Необходимо сделать по заказу squid+kerberos.
Зашел на сайт сквида и увидел статью
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb..., после недолгих поисков
http://www.lissyara.su/?id=2101
Все сделал завелось, порадовался. Тестовые юзеры ходят Через день раз и все отвалилось.
В логах
Код:
authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'Пересоздал keytab, перезагрузил squid. Тоже самое. Гугление не чего не дало.
>[оверквотинг удален]
> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb..., после недолгих
> поисков
> http://www.lissyara.su/?id=2101
> Все сделал завелось, порадовался. Тестовые юзеры ходят Через день раз и все
> отвалилось.
> В логах
> Код:
> authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned
> 'BH received type 1 NTLM token'
> Пересоздал keytab, перезагрузил squid. Тоже самое. Гугление не чего не дало.Купи Websense )))
> authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned
> 'BH received type 1 NTLM token'Ну в логах как-бы намекают что получен NTLM token а никак не Kerberos
1. Покажите конфиг сквида, в частности секцию где настроены аутентификаторы.
2. Какими браузерами пользаки ходят в инет?
>> authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned
>> 'BH received type 1 NTLM token'
> Ну в логах как-бы намекают что получен NTLM token а никак не
> Kerberos
> 1. Покажите конфиг сквида, в частности секцию где настроены аутентификаторы.
> 2. Какими браузерами пользаки ходят в инет?
free# uname -a
FreeBSD free.domain.ru 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Mon Jul 19 02:36:49 UTC 2010 root@mason.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC amd64
free#
free# cat /usr/local/etc/squid/squid.conf
visible_hostname free.domain.ru
http_port 3128
access_log /var/log/squid/access.logauth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive onacl auth proxy_auth REQUIRED
http_access deny !auth
http_access allow auth
http_access deny all
cache_dir ufs /usr/local/etc/squid/cache 45000 64 256
free#Раньше как то работало через ie7. Под тестовым юзером юзал ie7, opera. Так как практически все юзеры пользуются windows 7 и ie7, то упор делал на них. Вчера все с 0 переделал все равно не заработало.
> Раньше как то работало через ie7. Под тестовым юзером юзал ie7, opera.1. Часы сдвинулись?
2. Доменные имена поменялись? (днс разрешение сквида должно работать в обе стороны и давать fqn)
3. Вход вендовых клиентов в их вендовую систему поменялся (не логинятся в домене) ?
4. Настройки АД поменялись (при входе в домен проходит NTLM аутентификацию вместо керберос?
...
>> Раньше как то работало через ie7. Под тестовым юзером юзал ie7, opera.
> 1. Часы сдвинулись?
> 2. Доменные имена поменялись? (днс разрешение сквида должно работать в обе стороны
> и давать fqn)
> 3. Вход вендовых клиентов в их вендовую систему поменялся (не логинятся в
> домене) ?
> 4. Настройки АД поменялись (при входе в домен проходит NTLM аутентификацию вместо
> керберос?
> ...1. Часы не сдвигались, подправляю их по ntpdate
2. Записал fqdn в hosts на машине клиента.
3. Все логинятся нормально, как и было.
4. Как это определить, как было логин-пароль так и осталось.
> 4. Как это определить, как было логин-пароль так и осталось.Я бы в первую очередь посмотрел логи керберос сервера на АД. Клиент должен запросить и получить билет для принципала HTTP/fqndn_of_squid@YOUR_REALM.