The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Кластер squid."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Кластер squid."  +/
Сообщение от pilferst email(ok) on 12-Ноя-10, 13:04 
Поставлена задача сделать кластер из прокси серверов на основе squid. Сказано, сделано. Создал две виртуальные машину на esxi объединил их по carp в один IP адрес.  В DNS создал запись A для carp интерфейсов. Вел первую машину в домен, сделал авторизацию через керберос, все ок, тестовые юзеры ходят.  Не думаю ввел вторую машину в домен. И через нее авторизация по керберосу прошла удачно. НО при переключение на первую машину (на второй положил интерфейс carp0) авторизация по kerberos уже не проходила.
На первой машине
 wbinfo -t
checking the trust secret via RPC    calls failed

На второй машине

wbinfo -t
checking the trust secret via RPC calls succeeded

И тут я вспомнил, что в домене под одним именем может находиться 1 машина. А у меня получается, что под одним именем должны работать >1 машины.
Как можно разрешить данную ситуацию ?
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Кластер squid."  +/
Сообщение от pavel_simple (ok) on 12-Ноя-10, 13:33 
>[оверквотинг удален]
>
> На второй машине
>

>  wbinfo -t
> checking the trust secret via RPC calls succeeded
>

> И тут я вспомнил, что в домене под одним именем может находиться
> 1 машина. А у меня получается, что под одним именем должны
> работать >1 машины.
> Как можно разрешить данную ситуацию ?

хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти ключики на обе машины

только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.
хотя возможно будет работать, в принципе в природе встречаются винды с более чем 1 ip адресом

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Кластер squid."  +/
Сообщение от pilferst email(ok) on 12-Ноя-10, 13:51 
>[оверквотинг удален]
>>
>> И тут я вспомнил, что в домене под одним именем может находиться
>> 1 машина. А у меня получается, что под одним именем должны
>> работать >1 машины.
>> Как можно разрешить данную ситуацию ?
> хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти
> ключики на обе машины
> только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.
> хотя возможно будет работать, в принципе в природе встречаются винды с более
> чем 1 ip адресом

Авторизацию через kerberos сделал. А samba нужна для генерации keytab и для просмотра групп в AD


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Кластер squid."  +/
Сообщение от pavel_simple (ok) on 12-Ноя-10, 14:02 
>[оверквотинг удален]
>>> 1 машина. А у меня получается, что под одним именем должны
>>> работать >1 машины.
>>> Как можно разрешить данную ситуацию ?
>> хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти
>> ключики на обе машины
>> только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.
>> хотя возможно будет работать, в принципе в природе встречаются винды с более
>> чем 1 ip адресом
> Авторизацию через kerberos сделал. А samba нужна для генерации keytab и для
> просмотра групп в AD

точно? тот который  HTTP Negotiate authentication? тот который через gssapi?
тогда и самбы не стоило ставить, сгенерить ключики и всего делов.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Кластер squid."  +/
Сообщение от Puk on 12-Ноя-10, 13:48 
>[оверквотинг удален]
>
> На второй машине
>

>  wbinfo -t
> checking the trust secret via RPC calls succeeded
>

> И тут я вспомнил, что в домене под одним именем может находиться
> 1 машина. А у меня получается, что под одним именем должны
> работать >1 машины.
> Как можно разрешить данную ситуацию ?

Можно же каждую машину под своим именем ввести в домен.
А потом в днс-е прописать CNAME.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Кластер squid."  +/
Сообщение от McLeod095 (ok) on 12-Ноя-10, 14:47 
>[оверквотинг удален]
>>

>>  wbinfo -t
>> checking the trust secret via RPC calls succeeded
>>

>> И тут я вспомнил, что в домене под одним именем может находиться
>> 1 машина. А у меня получается, что под одним именем должны
>> работать >1 машины.
>> Как можно разрешить данную ситуацию ?
> Можно же каждую машину под своим именем ввести в домен.
> А потом в днс-е прописать CNAME.

Правильно говорит человек.
Каждую машину вводим под своим именем, например serv1 и serv1. А уже ip carp прописываем в днс например cluster_server. После чего именно к нему и обращаемся. Carp сам разрулит свою ситуацию ну а каждый сервак свою.
Во всяком случае аналогично поднимаются и все виндовые кластеры. После поднятия кластера в домене не появляется компьютер с таким именем а только запись в днс. (Хотя поднимал давно виндовые кластеры, могу немного путать)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Кластер squid."  +/
Сообщение от pilferst email(ok) on 12-Ноя-10, 16:20 
>[оверквотинг удален]
>> Можно же каждую машину под своим именем ввести в домен.
>> А потом в днс-е прописать CNAME.
> Правильно говорит человек.
> Каждую машину вводим под своим именем, например serv1 и serv1. А уже
> ip carp прописываем в днс например cluster_server. После чего именно к
> нему и обращаемся. Carp сам разрулит свою ситуацию ну а каждый
> сервак свою.
> Во всяком случае аналогично поднимаются и все виндовые кластеры. После поднятия кластера
> в домене не появляется компьютер с таким именем а только запись
> в днс. (Хотя поднимал давно виндовые кластеры, могу немного путать)

Могу ошибаться, но для кербероса  нужно что бы запись в настройках прокси сервера клиента  совпадала с его hostname сервака, могу ошибаться. Если не прав поправьте пожалуйста.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Кластер squid."  +/
Сообщение от Алексей email(??) on 09-Май-15, 08:38 
На примере Ubuntu можно сначала одинаково настроить 2 прокси сервера. Цикл статей по настройке NTLM/Kerberos здесь: http://blog.it-kb.ru/2014/06/16/forward-proxy-squid-3-3-on-u.../

Потом с помощью CARP повысить доступность и распределить нагрузку между двумя серверами: http://blog.it-kb.ru/2015/05/08/high-availability-proxy-serv.../

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру