forum.opennet.ru

Составление сообщения

Исходное сообщение

"Key table entry not found while getting initial credentials ???"
Отправлено netc, 24-Сен-10 15:16

!!!!!!!!!!!!!!!!!!удалось побороть проблему!!!!!!!!!!!!!!!!!!!!!!!1111
ура, правда не знаю, что будет потом ;)
вообщем решение:
суть в том, что я взял чистую систему и стал настраивать все с нуля, но по принципу ни чего лишнего
описываю что я сделал:
новая система debian netinst 5.0.6
cat /etc/resolv.conf
search tc.local
nameserver 192.168.0.250
#192.168.0.250 - pdc моего домена (w2k8 sp1)
устанавливаем

aptitude -R krb5-user с 2 зависимостями (krb5-config{a} krb5-user libkadm55{a})

этого оказалось достаточно, для работы аутентификации
далее в процессе настройки пакета dpkg спросил у меня
Default Kerberos version 5 realm, я ввел TC.LOCAL
и еще помоему он спросил про админ сервер, я ответил PDC.TC.LOCAL
далее копируем уже давно созданный keytab с контроллера домена (PDC) куда угодно, но лучше к /etc/squid3
а делал я его так:

c:\>ktpass -princ HTTP/proxy.tc.local@TC.LOCAL -mapuser userlink_proxy -crypto A
ES256-SHA1 -pass "cbkmysqgfhjkm" -ptype KRB5_NT_SRV_HST -out proxy.tc.local.keytab.pdc
Targeting domain controller: PDC.tc.local
Using legacy password setting method
Successfully mapped HTTP/proxy.tc.local to userlink_proxy.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to proxy.tc.local.keytab.pdc:
Keytab version: 0x502
keysize 79 HTTP/proxy.tc.local@TC.LOCAL ptype 3 (KRB5_NT_SRV_HST) vno 10 etype 0
x12 (AES256-SHA1) keylength 32 (0x2df13d49f38c5fb1c103121b99e4084e6d6a40c06ab301
c83eaecda54bc164eb)
я скопировал и зашел в нее
далее делаю попытку аутентификации с использованием этого кейтаба:

cd /etc/squid3/ && kinit -V -k -t proxy.tc.local.keytab.pdc HTTP/proxy.tc.local

и получаю

Authenticated to Kerberos v5
проверяем что вывод klist:

proxy:/etc/squid3# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: HTTP/proxy.tc.local@TC.LOCAL
Valid starting     Expires            Service principal
09/23/10 15:46:12  09/24/10 01:45:54  krbtgt/TC.LOCAL@TC.LOCAL
        renew until 09/24/10 15:46:12

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом squid всем пользователем выдает Cache Access Denied
хелпер squid_ldap_group - работает верно
а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.
как только так сразу отпишусь

Исходное сообщение
"Key table entry not found while getting initial credentials ???" Отправлено netc, 24-Сен-10 15:16
!!!!!!!!!!!!!!!!!!удалось побороть проблему!!!!!!!!!!!!!!!!!!!!!!!1111 ура, правда не знаю, что будет потом ;) вообщем решение: суть в том, что я взял чистую систему и стал настраивать все с нуля, но по принципу ни чего лишнего описываю что я сделал: новая система debian netinst 5.0.6 cat /etc/resolv.conf search tc.local nameserver 192.168.0.250 #192.168.0.250 - pdc моего домена (w2k8 sp1) устанавливаем aptitude -R krb5-user с 2 зависимостями (krb5-config{a} krb5-user libkadm55{a}) этого оказалось достаточно, для работы аутентификации далее в процессе настройки пакета dpkg спросил у меня Default Kerberos version 5 realm, я ввел TC.LOCAL и еще помоему он спросил про админ сервер, я ответил PDC.TC.LOCAL далее копируем уже давно созданный keytab с контроллера домена (PDC) куда угодно, но лучше к /etc/squid3 а делал я его так: c:\>ktpass -princ HTTP/proxy.tc.local@TC.LOCAL -mapuser userlink_proxy -crypto A ES256-SHA1 -pass "cbkmysqgfhjkm" -ptype KRB5_NT_SRV_HST -out proxy.tc.local.keytab.pdc Targeting domain controller: PDC.tc.local Using legacy password setting method Successfully mapped HTTP/proxy.tc.local to userlink_proxy. WARNING: pType and account type do not match. This might cause problems. Key created. Output keytab to proxy.tc.local.keytab.pdc: Keytab version: 0x502 keysize 79 HTTP/proxy.tc.local@TC.LOCAL ptype 3 (KRB5_NT_SRV_HST) vno 10 etype 0 x12 (AES256-SHA1) keylength 32 (0x2df13d49f38c5fb1c103121b99e4084e6d6a40c06ab301 c83eaecda54bc164eb) я скопировал и зашел в нее далее делаю попытку аутентификации с использованием этого кейтаба: cd /etc/squid3/ && kinit -V -k -t proxy.tc.local.keytab.pdc HTTP/proxy.tc.local и получаю Authenticated to Kerberos v5 проверяем что вывод klist: proxy:/etc/squid3# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: HTTP/proxy.tc.local@TC.LOCAL Valid starting Expires Service principal 09/23/10 15:46:12 09/24/10 01:45:54 krbtgt/TC.LOCAL@TC.LOCAL renew until 09/24/10 15:46:12 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом squid всем пользователем выдает Cache Access Denied хелпер squid_ldap_group - работает верно а вот squid_kerb_auth пока не проверял, но поидее настроен правильно. как только так сразу отпишусь

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> !!!!!!!!!!!!!!!!!!удалось побороть проблему!!!!!!!!!!!!!!!!!!!!!!!1111 > ура, правда не знаю, что будет потом ;) > вообщем решение: > суть в том, что я взял чистую систему и стал настраивать все > с нуля, но по принципу ни чего лишнего > описываю что я сделал: > новая система debian netinst 5.0.6 > cat /etc/resolv.conf > search tc.local > nameserver 192.168.0.250 > #192.168.0.250 - pdc моего домена (w2k8 sp1) > устанавливаем > [code] > aptitude -R krb5-user с 2 зависимостями (krb5-config{a} krb5-user libkadm55{a}) > [/code] > этого оказалось достаточно, для работы аутентификации > далее в процессе настройки пакета dpkg спросил у меня > Default Kerberos version 5 realm, я ввел TC.LOCAL > и еще помоему он спросил про админ сервер, я ответил PDC.TC.LOCAL > далее копируем уже давно созданный keytab с контроллера домена (PDC) куда угодно, > но лучше к /etc/squid3 > а делал я его так: > [code] > c:\>ktpass -princ HTTP/proxy.tc.local@TC.LOCAL -mapuser userlink_proxy -crypto A > ES256-SHA1 -pass "cbkmysqgfhjkm" -ptype KRB5_NT_SRV_HST -out proxy.tc.local.keytab.pdc > Targeting domain controller: PDC.tc.local > Using legacy password setting method > Successfully mapped HTTP/proxy.tc.local to userlink_proxy. > WARNING: pType and account type do not match. This might cause problems. > Key created. > Output keytab to proxy.tc.local.keytab.pdc: > Keytab version: 0x502 > keysize 79 HTTP/proxy.tc.local@TC.LOCAL ptype 3 (KRB5_NT_SRV_HST) vno 10 etype 0 > x12 (AES256-SHA1) keylength 32 (0x2df13d49f38c5fb1c103121b99e4084e6d6a40c06ab301 > c83eaecda54bc164eb) > [/code] > я скопировал и зашел в нее > далее делаю попытку аутентификации с использованием этого кейтаба: > [code] > cd /etc/squid3/ && kinit -V -k -t proxy.tc.local.keytab.pdc HTTP/proxy.tc.local > [/code] > и получаю > [code] > Authenticated to Kerberos v5 > [/code] > проверяем что вывод klist: > [code] > proxy:/etc/squid3# klist > Ticket cache: FILE:/tmp/krb5cc_0 > Default principal: HTTP/proxy.tc.local@TC.LOCAL > Valid starting Expires > Service principal > 09/23/10 15:46:12 09/24/10 01:45:54 krbtgt/TC.LOCAL@TC.LOCAL > renew until 09/24/10 15:46:12 > Kerberos 4 ticket cache: /tmp/tkt0 > klist: You have no tickets cached > [/code] > далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом > squid всем пользователем выдает Cache Access Denied > хелпер squid_ldap_group - работает верно > а вот squid_kerb_auth пока не проверял, но поидее настроен правильно. > как только так сразу отпишусь
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру