ulmo and webserver beren when using SPNEGO!».

вообщем после пересборки того файла утентиФИКАЦИИ кинит больше не сможет работать с кейтабом.

]]> Автор: Voffka http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-392 Voffka Mon, 14 Mar 2011 08:26:29 +0000 http://blog.ronix.net.ua/?p=142#comment-392 Допущена ошибка при формировании кейтаб. У меня заработало вот так: ktpass -princ HTTP/squid.domain@REALM -mapuser squid.domain@domain.local -crypto rc4-hmac-nt pass squid-pass -ptype KRB5_NT_SRV_HST -out squid.domain.keytab тут надо заметить что мапюзер указывается именно с @домен, иначе венда ругается. тут крипто другой, но с ним зато потом проходит нормально все проверки. Допущена ошибка при формировании кейтаб. У меня заработало вот так:

ktpass -princ HTTP/squid.domain@REALM -mapuser squid.domain@domain.local -crypto rc4-hmac-nt pass squid-pass -ptype KRB5_NT_SRV_HST -out squid.domain.keytab

тут надо заметить что мапюзер указывается именно с @домен, иначе венда ругается. тут крипто другой, но с ним зато потом проходит нормально все проверки.

]]> Автор: Voffka http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active-directory.html/comment-page-1#comment-391 Voffka Mon, 14 Mar 2011 08:19:44 +0000 http://blog.ronix.net.ua/?p=142#comment-391 да мануал на первый взгляд нормальный, но присмотревшись понимаешь что он со сплошными недочетами и недосказанностями. ТРОЕЧКА с натяжной. фразы типа "rem: для Etch собирать сквид пришлось не через dpkg-buildpackage, а через запуск debian/rules (build \ binary)" лучше бы расшифровать. моменты со сборкой хелпера- ПОЧЕМУ бы не расписать, что файл надо сделать исполняемым и т.д. Кстати, да. После всего проделанного - не заработало. в кэш.лог ругня что нету /etc/krb5.keytab и прочего. да мануал на первый взгляд нормальный, но присмотревшись понимаешь что он со сплошными недочетами и недосказанностями. ТРОЕЧКА с натяжной.

фразы типа

«rem: для Etch собирать сквид пришлось не через dpkg-buildpackage, а через запуск debian/rules (build \ binary)»

лучше бы расшифровать. моменты со сборкой хелпера- ПОЧЕМУ бы не расписать, что файл надо сделать исполняемым и т.д.

Кстати, да. После всего проделанного — не заработало. в кэш.лог ругня что нету /etc/krb5.keytab и прочего.

]]>