Васильченко Евгений Витальевич написал пошаговое руководство (http://www.opennet.me/base/net/squid_win2003_auth.txt.html) по настройке FreeBSD 5.4 сервера с Samba, Kerberos клиентом и прокси-сервером Squid, с аутентификацией пользователей в домене Windows 2003.

URL: http://www.opennet.me/base/net/squid_win2003_auth.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=5983

• Аутентификация пользователей squid в домене Windows 2003 Server,Аноним, 00:03 , 29-Авг-05
  • Аутентификация пользователей squid в домене Windows 2003 Ser...,reaper, 07:28 , 29-Авг-05
• Аутентификация пользователей squid в домене Windows 2003 Server,lewap, 09:25 , 29-Авг-05
  • Аутентификация пользователей squid в домене Windows 2003 Ser...,const, 09:39 , 29-Авг-05
    • Аутентификация пользователей squid в домене Windows 2003 Ser...,Васильченко Евгений, 09:46 , 29-Авг-05
• Аутентификация пользователей squid в домене Windows 2003 Server,mxm, 10:23 , 29-Авг-05
  • Аутентификация пользователей squid в домене Windows 2003 Ser...,sauron, 10:49 , 29-Авг-05
    • Аутентификация пользователей squid в домене Windows 2003 Ser...,mxm, 11:12 , 29-Авг-05
      • Аутентификация пользователей squid в домене Windows 2003 Ser...,sauron, 12:17 , 29-Авг-05
        • Слышал я звон, но не знаю - он? не он?,mxm, 13:46 , 29-Авг-05
          • Слышал я звон, но не знаю - он? не он?,sauron, 07:12 , 30-Авг-05
      • Аутентификация пользователей squid в домене Windows 2003 Ser...,star76, 13:22 , 01-Сен-06
• Аутентификация пользователей squid в домене Windows 2003 Server,Сщкмфч, 11:02 , 29-Авг-05
  • Аутентификация пользователей squid в домене Windows 2003 Ser...,Андрей, 13:14 , 29-Авг-05
• Аутентификация пользователей squid в домене Windows 2003 Server,Chris, 11:18 , 29-Авг-05
  • Аутентификация пользователей squid в домене Windows 2003 Ser...,Corvax, 11:36 , 29-Авг-05
    • Аутентификация пользователей squid в домене Windows 2003 Ser...,U, 12:06 , 29-Авг-05
• Аутентификация пользователей squid в домене Windows 2003 Server,неаноним, 17:09 , 29-Авг-05
  • Аутентификация пользователей squid в домене Windows 2003 Ser...,Nikola, 09:11 , 30-Авг-05
  • Аутентификация пользователей squid в домене Windows 2003 Ser...,Васильченко Евгений, 12:57 , 30-Авг-05
    • Аутентификация пользователей squid в домене Windows 2003 Ser...,mxm, 13:41 , 30-Авг-05
    • Аутентификация пользователей squid в домене Windows 2003 Ser...,Nikola, 12:28 , 31-Авг-05
• Аутентификация пользователей squid в домене Windows 2003 Server,Yotun, 13:31 , 30-Авг-05
• самба никого не пускает, третий день бьюсь,badwore, 18:48 , 30-Авг-05
• Аутентификация пользователей squid в домене Windows 2003 Server,bb, 14:59 , 23-Мрт-06
  • Аутентификация пользователей squid в домене Windows 2003 Ser...,DarkSide83, 17:00 , 31-Мрт-07

а домен 2003 на самбе?

там же написано что нет

------
Если в сети нет DNS-сервера, то необходимо изменить файлы hosts на
контроллере домена и на FreeBSD.
-------

А как интересно виндовский домен ( 2003)и без DNS?

В России всякое бывает...

DNS естественно в домене будет, но совсем необязательно, что он будет правильно работать, к тому же он может быть настроен с какими-либо специфическими целями, поэтому хост-файлы - нормальная замена

А что произойдет 19-го августа в 00:50:51, когда
срок действия "билета" закончится?

Будет получен ответ от сервера что "билет" истек и будет получен новый. Хотя вообще-то этот "билет" отношения к самбе никакого не имеет и необходим только на период подключения.

>Будет получен ответ от сервера что "билет" истек и будет получен новый.
Точно? При тех настройках, что приводятся в статье? У меня не обновился.
И klist показывал, что "билет" не обновился.

>Хотя вообще-то этот "билет" отношения к самбе никакого не имеет и
>необходим только на период подключения.
м-м-м...

>Точно? При тех настройках, что приводятся в статье? У меня не обновился. И klist показывал, что "билет" не обновился.
А вы куда-то обращались еще ? Нет ? Тогда почему "тикет" должен обновиться ?

>м-м-м...
Вот вам и ммм... Он требуется для добавления Samba сервера в AD домен.

>>Точно? При тех настройках, что приводятся в статье? У меня не обновился. И klist показывал, что "билет" не обновился.
>А вы куда-то обращались еще ? Нет ? Тогда почему "тикет" должен
>обновиться ?
Обращался? Я? Не понял...
По поводу обновления "тикета". Можно вручную через повторный вызов klist,
а можно, говорят\пишут, автоматически (после манипуляций с kutil).
Не разбирался с этим подробно (см. ниже) вот и спрашиваю, вдруг
"носители знания" откликнутся...

>>м-м-м...
>Вот вам и ммм... Он требуется для добавления Samba сервера в AD
>домен.
Да я и не спорю, может и не нужен. Только, как мне кажется, с таким
"билетом" не работает определение принадлежности пользователя к
secondary-group. Впрочем, не настаиваю, возможно что-то недотестировал и
хватило мне primary-group.

>Обращался? Я? Не понял...
К другому или этому же сервису с поддержкой аутентификации Kerberos V.

>По поводу обновления "тикета". Можно вручную через повторный вызов klist,
>а можно, говорят\пишут, автоматически (после манипуляций с kutil).
Да или через klist или через выставление специального параметра policy. Хотя по умолчанию этот параметр выключен и обновление производится только, при очередном обращении к сервису и при истечении времени жизни тикета.

>Не разбирался с этим подробно (см. ниже) вот и спрашиваю, вдруг "носители знания" откликнутся...
Так более подробно ? Если интересует этот вопрос могу поделиться книгой O'Reilly "Kerberos Guide", в ней описано более подробно. Т.к. я описываю процесс по памяти.

>Да я и не спорю, может и не нужен. Только, как мне кажется, с таким
>"билетом" не работает определение принадлежности пользователя к
>secondary-group. Впрочем, не настаиваю, возможно что-то недотестировал и
>хватило мне primary-group.
Это суда вообще никаким боком.

>И klist показывал, что "билет" не обновился.

Я нашел методику обновленяи билета. Делается следующим образом:
1. На DC дается команда
ktpass /out keytab  /pass пароль_польз /princ имя_польз@REALM /ptype KRB5_NT_SRV_HST

2. Потом файл keytab копируется на юниксовую машину и там периодически
дается команда
kinit  -R -k -t keytab имя_польз@REALM

билет обновляется без пароля

Фантазия у Евгений Витальевича работает замечательная: домен fuck-you.ru скреативил. В остальном все замечатльно, но не хватает слов "впендюрить" и т.п.
Надо попросить его перевести на русский книгу Немет...

+1

Что я Вам господа скажу... Вам бы самим руки подкрутить, а то пальцы одни... Зачем человека обсирать, ведь молодец, не побоялся, выложил статью, замечтально написаную технически и альтернативы приведены и всё хорошо, так что молодец, не обращай внимания на ребят переехавших сюда с удаф.ком по воле случая.

По технич. части притензий никаких нет. Жалко, что в серьезной по структуре и качеству статье столь неудачные примеры. :-(
Это вовсе не пальцы.

Corvax - поддерживаю польностью

With UTMP support (хрен знает, что такое)
workgroup = fuck-you
server string = fuck you mazefakers

Вот это все сильно поднимает авторитет?

>With UTMP support (хрен знает, что такое)
>workgroup = fuck-you
>server string = fuck you mazefakers
>
>Вот это все сильно поднимает авторитет?
О том и речь, даже в начале статьи.

>просьба некоторым сильно
>"продвинутым" товарищам воздержаться от комментариев в ее адрес, т.к. их
>мнения нахрен не нужны никому
Почему не матом? Или не "Бобруйск"
Автор хочет стать Аффтарам?
Такое впечатление что его заставляли писАть статью, а он кричал и упирался.

Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт с таким именем когда-то действительно был. Естественно, что при написании статьи учел не все. Например виндовые глюки учесть невозможно - они проявляются у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить статью?

>Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт
>с таким именем когда-то действительно был. Естественно, что при написании статьи
>учел не все. Например виндовые глюки учесть невозможно - они проявляются
>у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить статью?

ага. правда раньше делали и не по статье, но так-же. спасибо огромное за
сведение "знания" в одну статью. все отлично.

>Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт
>с таким именем когда-то действительно был. Естественно, что при написании статьи
>учел не все. Например виндовые глюки учесть невозможно - они проявляются
>у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить
>статью?
У меня когда lifetime ключа истекал переставало пускать, поэтому переделал под security = domain а не ads. Было бы всё-таки интересно узнать кто нибудь решил проблему с окончанием действия ключа kerberos? kinit -R не спасало.

а почему в конфиге самбы security = domain?
для работы через керберос вроде как нужно security = ads. Во всяком случае, у меня работает именно так.

Кстати, с русскими именами пользователей отлично работает :)

керберос работает, самба заджойнилась, wbinfo все что нужно выдает, по id виндовых юзеров видно
НО самба никого не пускает

net view \\gate выдает Access denied, в логе запись:
smbd/sesssetup.c:reply_spnego_kerberos(250)
username DOMAIN.LOCAL\test is invalid on this system

net view \\192.168.1.254 выдает Access denied, в логе запись:
auth/auth_winbind.c:check_winbind_security(123)
check_winbind_security: ERROR!  my_private_data == NULL!

при попытке залогинится под виндовым юзером в логе запись:
Failed password for test from 192.168.1.2

устал с ней биться , подскажите где копать

PS: gate=192.168.1.254
самба собиралась из сырцов, 3.0.14a

с правильным паролем пишет
#kinit user@domain
#kinit: password incorect
как исправить??

>с правильным паролем пишет
>#kinit user@domain
>#kinit: password incorect
>как исправить??

Сталкивался с такой бедой, после переведения все доменных имен в верхний регистр в
файлах smb.conf и krb5.conf, все заработало.