форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Регистрация PTR записи в АД"		+/–
Сообщение от Thebas on 19-Авг-09, 16:08
Предисловие: Пытаюсь настроить squid+kerberos auth. Прочитал мануал все показалось не очень сложно Создаю принципиал: ktpass -princ HTTP/squid.domain.loc@DOMAIN.LOC -mapuser kv-kv-squid -crypto des-cbc-md5 -pass * -ptype KRB5_NT_SRV_HST -out c:\squid.keytab проверяю: kinit -V -k -t /mnt/xp/squid.keytab HTTP/squid.domain.loc kinit(v5): Client not found in Kerberos database while getting initial credentials хотя kinit username проходит без проблем. Собственно суть проблемы: Есть подозрение что это связано с отсутствием PTR записи в DNS. Записи создавал при помощи: net ads dns register Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не приложу:ето так и должно быть, или результат моих кривых рук. Может кто расскажет как етот PTR создать.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Регистрация PTR записи в АД"		+/–
Сообщение от ALex_hha (ok) on 19-Авг-09, 16:58
>[оверквотинг удален] > >хотя kinit username проходит без проблем. > >Собственно суть проблемы: >Есть подозрение что это связано с отсутствием PTR записи в DNS. >Записи создавал при помощи: >net ads dns register >Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не >приложу:ето так и должно быть, или результат моих кривых рук. >Может кто расскажет как етот PTR создать. Тебе скорее всего надо SPN создать, врядли ptr тут причем
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Регистрация PTR записи в АД"		+/–
	Сообщение от Thebas on 19-Авг-09, 17:01
	>[оверквотинг удален] >> >>Собственно суть проблемы: >>Есть подозрение что это связано с отсутствием PTR записи в DNS. >>Записи создавал при помощи: >>net ads dns register >>Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не >>приложу:ето так и должно быть, или результат моих кривых рук. >>Может кто расскажет как етот PTR создать. > >Тебе скорее всего надо SPN создать, врядли ptr тут причем ktpass -princ HTTP/squid.domain.loc@DOMAIN.LOC -mapuser kv-kv-squid -crypto des-cbc-md5 -pass * -ptype KRB5_NT_SRV_HST -out c:\squid.keytab если не ошибаюсь вот етим я его и создаю?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Регистрация PTR записи в АД"		+/–
	Сообщение от ALex_hha (ok) on 19-Авг-09, 20:04
	>[оверквотинг удален] >>>net ads dns register >>>Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не >>>приложу:ето так и должно быть, или результат моих кривых рук. >>>Может кто расскажет как етот PTR создать. >> >>Тебе скорее всего надо SPN создать, врядли ptr тут причем > >ktpass -princ HTTP/squid.domain.loc@DOMAIN.LOC -mapuser kv-kv-squid -crypto des-cbc-md5 -pass * -ptype KRB5_NT_SRV_HST -out >c:\squid.keytab >если не ошибаюсь вот етим я его и создаю? SPN создается на контроллере домена
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Регистрация PTR записи в АД"		+/–
	Сообщение от Thebas on 20-Авг-09, 10:17
	>[оверквотинг удален] >>>>приложу:ето так и должно быть, или результат моих кривых рук. >>>>Может кто расскажет как етот PTR создать. >>> >>>Тебе скорее всего надо SPN создать, врядли ptr тут причем >> >>ktpass -princ HTTP/squid.domain.loc@DOMAIN.LOC -mapuser kv-kv-squid -crypto des-cbc-md5 -pass * -ptype KRB5_NT_SRV_HST -out >>c:\squid.keytab >>если не ошибаюсь вот етим я его и создаю? > >SPN создается на контроллере домена http://technet.microsoft.com/en-us/library/cc753771%28W... Цитирую: Ktpass Configures the server principal name for the host or service in Active Directory Domain Services (AD DS) and generates a .keytab file containing the shared secret key of the service. The .keytab file is based on the Massachusetts Institute of Technology (MIT) implementation of the Kerberos authentication protocol. The Ktpass command-line tool allows UNIX-based services that support Kerberos authentication to use the interoperability features provided by the Kerberos Key Distribution Center (KDC) service in Windows Server 2008.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Регистрация PTR записи в АД"		+/–
	Сообщение от ALex_hha (ok) on 20-Авг-09, 14:21
	Покажи krb5.conf. А ты в АД смотрел, запись появилась?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Регистрация PTR записи в АД"		+/–
	Сообщение от Thebas on 20-Авг-09, 14:45
	>Покажи krb5.conf [libdefaults]         default_realm = MY.REALM.LOC         dns_lookup_realm = true         dns_lookup_kdc = true         kdc_timesync = 1         ccache_type = 4         forwardable = true         proxiable = true [realms]         MY.REALM.LOC = { #                kdc = dc01.my.realm.loc #               kdc = dc01.my.realm.loc                 admin_server = dc01.my.realm.loc                 default_domain = my.realm.loc         } [domain_realm]         .my.realm.loc = MY.REALM.LOC         my.realm.loc = MY.REALM.LOC #[logging] #       kdc = CONSOLE #default = FILE:/var/log/krb5libs.log #kdc = FILE:/var/log/krb5kdc.log #admin_server = FILE:/var/log/kadmind.log #[appdefaults] #pam = { #debug = true #ticket_lifetime = 36000 #renew_lifetime = 36000 #forwardable = true #krb4_convert = false #}
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Регистрация PTR записи в АД"		+/–
	Сообщение от Thebas on 20-Авг-09, 15:02
	А насчет АД если подскажеш как посмотреть посмотрю,пытался порыть гугл но както не вкурил как посмотреть.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Регистрация PTR записи в АД"		+/–
	Сообщение от ALex_hha (ok) on 20-Авг-09, 15:17
	>А насчет АД если подскажеш как посмотреть посмотрю,пытался порыть гугл но както >не вкурил как посмотреть. Если не ошибаюсь, то должна появится обычная учетная запись. Т.е. посмотри с помощью оснастки Users and Computers http://www.osp.ru/win2000/2007/04/4315494/
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Регистрация PTR записи в АД"		+/–
	Сообщение от Thebas on 20-Авг-09, 15:52
	Ты был отчасти прав, какаято лажа была с SPN но какая именно я не понял :) поудалял аккаунты из АД(компа и СПН), посоздавал заново и вуаля :)))))))) Жаль никто за PTR не отписался ну очень бы хотелось сделать все :) ну вот такой я педант.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "Регистрация PTR записи в АД"		+/–
	Сообщение от ALex_hha (ok) on 20-Авг-09, 19:37
	>Ты был отчасти прав, какаято лажа была с SPN но какая именно >я не понял :) поудалял аккаунты из АД(компа и СПН), посоздавал >заново и вуаля :)))))))) > >Жаль никто за PTR не отписался ну очень бы хотелось сделать все >:) ну вот такой я педант. Ну а кто тебе мешает создать ptr запись в оснастке ДНС? Там вообще обратная зона есть? По дефолту она не создается. По крайней мере в win2k3, насчет 2k8 не знаю.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "Регистрация PTR записи в АД"		+/–
	Сообщение от Thebas on 21-Авг-09, 10:09
	>>Ты был отчасти прав, какаято лажа была с SPN но какая именно >>я не понял :) поудалял аккаунты из АД(компа и СПН), посоздавал >>заново и вуаля :)))))))) >> >>Жаль никто за PTR не отписался ну очень бы хотелось сделать все >>:) ну вот такой я педант. > >Ну а кто тебе мешает создать ptr запись в оснастке ДНС? Там >вообще обратная зона есть? По дефолту она не создается. По крайней >мере в win2k3, насчет 2k8 не знаю. Обратная зона есть, а создать через оснастку я немогу, нехватает прав, контроллер домена и днс сервера не я админю :)
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "Регистрация PTR записи в АД"		+/–
	Сообщение от Oles on 18-Сен-09, 14:55
	>>>Жаль никто за PTR не отписался ну очень бы хотелось сделать все >>>:) ну вот такой я педант. Аналогичная ситуация. Samba 3.3.6 действительно не создаёт запись в обратной зоне, и какой то джеймс даже выкладывал патчи для этого действа, не знаю эти патчи приняли в какую то ветку или нет.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "Регистрация PTR записи в АД"		+/–
	Сообщение от ALex_hha (??) on 20-Сен-09, 14:29
	>>>>Жаль никто за PTR не отписался ну очень бы хотелось сделать все >>>>:) ну вот такой я педант. > >Аналогичная ситуация. Samba 3.3.6 действительно не создаёт запись в обратной зоне, и >какой то джеймс даже выкладывал патчи для этого действа, не знаю >эти патчи приняли в какую то ветку или нет. В ДНС надо настроить, чтобы он автоматом создавал ptr записи
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	14. "Регистрация PTR записи в АД"		+/–
	Сообщение от Thebas on 21-Сен-09, 09:52
	>>>>>Жаль никто за PTR не отписался ну очень бы хотелось сделать все >>>>>:) ну вот такой я педант. >> >>Аналогичная ситуация. Samba 3.3.6 действительно не создаёт запись в обратной зоне, и >>какой то джеймс даже выкладывал патчи для этого действа, не знаю >>эти патчи приняли в какую то ветку или нет. > >В ДНС надо настроить, чтобы он автоматом создавал ptr записи Как было сказано выше, ДНС админю не я поетому прописать там ничего не получится, т.к. виндовые компы сами создают ПТР записи то чисто теоретически под линухом ето реально.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Регистрация PTR записи в АД"		+/–
Сообщение от tux2002 (ok) on 21-Сен-09, 10:50
>[оверквотинг удален] > >хотя kinit username проходит без проблем. > >Собственно суть проблемы: >Есть подозрение что это связано с отсутствием PTR записи в DNS. >Записи создавал при помощи: >net ads dns register >Она почемуто запись "А" создала а "PTR" нет, вот теперь ума не >приложу:ето так и должно быть, или результат моих кривых рук. >Может кто расскажет как етот PTR создать. Я думаю DNS тут слева. Командой ktpass вы создаёте только squid.keytab. Пользователя HTTP/squid.domain.loc@DOMAIN.LOC надо создавать как обычного пользователя через оснастку AD. Это точно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема