URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 2993
[ Назад ]

Исходное сообщение
"Авторизация пользователей в домене для squid."

Отправлено Finch , 09-Мрт-05 11:45 
Доброе время суток,
делаю авторизацию пользователей squid в домене windows,
делал как написано на http://www.opennet.me/base/net/win_domain_squid.txt.html.

Всё нормально работало, IE не спрашивал логина и пароля (брал из домена), mozzila спрашивала, вообщем всё работало....

Но через час работы, начал спрашивать опять логин и пароль, и ни один не стал проходить....
Начал делать всё заново как тут написано.... Теперь не могу получить билет от Kerberos'а.
Говорит логин и пароль не правильные, хотя всё нормально....
bash-2.05b# kinit -p finch@domain.ru
finch@domain.ru's Password:
kinit: Password incorrect

Вот что про kerberos в /var/log/messages

Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 13:30:39 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar 5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 13:32:30 proxy named[314]: check-names warning _kerberos._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 13:43:48 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar 5 13:55:27 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 14:46:11 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar 5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 15:01:28 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/SRV/IN
Mar 5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.Default-First-Site-Name._sites.dc._msdcs.domain.ru/SRV/IN
Mar 5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.dc._msdcs.mgus.ru/SRV/IN
Mar 5 15:15:10 proxy named[314]: check-names warning _ldap._tcp.6b27dff6-5eb5-4e5e-b8db-8e96bfae7fb4.domains._msdcs.domain.ru/


Вот что squid пишет в cache.log:

2005/03/04 14:19:34| Starting Squid Cache version 2.5.STABLE8 for i386-unknown-freebsd5.3...
2005/03/04 14:19:34| Process ID 583
2005/03/04 14:19:34| With 11072 file descriptors available
2005/03/04 14:19:34| Performing DNS Tests...
2005/03/04 14:19:34| Successful DNS name lookup tests...
2005/03/04 14:19:34| DNS Socket created at 0.0.0.0, port 49338, FD 5
2005/03/04 14:19:34| /etc/resolv.conf: (13) Permission denied
2005/03/04 14:19:34| Warning: Could not find any nameservers. Trying to use localhost
2005/03/04 14:19:34| Please check your /etc/resolv.conf file
2005/03/04 14:19:34| or use the 'dns_nameservers' option in squid.conf.2005/03/04 14:19:34| helperStatefulOpenServers: Starti
ng 30 'ntlm_auth' processes
2005/03/04 14:19:35| helperOpenServers: Starting 10 'ntlm_auth' processes
2005/03/04 14:19:35| Unlinkd pipe opened on FD 50
2005/03/04 14:19:35| Swap maxSize 102400 KB, estimated 7876 objects
2005/03/04 14:19:35| Target number of buckets: 393
2005/03/04 14:19:35| Using 8192 Store buckets
2005/03/04 14:19:35| Max Mem size: 8192 KB
2005/03/04 14:19:35| Max Swap size: 102400 KB
2005/03/04 14:19:35| Rebuilding storage in /usr/local/squid/var/cache (DIRTY)
2005/03/04 14:19:35| Using Least Load store dir selection
2005/03/04 14:19:35| Set Current Directory to /usr/local/squid/var/cache
2005/03/04 14:19:35| Loaded Icons.
2005/03/04 14:19:36| Accepting HTTP connections at 192.168.0.11, port 3128, FD 52.
2005/03/04 14:19:36| Accepting ICP messages at 0.0.0.0, port 3130, FD 53.
2005/03/04 14:19:36| WCCP Disabled.
2005/03/04 14:19:36| Ready to serve requests.
2005/03/04 14:19:36| Done reading /usr/local/squid/var/cache swaplog (193 entries)
2005/03/04 14:19:36| Finished rebuilding storage from disk.
2005/03/04 14:19:36| 190 Entries scanned
2005/03/04 14:19:36| 0 Invalid entries.
2005/03/04 14:19:36| 0 With invalid flags.
2005/03/04 14:19:36| 190 Objects loaded.
2005/03/04 14:19:36| 0 Objects expired.
2005/03/04 14:19:36| 0 Objects cancelled.
2005/03/04 14:19:36| 3 Duplicate URLs purged.
2005/03/04 14:19:36| 0 Swapfile clashes avoided.
2005/03/04 14:19:36| Took 0.5 seconds ( 347.7 objects/sec).
2005/03/04 14:19:36| Beginning Validation Procedure
2005/03/04 14:19:36| Completed Validation Procedure
2005/03/04 14:19:36| Validated 187 Entries
2005/03/04 14:19:36| store_swap_size = 886k
2005/03/04 14:19:36| storeLateRelease: released 0 objects
2005/03/04 15:49:13| WARNING: ntlmauthenticator #1 (FD 7) exited


Вот мой конфиг кербероса,

bash-2.05b# cat /etc/krb5.conf
[logging]
default = FILE:/var/log/krb5/libs.log
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log

[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.RU
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
MGUS.RU = {
kdc = Dc.domain.ru:88
default_domain = Dc.domain.ru
}

[domain_realm]
.mgus.ru = DOMAIN.RU
mgus.ru = DOMAIN.RU
[kdc]
profile = /var/kerberos/kdc.conf
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false


В логах винды ни чего нет.

Народ, может кто с этим сталкивался?
Или знаете в чём проблема?

Подскажите!

beer Зарание спасибо за помощь!


Содержание

Сообщения в этом обсуждении
"Авторизация пользователей в домене для squid."
Отправлено Finch , 10-Мрт-05 16:13 
Мужики! Кто нибудь может помочь? В чём может быть загвоздка?

"Авторизация пользователей в домене для squid."
Отправлено yura , 10-Мрт-05 17:54 
Сквид ругается, что не может открыть файл /etc/resolv.conf.

>2005/03/04 14:19:34| /etc/resolv.conf: (13) Permission denied
>2005/03/04 14:19:34| Warning: Could not find any nameservers. Trying to use localhost
>
>2005/03/04 14:19:34| Please check your /etc/resolv.conf file
>2005/03/04 14:19:34| or use the 'dns_nameservers' option in squid.conf.

Проверь, что выдает команда nslookup.


"Авторизация пользователей в домене для squid."
Отправлено Finch , 11-Мрт-05 10:39 
Разобрался. Как то не понятно, что ему не нравилось, потыркался. Попробывал запускать не как kinit -p finch@domain.ru , а запустил вот так kinit finch.
Прошло... тока ключ действует пару часов.. Придётся запускать в cron, тока не понятно как быть с паролем, он же его спрашивает, тогда как его вводить?

Теперь ещё проблема.... вообще не понимаю... что за прикол?

Запускаю winbindd -d10 , запускается, делаю ps ax|grep winbindd, ничё не говорит, делаю
su-2.05b# wbinfo -t
checking the trust secret via RPC calls failed
error code was (0x0)
Could not check secret

В /var/log/messages пишет следующее:

Mar 11 10:25:38 proxy winbindd[25793]: Kinit failed: Unknown error -1765328228
Mar 11 10:25:38 proxy winbindd[25793]: Kinit failed: Unknown error -1765328228
Mar 11 10:25:38 proxy winbindd[25793]: [2005/03/11 10:25:38, 0] lib/util_sock.c:create_pipe_sock(1206)
Mar 11 10:25:38 proxy winbindd[25793]: [2005/03/11 10:25:38, 0] lib/util_sock.c:create_pipe_sock(1206)
Mar 11 10:25:38 proxy winbindd[25793]: invalid permissions on socket directory /var/db/samba/winbindd_privileged
Mar 11 10:25:38 proxy winbindd[25793]: invalid permissions on socket directory /var/db/samba/winbindd_privileged

Во первых, не понятно что за ошибка кербероса 1765328228, хотя билет выдаёт, и керберос вроде пашет.... И вторая непонятная ошибка, это про прова на /var/db/samba/winbindd_privileged
Хотя они такие:

su-2.05b# cd /var/db/samba/
su-2.05b# ls -l
total 46
-rw-r--r-- 1 root wheel 8192 Mar 11 10:35 gencache.tdb
-rw------- 1 root wheel 696 Mar 11 10:30 messages.tdb
-rw------- 1 root wheel 696 Mar 11 10:29 netsamlogon_cache.tdb
-rw------- 1 root wheel 24576 Mar 11 10:33 winbindd_cache.tdb
-rw-r--r-- 1 root wheel 8192 Mar 11 10:29 winbindd_idmap.tdb
drwxr-x--- 2 root wheel 512 Mar 11 10:30 winbindd_privileged


su-2.05b# cd winbindd_privileged/
su-2.05b# ls -l
total 0
srwxrwxrwx 1 root wheel 0 Mar 11 10:30 pipe


Вот конфиг самбы,
[global]
workgroup = domain
;netbios name = Proxy
;server string = Proxy Server
;realm = domain.ru
security = ads
;hosts allow = 192.168. 127.
password server = Dc Dc1
encrypt passwords = yes
;load printers = no
;guest account = pcguest
log file = /usr/local/samba/var/log.%m
max log size = 50
winbind separator = +
winbind uid = 10000-20000
winbind gid = 10000-20000
;winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/winnt/%D/%U
template shell = /bin/sh


Ругался он на resolv.conf, исправил права на 644, тестанул nslookup, всё нормально.....

Почему может падать winbindd? И какие права доступа тогда должны быть на winbindd_priveleged, чтоб и самбе хорошо было и чтоб сквид мог их использовать?


"Авторизация пользователей в домене для squid."
Отправлено Stir , 11-Мрт-05 13:37 
>Почему может падать winbindd? И какие права доступа тогда должны быть на
>winbindd_priveleged, чтоб и самбе хорошо было и чтоб сквид мог их
>использовать?

На /var/db/samba/ вместо гркппы wheel дай права группе к которой принадлежит пользовать от которого squid запускается


"Авторизация пользователей в домене для squid."
Отправлено Finch , 11-Мрт-05 14:17 
>>Почему может падать winbindd? И какие права доступа тогда должны быть на
>>winbindd_priveleged, чтоб и самбе хорошо было и чтоб сквид мог их
>>использовать?
>
>На /var/db/samba/ вместо гркппы wheel дай права группе к которой принадлежит пользовать
>от которого squid запускается

Сделал chown -R root:squid /var/db/samba

Но ведь это не спасает от

bash-2.05b# wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_INTERNAL_ERROR (0xc00000e5)
Could not check secret

Хоть ps ax показывает, что winbindd есть....

Конфиг smb.conf вверху....

Что ему не нравиться?


"Авторизация пользователей в домене для squid."
Отправлено Stir , 11-Мрт-05 15:24 
>>>Почему может падать winbindd? И какие права доступа тогда должны быть на
>>>winbindd_priveleged, чтоб и самбе хорошо было и чтоб сквид мог их
>>>использовать?
>>
>>На /var/db/samba/ вместо гркппы wheel дай права группе к которой принадлежит пользовать
>>от которого squid запускается
>
>Сделал chown -R root:squid /var/db/samba
>
>Но ведь это не спасает от
>
>bash-2.05b# wbinfo -t
>checking the trust secret via RPC calls failed
>error code was NT_STATUS_INTERNAL_ERROR (0xc00000e5)
>Could not check secret
>
>Хоть ps ax показывает, что winbindd есть....
>
>Конфиг smb.conf вверху....
>
>Что ему не нравиться?


Dc и Dc1 нормально пингуются с прокси?


"Авторизация пользователей в домене для squid."
Отправлено Finch , 11-Мрт-05 15:43 
>Dc и Dc1 нормально пингуются с прокси?

В том то и дело что ДА! Пингуются! А к winbindd нельзя приконектится.... :(



"Авторизация пользователей в домене для squid."
Отправлено Sitr , 11-Мрт-05 14:17 
Прошу прощения не на весь католог /var/db/samba, а только на /var/db/samba/winbindd_privileged