The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Аутентификация пользователей squid в домене Windows 2003 Server

29.08.2005 00:49

Васильченко Евгений Витальевич написал пошаговое руководство по настройке FreeBSD 5.4 сервера с Samba, Kerberos клиентом и прокси-сервером Squid, с аутентификацией пользователей в домене Windows 2003.

  1. Главная ссылка к новости (http://www.opennet.ru/base/net...)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/5983-win
Ключевые слова: win, auth, samba, squid, kerberos
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 00:03, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а домен 2003 на самбе?
     
     
  • 2.2, reaper (?), 07:28, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    там же написано что нет
     

  • 1.3, lewap (?), 09:25, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ------
    Если в сети нет DNS-сервера, то необходимо изменить файлы hosts на
    контроллере домена и на FreeBSD.
    -------

    А как интересно виндовский домен ( 2003)и без DNS?

     
     
  • 2.4, const (??), 09:39, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    В России всякое бывает...
     
     
  • 3.5, Васильченко Евгений (?), 09:46, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    DNS естественно в домене будет, но совсем необязательно, что он будет правильно работать, к тому же он может быть настроен с какими-либо специфическими целями, поэтому хост-файлы - нормальная замена
     

  • 1.6, mxm (ok), 10:23, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А что произойдет 19-го августа в 00:50:51, когда
    срок действия "билета" закончится?
     
     
  • 2.7, sauron (ok), 10:49, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Будет получен ответ от сервера что "билет" истек и будет получен новый. Хотя вообще-то этот "билет" отношения к самбе никакого не имеет и необходим только на период подключения.
     
     
  • 3.9, mxm (ok), 11:12, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Будет получен ответ от сервера что "билет" истек и будет получен новый.
    Точно? При тех настройках, что приводятся в статье? У меня не обновился.
    И klist показывал, что "билет" не обновился.

    >Хотя вообще-то этот "билет" отношения к самбе никакого не имеет и
    >необходим только на период подключения.
    м-м-м...

     
     
  • 4.13, sauron (ok), 12:17, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Точно? При тех настройках, что приводятся в статье? У меня не обновился. И klist показывал, что "билет" не обновился.
    А вы куда-то обращались еще ? Нет ? Тогда почему "тикет" должен обновиться ?

    >м-м-м...
    Вот вам и ммм... Он требуется для добавления Samba сервера в AD домен.

     
     
  • 5.15, mxm (ok), 13:46, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>Точно? При тех настройках, что приводятся в статье? У меня не обновился. И klist показывал, что "билет" не обновился.
    >А вы куда-то обращались еще ? Нет ? Тогда почему "тикет" должен
    >обновиться ?
    Обращался? Я? Не понял...
    По поводу обновления "тикета". Можно вручную через повторный вызов klist,
    а можно, говорят\пишут, автоматически (после манипуляций с kutil).
    Не разбирался с этим подробно (см. ниже) вот и спрашиваю, вдруг
    "носители знания" откликнутся...

    >>м-м-м...
    >Вот вам и ммм... Он требуется для добавления Samba сервера в AD
    >домен.
    Да я и не спорю, может и не нужен. Только, как мне кажется, с таким
    "билетом" не работает определение принадлежности пользователя к
    secondary-group. Впрочем, не настаиваю, возможно что-то недотестировал и
    хватило мне primary-group.

     
     
  • 6.17, sauron (ok), 07:12, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Обращался? Я? Не понял...
    К другому или этому же сервису с поддержкой аутентификации Kerberos V.

    >По поводу обновления "тикета". Можно вручную через повторный вызов klist,
    >а можно, говорят\пишут, автоматически (после манипуляций с kutil).
    Да или через klist или через выставление специального параметра policy. Хотя по умолчанию этот параметр выключен и обновление производится только, при очередном обращении к сервису и при истечении времени жизни тикета.

    >Не разбирался с этим подробно (см. ниже) вот и спрашиваю, вдруг "носители знания" откликнутся...
    Так более подробно ? Если интересует этот вопрос могу поделиться книгой O'Reilly "Kerberos Guide", в ней описано более подробно. Т.к. я описываю процесс по памяти.

    >Да я и не спорю, может и не нужен. Только, как мне кажется, с таким
    >"билетом" не работает определение принадлежности пользователя к
    >secondary-group. Впрочем, не настаиваю, возможно что-то недотестировал и
    >хватило мне primary-group.
    Это суда вообще никаким боком.

     
  • 4.25, star76 (ok), 13:22, 01/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >И klist показывал, что "билет" не обновился.

    Я нашел методику обновленяи билета. Делается следующим образом:
    1. На DC дается команда
    ktpass /out keytab  /pass пароль_польз /princ имя_польз@REALM /ptype KRB5_NT_SRV_HST

    2. Потом файл keytab копируется на юниксовую машину и там периодически
    дается команда
    kinit  -R -k -t keytab имя_польз@REALM

    билет обновляется без пароля


     

  • 1.8, Сщкмфч (?), 11:02, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Фантазия у Евгений Витальевича работает замечательная: домен fuck-you.ru скреативил. В остальном все замечатльно, но не хватает слов "впендюрить" и т.п.
    Надо попросить его перевести на русский книгу Немет...
     
     
  • 2.14, Андрей (??), 13:14, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    +1
     

  • 1.10, Chris (??), 11:18, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Что я Вам господа скажу... Вам бы самим руки подкрутить, а то пальцы одни... Зачем человека обсирать, ведь молодец, не побоялся, выложил статью, замечтально написаную технически и альтернативы приведены и всё хорошо, так что молодец, не обращай внимания на ребят переехавших сюда с удаф.ком по воле случая.
     
     
  • 2.11, Corvax (??), 11:36, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    По технич. части притензий никаких нет. Жалко, что в серьезной по структуре и качеству статье столь неудачные примеры. :-(
    Это вовсе не пальцы.
     
     
  • 3.12, U (?), 12:06, 29/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Corvax - поддерживаю польностью
     

  • 1.16, неаноним (?), 17:09, 29/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    With UTMP support (хрен знает, что такое)
    workgroup = fuck-you
    server string = fuck you mazefakers

    Вот это все сильно поднимает авторитет?

     
     
  • 2.18, Nikola (??), 09:11, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >With UTMP support (хрен знает, что такое)
    >workgroup = fuck-you
    >server string = fuck you mazefakers
    >
    >Вот это все сильно поднимает авторитет?
    О том и речь, даже в начале статьи.

    >просьба некоторым сильно
    >"продвинутым" товарищам воздержаться от комментариев в ее адрес, т.к. их
    >мнения нахрен не нужны никому
    Почему не матом? Или не "Бобруйск"
    Автор хочет стать Аффтарам?
    Такое впечатление что его заставляли писАть статью, а он кричал и упирался.

     
  • 2.19, Васильченко Евгений (?), 12:57, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт с таким именем когда-то действительно был. Естественно, что при написании статьи учел не все. Например виндовые глюки учесть невозможно - они проявляются у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить статью?
     
     
  • 3.21, mxm (ok), 13:41, 30/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт
    >с таким именем когда-то действительно был. Естественно, что при написании статьи
    >учел не все. Например виндовые глюки учесть невозможно - они проявляются
    >у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить статью?

    ага. правда раньше делали и не по статье, но так-же. спасибо огромное за
    сведение "знания" в одну статью. все отлично.

     
  • 3.23, Nikola (??), 12:28, 31/08/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт
    >с таким именем когда-то действительно был. Естественно, что при написании статьи
    >учел не все. Например виндовые глюки учесть невозможно - они проявляются
    >у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить
    >статью?
    У меня когда lifetime ключа истекал переставало пускать, поэтому переделал под security = domain а не ads. Было бы всё-таки интересно узнать кто нибудь решил проблему с окончанием действия ключа kerberos? kinit -R не спасало.

     

  • 1.20, Yotun (?), 13:31, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а почему в конфиге самбы security = domain?
    для работы через керберос вроде как нужно security = ads. Во всяком случае, у меня работает именно так.

    Кстати, с русскими именами пользователей отлично работает :)

     
  • 1.22, badwore (?), 18:48, 30/08/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    керберос работает, самба заджойнилась, wbinfo все что нужно выдает, по id виндовых юзеров видно
    НО самба никого не пускает

    net view \\gate выдает Access denied, в логе запись:
    smbd/sesssetup.c:reply_spnego_kerberos(250)
    username DOMAIN.LOCAL\test is invalid on this system

    net view \\192.168.1.254 выдает Access denied, в логе запись:
    auth/auth_winbind.c:check_winbind_security(123)
    check_winbind_security: ERROR!  my_private_data == NULL!

    при попытке залогинится под виндовым юзером в логе запись:
    Failed password for test from 192.168.1.2

    устал с ней биться , подскажите где копать

    PS: gate=192.168.1.254
    самба собиралась из сырцов, 3.0.14a

     
  • 1.24, bb (?), 14:59, 23/03/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    с правильным паролем пишет
    #kinit user@domain
    #kinit: password incorect
    как исправить??
     
     
  • 2.26, DarkSide83 (?), 17:00, 31/03/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >с правильным паролем пишет
    >#kinit user@domain
    >#kinit: password incorect
    >как исправить??

    Сталкивался с такой бедой, после переведения все доменных имен в верхний регистр в
    файлах smb.conf и krb5.conf, все заработало.


     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру