https://slinkov.ru/openforum/vsluhforumID1/89421.html Здравствуйте все.<br><br>уже вторую неделю бъюсь над решением такой вот связки.<br><br>За основу взяты 3 мануала:<br><br>http://klaubert.wordpress.com/2008/01/09/squid-kerberos-authentication-and-ldap-authorization-in-active-directory/<br>http://serverfault.com/questions/66556/getting-squid-to-authenticate-with-kerberos-and-windows-2008-2003-7-xp<br>http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos<br><br>Система:<br>CentOS release 5.3 (Final)<br>pam_krb5-2.2.14-15<br>krb5-devel-1.6.1-36.el5_5.4<br>krb5-libs-1.6.1-36.el5_5.4<br>krb5-workstation-1.6.1-36.el5_5.4<br>samba 3.3.8<br>openldap-2.3.43-12.el5<br>openldap-devel-2.3.43-12.el5<br>собственно собраный msktutil-0.3.16.7<br><br>Создаю кейтаб:<br><br>/opt/msktutil/sbin/msktutil -c -b "CN=COMPUTERS" -s HTTP/suidsrv.test.xxx.local -h squidsrv.test.xxx.local -k /etc/squid/HTTP.keytab --computer-name squidsrv --upn HTTP/suidsrv.test.xxx.local --server dc2k8r2.test.xxx.local --verbose --enctypes 28<br><br>Смотрю, что получилось:<br><br>[root@squidsrv ~]# klist -ke /etc/squid/HTTP.keytab<br>Keytab name: https://slinkov.ru/openforum/vsluhforumID1/89421.html#14 Wed, 30 Dec 2015 22:44:05 GMT [libdefaults]<br> default_realm = WIN2003R2.HOME<br> dns_lookup_kdc = no<br> dns_lookup_realm = no<br> default_keytab_name = /etc/krb5.keytab<br>; for Windows 2003<br> default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5<br> default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5<br> permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5<br><br>; for Windows 2008 with AES<br>; default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5<br>; default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5<br>; permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5<br>;<br>; for MIT/Heimdal kdc no need to restrict encryption type<br><br>[realms]<br> WIN2003R2.HOME = {<br> kdc = w2k3r2.win2003r2.home<br> admin_server = w2k3r2.win2003r2.home<br> }<br><br>[domain_realm]<br> .linux.home = WIN2003R2.HOME<br> .win2003r2.home = WIN2003R2.HOME<br> win2003r2.home = WIN2003R2.HOME<br><br>[logging]<br> kdc = FILE:/var/l https://slinkov.ru/openforum/vsluhforumID1/89421.html#13 Wed, 24 Apr 2013 16:07:50 GMT &gt; Интересный вопрос: <br>&gt; вот по вот этому мануалу http://serverfault.com/questions/66556/getting-squid-to-authenticate-with-kerberos-and-windows-2008-2003-7-xp <br>&gt; необходимо в настройках браузера указывать FQDN прокси. IP - не подходит. <br>&gt; Проверил - действительно так.<br>&gt; А есть этому какое-либо объяснение?<br>&gt; Либо по-другому: а можно-ли обойти это ограничение?<br><br>Ограничение не обойти. Kerberos не работает без DNS.<br> https://slinkov.ru/openforum/vsluhforumID1/89421.html#12 Wed, 09 Nov 2011 08:35:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt; <br>&gt;&gt;в смысле с rc4 ?<br>&gt; с ArcFour with HMAC/md5.<br>&gt; Проблема вообще-то говоря решилась, но была не в версии MIT Kerberos.<br>&gt; В процессе поиска правильной конфигурации, получилось несколько пользователей с одинаковыми <br>&gt; UserPrincipalName. После удаления всех UserPrincipalName и заново созданного кейтаба, <br>&gt; все заработало даже с родной версией MIT Kerberos (1.6) CentOS.<br>&gt; До конца недели надеюсь проверить работоспособную конструкцию, и тогда уже полностью отписать <br>&gt; конфигурацию и возникшие проблемы.<br>&gt; Спасибо за поддержку.<br><br>Ну как дела? Отпишись обещанными проблемами и конфигурациями ))<br> https://slinkov.ru/openforum/vsluhforumID1/89421.html#11 Fri, 06 Aug 2010 06:29:22 GMT Интересный вопрос:<br>вот по вот этому мануалу http://serverfault.com/questions/66556/getting-squid-to-authenticate-with-kerberos-and-windows-2008-2003-7-xp необходимо в настройках браузера указывать FQDN прокси. IP - не подходит. Проверил - действительно так. <br>А есть этому какое-либо объяснение?<br>Либо по-другому: а можно-ли обойти это ограничение?<br> https://slinkov.ru/openforum/vsluhforumID1/89421.html#10 Wed, 04 Aug 2010 17:20:33 GMT &gt;&gt;Проверил: собрал 1.8. Проблема осталась прежней. <br>&gt;<br>&gt;в смысле с rc4 ? <br><br>с ArcFour with HMAC/md5. <br>Проблема вообще-то говоря решилась, но была не в версии MIT Kerberos. <br>В процессе поиска правильной конфигурации, получилось несколько пользователей с одинаковыми UserPrincipalName. После удаления всех UserPrincipalName и заново созданного кейтаба, все заработало даже с родной версией MIT Kerberos (1.6) CentOS. <br>До конца недели надеюсь проверить работоспособную конструкцию, и тогда уже полностью отписать конфигурацию и возникшие проблемы.<br>Спасибо за поддержку.<br><br> https://slinkov.ru/openforum/vsluhforumID1/89421.html#9 Wed, 04 Aug 2010 06:22:33 GMT &gt;&gt;&gt;3. возможные пути выхода из ситуации: <br>&gt;&gt;&gt;- раскопать какие виды шифрации в керберос доступны в win2008 <br>&gt;&gt;&gt;- докатить линуксовый керберос до 1.7 или 1.8 , там по крайней <br>&gt;&gt;&gt;мере есть rc4 <br>&gt;&gt;<br>&gt;&gt;Ок. проверю. <br>&gt;<br>&gt;Проверил: собрал 1.8. Проблема осталась прежней. <br><br>в смысле с rc4 ?<br> https://slinkov.ru/openforum/vsluhforumID1/89421.html#8 Fri, 30 Jul 2010 06:01:28 GMT &gt;&gt;3. возможные пути выхода из ситуации: <br>&gt;&gt;- раскопать какие виды шифрации в керберос доступны в win2008 <br>&gt;&gt;- докатить линуксовый керберос до 1.7 или 1.8 , там по крайней <br>&gt;&gt;мере есть rc4 <br>&gt;<br>&gt;Ок. проверю. <br><br>Проверил: собрал 1.8. Проблема осталась прежней.<br> https://slinkov.ru/openforum/vsluhforumID1/89421.html#7 Fri, 23 Jul 2010 13:43:26 GMT &gt;1. не сразу обратил внимание, что проблемы с win2008, скорее всего удалили <br>&gt;из него весь <br>&gt; des, <br><br>Точно не могу сказать, но по-моему я натыкался на статьи, где говорилось, что в 2008R2 он стандартно отключен. Его возмжно где-то включить, но майкрософт сильно не рекомендует это делать. (типа недостаточно надежный)<br><br>&gt;2. очень мог бы помочь лог kdc, не знаю возможно ли его <br>&gt;на винде получить. <br>&gt;записи типа : <br>&gt;&gt;Jul 23 16:22:01 kappa krb5kdc[3254](info): AS_REQ (7 etypes {18 17 16 23 1 3 2}) &gt;172.21.100.111: ISSUE: authtime 1279887721, etypes {rep=18 tkt=18 ses=18}, &gt;ldap/gsx.domain.com@REALM for krbtgt/REALM@REALM<br><br>Тоже не в курсе. Кстати вопрос: у меня прописаны пути к логам, но Керберос туда нчего не пишет. (Точнее сказать файлов даже нет). <br>Как добиться, что бы туда что-то падало?<br>Как альтернативый совет уже получил внедрение wireshark или еще какого-нибудь сниффера, что бы понять, что же происходит...<br><br>&gt;3. возможные пути выхода из ситуации: <br>&gt;- раскопать какие виды шифрации в керберос дос https://slinkov.ru/openforum/vsluhforumID1/89421.html#6 Fri, 23 Jul 2010 13:05:41 GMT 1. не сразу обратил внимание, что проблемы с win2008, скорее всего удалили из него весь <br> des,<br>2. очень мог бы помочь лог kdc, не знаю возможно ли его на винде получить.<br>записи типа :<br>&gt;Jul 23 16:22:01 kappa krb5kdc[3254](info): AS_REQ (7 etypes {18 17 16 23 1 3 2}) &gt;172.21.100.111: ISSUE: authtime 1279887721, etypes {rep=18 tkt=18 ses=18}, &gt;ldap/gsx.domain.com@REALM for krbtgt/REALM@REALM<br><br>3. возможные пути выхода из ситуации:<br>- раскопать какие виды шифрации в керберос доступны в win2008<br>- докатить линуксовый керберос до 1.7 или 1.8 , там по крайней мере есть rc4<br><br>и последнее - надеюсь, что на юниксе и винде часы синхронизированы.<br><br><br>