- Squid kerberos AD 2008,
 DarK, 11:00 , 01-Ноя-11 (1)
> kinit: Client 'HTTP/proxy.abc.local@ABC.LOCAL' not found in Kerberos database while getting
> initial credentials
> Помогите в чем проблема ??? Хотя после создания keytab-а. У пользователя admin вход в домен изменился на HTTP/proxy.abc.local
- Squid kerberos AD 2008, Cristian, 13:02 , 01-Ноя-11 (2)
Вот вариант того, как работает у меня.
ktpass -princ HTTP//squidname.domain.name.loc@DOMAIN.NAME.LOC -mapuser squid_user@DOMAIN.NAME.LOC -crypto rc4-hmac-nt -pass "12345678" -out c:\krb5.keytab
(у пользователя, на которого генерируется билет, необходимо запретить смену пароля и срок действия пароля неограничен)После чего "krb5.keytab" размещаем в /etc/krb5.keytab (FreeBSD 8.2) и назначаем такие права:
============================================
-r-xr-xr-x 1 nobody nobody krb5.keytab
============================================ Проверяем:
============================================
% kinit -t /etc/krb5.keytab -k HTTP/squidname.domain.name.loc
% klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: HTTP//squidname.domain.name.loc@DOMAIN.NAME.LOC Issued Expires Principal
Nov 1 11:06:09 Nov 1 21:06:09 krbtgt/DOMAIN.NAME.LOC@DOMAIN.NAME.LOC
============================================
в конфиге Squid-a:
============================================
auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth -d -s HTTP//squidname.domain.name.loc@DOMAIN.NAME.LOC
#-d debug режим, смотрим в cache.log (можно убрать после отладки)
auth_param negotiate children 10
auth_param negotiate keep_alive on acl REQUIRED proxy_auth REQUIRED #REQUIRED - все пользователи, которые прошли авторизацию
http_access allow REQUIRED
============================================ В DNS на серверах необходимо создать запись squidname.domain.name.loc, которая будет соответствовать IP-адресу вашему прокси. В браузерах клиентов необходимо указывать адрес прокси "squidname.domain.name.loc", по IP работать не будет!!!! Надеюсь данная информация поможет вам в решение ваших проблем
- Squid kerberos AD 2008, DarK, 17:11 , 01-Ноя-11 (3)
>[оверквотинг удален]
> auth_param negotiate keep_alive on
> acl REQUIRED proxy_auth REQUIRED
> #REQUIRED - все пользователи, которые прошли авторизацию
> http_access allow REQUIRED
> ============================================
> В DNS на серверах необходимо создать запись squidname.domain.name.loc, которая будет соответствовать
> IP-адресу вашему прокси.
> В браузерах клиентов необходимо указывать адрес прокси "squidname.domain.name.loc",
> по IP работать не будет!!!!
> Надеюсь данная информация поможет вам в решение ваших проблем Большое спасибо! Протестирую и сразу отпишусь))
- Squid kerberos AD 2008, DarK, 21:27 , 01-Ноя-11 (4)
> Большое спасибо! Протестирую и сразу отпишусь)) C:\Users\Администратор.DC1>ktpass -princ HTTP//proxy.babilon.local@BABILON.LOCAL
-mapuser squid_user@BABILON.LOCAL -crypto rc4-hmac-nt -pass "Uzel963" -out c:\k
rb5.keytab
Targeting domain controller: dc1.babilon.local
Using legacy password setting method
Successfully mapped HTTP//proxy.babilon.local to squid_user.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to c:\krb5.keytab:
Keytab version: 0x502
keysize 75 HTTP//proxy.babilon.local@BABILON.LOCAL ptype 0 (KRB5_NT_UNKNOWN) vno
3 etype 0x17 (RC4-HMAC) keylength 16 (0xde0e25a54cb8ed52daa6ca713e59b9d4)
Копирую krb5.keytab в /etc/
-r-xr-xr-x 1 nobody nobody 81 Nov 1 22:16 /etc/krb5.keytab proxy ~ # kinit -t /etc/krb5.keytab -k HTTP/proxy.babilon.local
kinit: Client 'HTTP/proxy.babilon.local@BABILON.LOCAL' not found in Kerberos database while getting initial credentials В примере HTTP//domain.name.loc т.е. два слеша если делаю так
proxy ~ # kinit -t /etc/krb5.keytab -k HTTP//proxy.babilon.local
kinit: No key table entry found for HTTP//proxy.babilon.local@BABILON.LOCAL while getting initial credentials все равно гдето ошибка, что опять не так ? и да у меня не FreeBSD а Gentoo если конечно это на что то влияет
- Squid kerberos AD 2008, DarK, 09:38 , 02-Ноя-11 (5)
Все делаю по примеру. У созданного пользователя логин меняется на HTTP/proxy.babilon.local
Но такая фигня
proxy ~ # kinit -t /etc/squid/proxy.babilon.local.keytab -k HTTP/proxy.babilon.local
kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting initial credentialsЯ так понял keytab неправильно создается.
- Squid kerberos AD 2008, Cristian, 11:36 , 02-Ноя-11 (6)
> Все делаю по примеру. У созданного пользователя логин меняется на HTTP/proxy.babilon.local
> Но такая фигня
> proxy ~ # kinit -t /etc/squid/proxy.babilon.local.keytab -k HTTP/proxy.babilon.local
> kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting
> initial credentials
> Я так понял keytab неправильно создается.Прошу прощения. Действительно, в строке генерации ключа необходимо указывать один слеш (ktpass -princ HTTP/domain) С генерируйте снова keytab, с одним слешем и попробуйте проверить (kinit)
Заранее проверьте, резолвиться ли ваш "babilon.local" на сервере прокси где вы запускаете kinit. Какая у вас операционная система, где установлен Squid? На разных OS могут отличаться ключи запуска, для kinit.
- Squid kerberos AD 2008, DarK, 13:05 , 02-Ноя-11 (7)
>[оверквотинг удален]
>> kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting
>> initial credentials
>> Я так понял keytab неправильно создается.
> Прошу прощения. Действительно, в строке генерации ключа необходимо указывать один слеш
> (ktpass -princ HTTP/domain)
> С генерируйте снова keytab, с одним слешем и попробуйте проверить (kinit)
> Заранее проверьте, резолвиться ли ваш "babilon.local" на сервере прокси где вы запускаете
> kinit.
> Какая у вас операционная система, где установлен Squid? На разных OS могут
> отличаться ключи запуска, для kinit.Да я менял. HTTP/proxy.babilon.local тоже не работает. Ошибка
kinit -t /etc/squid/proxy.babilon.local.keytab -k HTTP/proxy.babilon.local
kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting initial credentials
Gentoo OS, Squid 2.7 установлен на нем.
Домен контроллер windows server 2008 R2 enterprise. AD + DNS
- Squid kerberos AD 2008, DarK, 08:30 , 03-Ноя-11 (8)
>[оверквотинг удален]
>> Заранее проверьте, резолвиться ли ваш "babilon.local" на сервере прокси где вы запускаете
>> kinit.
>> Какая у вас операционная система, где установлен Squid? На разных OS могут
>> отличаться ключи запуска, для kinit.
> Да я менял. HTTP/proxy.babilon.local тоже не работает. Ошибка
> kinit -t /etc/squid/proxy.babilon.local.keytab -k HTTP/proxy.babilon.local
> kinit: No key table entry found for HTTP/proxy.babilon.local@BABILON.LOCAL while getting
> initial credentials
> Gentoo OS, Squid 2.7 установлен на нем.
> Домен контроллер windows server 2008 R2 enterprise. AD + DNS Проблема решилась, просто при создании Keytaba использовал шифрование AES, теперь
proxy ~ # kinit -V -k -t /etc/squid/proxy.babilon.local.keytab HTTP/proxy.babilon.local
Using default cache: /tmp/krb5cc_0
Using principal: HTTP/proxy.babilon.local@BABILON.LOCAL
Using keytab: /etc/squid/proxy.babilon.local.keytab
Authenticated to Kerberos v5 Но теперь не проходит авторизация в cache.log
2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59).
2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59).
2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
C этим как бороться :) ?
- Squid kerberos AD 2008, Cristian, 11:16 , 03-Ноя-11 (9)
Вы на верном пути реализации Kerberos авторизации =)Будет полезным прочесть это "http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb..., если не читали. Я не знаю откуда вы взяли и собрали из исходников SQUID, а потому рекомендую добавить в исполняемый файл запуска это:
KRB5_KTNAME=/dir/to/HTTP.keytab
export KRB5_KTNAME Второй момент который нужно учесть, это синхронизация времени. Время между серверами прокси, АД и пользователем, не должно отличатся более чем 5 минут. В браузере пользователя указываться не IP-proxy а FQDN, кроме того kerberos авторизация работает в explorer-версиях начиная с 7-й. На 6-й и ниже не работает!!! auth_param negotiate program /dir/to/squid/squid_kerb_auth -d -s HTTP//proxy.babilon.local@BABILON.LOCAL Надеюсь у Вас все получиться!
- Squid kerberos AD 2008, DarK, 13:48 , 03-Ноя-11 (10)
>[оверквотинг удален]
> потому рекомендую добавить в исполняемый файл запуска это:
> KRB5_KTNAME=/dir/to/HTTP.keytab
> export KRB5_KTNAME
> Второй момент который нужно учесть, это синхронизация времени. Время между серверами прокси,
> АД и пользователем, не должно отличатся более чем 5 минут.
> В браузере пользователя указываться не IP-proxy а FQDN, кроме того kerberos авторизация
> работает в explorer-версиях начиная с 7-й. На 6-й и ниже не
> работает!!!
> auth_param negotiate program /dir/to/squid/squid_kerb_auth -d -s HTTP//proxy.babilon.local@BABILON.LOCAL
> Надеюсь у Вас все получиться!Ок. Все равно спасибо вам. буду смотреть дальше надеюсь когда нибудь получиться настроить эту связку ))
- Squid kerberos AD 2008, DarK, 08:11 , 04-Ноя-11 (11)
при перезапуске сквида, командой klist что должно показывать может в этом проблема ??
- Squid kerberos AD 2008, Cristian, 13:15 , 04-Ноя-11 (12)
> при перезапуске сквида, командой klist что должно показывать может в этом проблема
> ??kinit & klist ни как не связаны с squid-om.
Данные команды нужны Вам только для проверки работы ключа.
|
Версия для распечатки
Squid kerberos AD 2008, 
