The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Аутентификация пользователей squid в домене Window..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Аутентификация пользователей squid в домене Window..."  
Сообщение от opennews on 29-Авг-05, 00:03 
Васильченко Евгений Витальевич написал пошаговое руководство (http://www.opennet.me/base/net/squid_win2003_auth.txt.html) по настройке FreeBSD 5.4 сервера с Samba, Kerberos клиентом и прокси-сервером Squid, с аутентификацией пользователей в домене Windows 2003.

URL: http://www.opennet.me/base/net/squid_win2003_auth.txt.html
Новость: http://www.opennet.me/opennews/art.shtml?num=5983

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Аноним email on 29-Авг-05, 00:03 
а домен 2003 на самбе?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от reaper email on 29-Авг-05, 07:28 
там же написано что нет
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от lewap email on 29-Авг-05, 09:25 
------
Если в сети нет DNS-сервера, то необходимо изменить файлы hosts на
контроллере домена и на FreeBSD.
-------

А как интересно виндовский домен ( 2003)и без DNS?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от const (??) on 29-Авг-05, 09:39 
В России всякое бывает...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Васильченко Евгений email on 29-Авг-05, 09:46 
DNS естественно в домене будет, но совсем необязательно, что он будет правильно работать, к тому же он может быть настроен с какими-либо специфическими целями, поэтому хост-файлы - нормальная замена
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от mxm email(ok) on 29-Авг-05, 10:23 
А что произойдет 19-го августа в 00:50:51, когда
срок действия "билета" закончится?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от sauron email(ok) on 29-Авг-05, 10:49 
Будет получен ответ от сервера что "билет" истек и будет получен новый. Хотя вообще-то этот "билет" отношения к самбе никакого не имеет и необходим только на период подключения.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от mxm email(ok) on 29-Авг-05, 11:12 
>Будет получен ответ от сервера что "билет" истек и будет получен новый.
Точно? При тех настройках, что приводятся в статье? У меня не обновился.
И klist показывал, что "билет" не обновился.

>Хотя вообще-то этот "билет" отношения к самбе никакого не имеет и
>необходим только на период подключения.
м-м-м...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от sauron email(ok) on 29-Авг-05, 12:17 
>Точно? При тех настройках, что приводятся в статье? У меня не обновился. И klist показывал, что "билет" не обновился.
А вы куда-то обращались еще ? Нет ? Тогда почему "тикет" должен обновиться ?

>м-м-м...
Вот вам и ммм... Он требуется для добавления Samba сервера в AD домен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Слышал я звон, но не знаю - он? не он?"  
Сообщение от mxm email(ok) on 29-Авг-05, 13:46 
>>Точно? При тех настройках, что приводятся в статье? У меня не обновился. И klist показывал, что "билет" не обновился.
>А вы куда-то обращались еще ? Нет ? Тогда почему "тикет" должен
>обновиться ?
Обращался? Я? Не понял...
По поводу обновления "тикета". Можно вручную через повторный вызов klist,
а можно, говорят\пишут, автоматически (после манипуляций с kutil).
Не разбирался с этим подробно (см. ниже) вот и спрашиваю, вдруг
"носители знания" откликнутся...

>>м-м-м...
>Вот вам и ммм... Он требуется для добавления Samba сервера в AD
>домен.
Да я и не спорю, может и не нужен. Только, как мне кажется, с таким
"билетом" не работает определение принадлежности пользователя к
secondary-group. Впрочем, не настаиваю, возможно что-то недотестировал и
хватило мне primary-group.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Слышал я звон, но не знаю - он? не он?"  
Сообщение от sauron email(ok) on 30-Авг-05, 07:12 
>Обращался? Я? Не понял...
К другому или этому же сервису с поддержкой аутентификации Kerberos V.

>По поводу обновления "тикета". Можно вручную через повторный вызов klist,
>а можно, говорят\пишут, автоматически (после манипуляций с kutil).
Да или через klist или через выставление специального параметра policy. Хотя по умолчанию этот параметр выключен и обновление производится только, при очередном обращении к сервису и при истечении времени жизни тикета.

>Не разбирался с этим подробно (см. ниже) вот и спрашиваю, вдруг "носители знания" откликнутся...
Так более подробно ? Если интересует этот вопрос могу поделиться книгой O'Reilly "Kerberos Guide", в ней описано более подробно. Т.к. я описываю процесс по памяти.

>Да я и не спорю, может и не нужен. Только, как мне кажется, с таким
>"билетом" не работает определение принадлежности пользователя к
>secondary-group. Впрочем, не настаиваю, возможно что-то недотестировал и
>хватило мне primary-group.
Это суда вообще никаким боком.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от star76 (ok) on 01-Сен-06, 13:22 
>И klist показывал, что "билет" не обновился.

Я нашел методику обновленяи билета. Делается следующим образом:
1. На DC дается команда
ktpass /out keytab  /pass пароль_польз /princ имя_польз@REALM /ptype KRB5_NT_SRV_HST

2. Потом файл keytab копируется на юниксовую машину и там периодически
дается команда
kinit  -R -k -t keytab имя_польз@REALM

билет обновляется без пароля


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Сщкмфч email on 29-Авг-05, 11:02 
Фантазия у Евгений Витальевича работает замечательная: домен fuck-you.ru скреативил. В остальном все замечатльно, но не хватает слов "впендюрить" и т.п.
Надо попросить его перевести на русский книгу Немет...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Андрей (??) on 29-Авг-05, 13:14 
+1
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Chris (??) on 29-Авг-05, 11:18 
Что я Вам господа скажу... Вам бы самим руки подкрутить, а то пальцы одни... Зачем человека обсирать, ведь молодец, не побоялся, выложил статью, замечтально написаную технически и альтернативы приведены и всё хорошо, так что молодец, не обращай внимания на ребят переехавших сюда с удаф.ком по воле случая.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Corvax email(??) on 29-Авг-05, 11:36 
По технич. части притензий никаких нет. Жалко, что в серьезной по структуре и качеству статье столь неудачные примеры. :-(
Это вовсе не пальцы.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от U on 29-Авг-05, 12:06 
Corvax - поддерживаю польностью
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от неаноним email on 29-Авг-05, 17:09 
With UTMP support (хрен знает, что такое)
workgroup = fuck-you
server string = fuck you mazefakers

Вот это все сильно поднимает авторитет?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Nikola email(??) on 30-Авг-05, 09:11 
>With UTMP support (хрен знает, что такое)
>workgroup = fuck-you
>server string = fuck you mazefakers
>
>Вот это все сильно поднимает авторитет?
О том и речь, даже в начале статьи.

>просьба некоторым сильно
>"продвинутым" товарищам воздержаться от комментариев в ее адрес, т.к. их
>мнения нахрен не нужны никому
Почему не матом? Или не "Бобруйск"
Автор хочет стать Аффтарам?
Такое впечатление что его заставляли писАть статью, а он кричал и упирался.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Васильченко Евгений email on 30-Авг-05, 12:57 
Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт с таким именем когда-то действительно был. Естественно, что при написании статьи учел не все. Например виндовые глюки учесть невозможно - они проявляются у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить статью?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от mxm email(ok) on 30-Авг-05, 13:41 
>Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт
>с таким именем когда-то действительно был. Естественно, что при написании статьи
>учел не все. Например виндовые глюки учесть невозможно - они проявляются
>у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить статью?

ага. правда раньше делали и не по статье, но так-же. спасибо огромное за
сведение "знания" в одну статью. все отлично.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Nikola email(??) on 31-Авг-05, 12:28 
>Критику воспринял адекватно. В следующий раз писать ругательства не буду, хотя сайт
>с таким именем когда-то действительно был. Естественно, что при написании статьи
>учел не все. Например виндовые глюки учесть невозможно - они проявляются
>у всех по-разному. Интересно другое, получилось ли удачно у кого-либо применить
>статью?
У меня когда lifetime ключа истекал переставало пускать, поэтому переделал под security = domain а не ads. Было бы всё-таки интересно узнать кто нибудь решил проблему с окончанием действия ключа kerberos? kinit -R не спасало.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от Yotun email on 30-Авг-05, 13:31 
а почему в конфиге самбы security = domain?
для работы через керберос вроде как нужно security = ads. Во всяком случае, у меня работает именно так.

Кстати, с русскими именами пользователей отлично работает :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "самба никого не пускает, третий день бьюсь"  
Сообщение от badwore on 30-Авг-05, 18:48 
керберос работает, самба заджойнилась, wbinfo все что нужно выдает, по id виндовых юзеров видно
НО самба никого не пускает

net view \\gate выдает Access denied, в логе запись:
smbd/sesssetup.c:reply_spnego_kerberos(250)
username DOMAIN.LOCAL\test is invalid on this system

net view \\192.168.1.254 выдает Access denied, в логе запись:
auth/auth_winbind.c:check_winbind_security(123)
check_winbind_security: ERROR!  my_private_data == NULL!

при попытке залогинится под виндовым юзером в логе запись:
Failed password for test from 192.168.1.2

устал с ней биться , подскажите где копать

PS: gate=192.168.1.254
самба собиралась из сырцов, 3.0.14a

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от bb on 23-Мрт-06, 14:59 
с правильным паролем пишет
#kinit user@domain
#kinit: password incorect
как исправить??
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Аутентификация пользователей squid в домене Windows 2003 Ser..."  
Сообщение от DarkSide83 on 31-Мрт-07, 17:00 
>с правильным паролем пишет
>#kinit user@domain
>#kinit: password incorect
>как исправить??

Сталкивался с такой бедой, после переведения все доменных имен в верхний регистр в
файлах smb.conf и krb5.conf, все заработало.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру