URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86332
[ Назад ]

Исходное сообщение
"Регистрация PTR записи в АД"
Отправлено Thebas , 19-Авг-09 16:08

Предисловие:
Пытаюсь настроить squid+kerberos auth. Прочитал мануал все показалось не очень сложно
Создаю принципиал:
ktpass -princ HTTP/squid.domain.loc@DOMAIN.LOC -mapuser kv-kv-squid -crypto des-cbc-md5 -pass * -ptype KRB5_NT_SRV_HST -out c:\squid.keytab
проверяю:
kinit -V -k -t /mnt/xp/squid.keytab HTTP/squid.domain.loc
kinit(v5): Client not found in Kerberos database while getting initial credentials
хотя kinit username проходит без проблем.
Собственно суть проблемы:
Есть подозрение что это связано с отсутствием PTR записи в DNS.
Записи создавал при помощи:
net ads dns register
Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не приложу:ето так и должно быть, или результат моих кривых рук.
Может кто расскажет как етот PTR создать.

Содержание

Регистрация PTR записи в АД,ALex_hha, 16:58 , 19-Авг-09
- Регистрация PTR записи в АД,Thebas, 17:01 , 19-Авг-09
  - Регистрация PTR записи в АД,ALex_hha, 20:04 , 19-Авг-09
    - Регистрация PTR записи в АД,Thebas, 10:17 , 20-Авг-09
      - Регистрация PTR записи в АД,ALex_hha, 14:21 , 20-Авг-09
        
        Регистрация PTR записи в АД,Thebas, 14:45 , 20-Авг-09
        
        Регистрация PTR записи в АД,Thebas, 15:02 , 20-Авг-09
        
        Регистрация PTR записи в АД,ALex_hha, 15:17 , 20-Авг-09
        
        Регистрация PTR записи в АД,Thebas, 15:52 , 20-Авг-09
        
        Регистрация PTR записи в АД,ALex_hha, 19:37 , 20-Авг-09
        
        Регистрация PTR записи в АД,Thebas, 10:09 , 21-Авг-09
        
        Регистрация PTR записи в АД,Oles, 14:55 , 18-Сен-09
        
        Регистрация PTR записи в АД,ALex_hha, 14:29 , 20-Сен-09
        
        Регистрация PTR записи в АД,Thebas, 09:52 , 21-Сен-09
Регистрация PTR записи в АД,tux2002, 10:50 , 21-Сен-09

Сообщения в этом обсуждении

"Регистрация PTR записи в АД"
Отправлено ALex_hha , 19-Авг-09 16:58

>[оверквотинг удален]
>
>хотя kinit username проходит без проблем.
>
>Собственно суть проблемы:
>Есть подозрение что это связано с отсутствием PTR записи в DNS.
>Записи создавал при помощи:
>net ads dns register
>Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не
>приложу:ето так и должно быть, или результат моих кривых рук.
>Может кто расскажет как етот PTR создать.
Тебе скорее всего надо SPN создать, врядли ptr тут причем

"Регистрация PTR записи в АД"
Отправлено Thebas , 19-Авг-09 17:01

>[оверквотинг удален]
>>
>>Собственно суть проблемы:
>>Есть подозрение что это связано с отсутствием PTR записи в DNS.
>>Записи создавал при помощи:
>>net ads dns register
>>Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не
>>приложу:ето так и должно быть, или результат моих кривых рук.
>>Может кто расскажет как етот PTR создать.
>
>Тебе скорее всего надо SPN создать, врядли ptr тут причем
ktpass -princ HTTP/squid.domain.loc@DOMAIN.LOC -mapuser kv-kv-squid -crypto des-cbc-md5 -pass * -ptype KRB5_NT_SRV_HST -out c:\squid.keytab
если не ошибаюсь вот етим я его и создаю?

"Регистрация PTR записи в АД"
Отправлено ALex_hha , 19-Авг-09 20:04

>[оверквотинг удален]
>>>net ads dns register
>>>Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не
>>>приложу:ето так и должно быть, или результат моих кривых рук.
>>>Может кто расскажет как етот PTR создать.
>>
>>Тебе скорее всего надо SPN создать, врядли ptr тут причем
>
>ktpass -princ HTTP/squid.domain.loc@DOMAIN.LOC -mapuser kv-kv-squid -crypto des-cbc-md5 -pass * -ptype KRB5_NT_SRV_HST -out
>c:\squid.keytab
>если не ошибаюсь вот етим я его и создаю?
SPN создается на контроллере домена

"Регистрация PTR записи в АД"
Отправлено Thebas , 20-Авг-09 10:17

>[оверквотинг удален]
>>>>приложу:ето так и должно быть, или результат моих кривых рук.
>>>>Может кто расскажет как етот PTR создать.
>>>
>>>Тебе скорее всего надо SPN создать, врядли ptr тут причем
>>
>>ktpass -princ HTTP/squid.domain.loc@DOMAIN.LOC -mapuser kv-kv-squid -crypto des-cbc-md5 -pass * -ptype KRB5_NT_SRV_HST -out
>>c:\squid.keytab
>>если не ошибаюсь вот етим я его и создаю?
>
>SPN создается на контроллере домена
http://technet.microsoft.com/en-us/library/cc753771%28W...
Цитирую:
Ktpass
Configures the server principal name for the host or service in Active Directory Domain Services (AD DS) and generates a .keytab file containing the shared secret key of the service. The .keytab file is based on the Massachusetts Institute of Technology (MIT) implementation of the Kerberos authentication protocol. The Ktpass command-line tool allows UNIX-based services that support Kerberos authentication to use the interoperability features provided by the Kerberos Key Distribution Center (KDC) service in Windows Server 2008.

"Регистрация PTR записи в АД"
Отправлено ALex_hha , 20-Авг-09 14:21

Покажи krb5.conf. А ты в АД смотрел, запись появилась?

"Регистрация PTR записи в АД"
Отправлено Thebas , 20-Авг-09 14:45

>Покажи krb5.conf
[libdefaults]
        default_realm = MY.REALM.LOC
        dns_lookup_realm = true
        dns_lookup_kdc = true
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

[realms]
        MY.REALM.LOC = {
#                kdc = dc01.my.realm.loc
#               kdc = dc01.my.realm.loc
                admin_server = dc01.my.realm.loc
                default_domain = my.realm.loc
        }
[domain_realm]
        .my.realm.loc = MY.REALM.LOC
        my.realm.loc = MY.REALM.LOC
#[logging]
#       kdc = CONSOLE
#default = FILE:/var/log/krb5libs.log
#kdc = FILE:/var/log/krb5kdc.log
#admin_server = FILE:/var/log/kadmind.log
#[appdefaults]
#pam = {
#debug = true
#ticket_lifetime = 36000
#renew_lifetime = 36000
#forwardable = true
#krb4_convert = false
#}

"Регистрация PTR записи в АД"
Отправлено Thebas , 20-Авг-09 15:02

А насчет АД если подскажеш как посмотреть посмотрю,пытался порыть гугл но както не вкурил как посмотреть.

"Регистрация PTR записи в АД"
Отправлено ALex_hha , 20-Авг-09 15:17

>А насчет АД если подскажеш как посмотреть посмотрю,пытался порыть гугл но както
>не вкурил как посмотреть.
Если не ошибаюсь, то должна появится обычная учетная запись. Т.е. посмотри с помощью оснастки Users and Computers
http://www.osp.ru/win2000/2007/04/4315494/

"Регистрация PTR записи в АД"
Отправлено Thebas , 20-Авг-09 15:52

Ты был отчасти прав, какаято лажа была с SPN но какая именно я не понял :) поудалял аккаунты из АД(компа и СПН), посоздавал заново и вуаля :))))))))
Жаль никто за PTR не отписался ну очень бы хотелось сделать все :) ну вот такой я педант.

"Регистрация PTR записи в АД"
Отправлено ALex_hha , 20-Авг-09 19:37

>Ты был отчасти прав, какаято лажа была с SPN но какая именно
>я не понял :) поудалял аккаунты из АД(компа и СПН), посоздавал
>заново и вуаля :))))))))
>
>Жаль никто за PTR не отписался ну очень бы хотелось сделать все
>:) ну вот такой я педант.
Ну а кто тебе мешает создать ptr запись в оснастке ДНС? Там вообще обратная зона есть? По дефолту она не создается. По крайней мере в win2k3, насчет 2k8 не знаю.

"Регистрация PTR записи в АД"
Отправлено Thebas , 21-Авг-09 10:09

>>Ты был отчасти прав, какаято лажа была с SPN но какая именно
>>я не понял :) поудалял аккаунты из АД(компа и СПН), посоздавал
>>заново и вуаля :))))))))
>>
>>Жаль никто за PTR не отписался ну очень бы хотелось сделать все
>>:) ну вот такой я педант.
>
>Ну а кто тебе мешает создать ptr запись в оснастке ДНС? Там
>вообще обратная зона есть? По дефолту она не создается. По крайней
>мере в win2k3, насчет 2k8 не знаю.
Обратная зона есть, а создать через оснастку я немогу, нехватает прав, контроллер домена и днс сервера не я админю :)

"Регистрация PTR записи в АД"
Отправлено Oles , 18-Сен-09 14:55

>>>Жаль никто за PTR не отписался ну очень бы хотелось сделать все
>>>:) ну вот такой я педант.
Аналогичная ситуация. Samba 3.3.6 действительно не создаёт запись в обратной зоне, и какой то джеймс даже выкладывал патчи для этого действа, не знаю эти патчи приняли в какую то ветку или нет.

"Регистрация PTR записи в АД"
Отправлено ALex_hha , 20-Сен-09 14:29

>>>>Жаль никто за PTR не отписался ну очень бы хотелось сделать все
>>>>:) ну вот такой я педант.
>
>Аналогичная ситуация. Samba 3.3.6 действительно не создаёт запись в обратной зоне, и
>какой то джеймс даже выкладывал патчи для этого действа, не знаю
>эти патчи приняли в какую то ветку или нет.
В ДНС надо настроить, чтобы он автоматом создавал ptr записи

"Регистрация PTR записи в АД"
Отправлено Thebas , 21-Сен-09 09:52

>>>>>Жаль никто за PTR не отписался ну очень бы хотелось сделать все
>>>>>:) ну вот такой я педант.
>>
>>Аналогичная ситуация. Samba 3.3.6 действительно не создаёт запись в обратной зоне, и
>>какой то джеймс даже выкладывал патчи для этого действа, не знаю
>>эти патчи приняли в какую то ветку или нет.
>
>В ДНС надо настроить, чтобы он автоматом создавал ptr записи
Как было сказано выше, ДНС админю не я поетому прописать там ничего не получится, т.к. виндовые компы сами создают ПТР записи то чисто теоретически под линухом ето реально.

"Регистрация PTR записи в АД"
Отправлено tux2002 , 21-Сен-09 10:50

>[оверквотинг удален]
>
>хотя kinit username проходит без проблем.
>
>Собственно суть проблемы:
>Есть подозрение что это связано с отсутствием PTR записи в DNS.
>Записи создавал при помощи:
>net ads dns register
>Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не
>приложу:ето так и должно быть, или результат моих кривых рук.
>Может кто расскажет как етот PTR создать.
Я думаю DNS тут слева. Командой ktpass вы создаёте только squid.keytab. Пользователя HTTP/squid.domain.loc@DOMAIN.LOC надо создавать как обычного пользователя через оснастку AD. Это точно.