Исходное сообщение
"Kerberos-squid-Windows 2008 R2" Отправлено operator, 21-Июл-10 22:22
Здравствуйте все. уже вторую неделю бъюсь над решением такой вот связки. За основу взяты 3 мануала: http://klaubert.wordpress.com/2008/01/09/squid-kerberos-auth.../ http://serverfault.com/questions/66556/getting-squid-to-auth... http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb... Система: CentOS release 5.3 (Final) pam_krb5-2.2.14-15 krb5-devel-1.6.1-36.el5_5.4 krb5-libs-1.6.1-36.el5_5.4 krb5-workstation-1.6.1-36.el5_5.4 samba 3.3.8 openldap-2.3.43-12.el5 openldap-devel-2.3.43-12.el5 собственно собраный msktutil-0.3.16.7 Создаю кейтаб: /opt/msktutil/sbin/msktutil -c -b "CN=COMPUTERS" -s HTTP/suidsrv.test.xxx.local -h squidsrv.test.xxx.local -k /etc/squid/HTTP.keytab --computer-name squidsrv --upn HTTP/suidsrv.test.xxx.local --server dc2k8r2.test.xxx.local --verbose --enctypes 28 Смотрю, что получилось: [root@squidsrv ~]# klist -ke /etc/squid/HTTP.keytab Keytab name: FILE:/etc/squid/HTTP.keytab KVNO Principal ---- --------------------------------------------------------------------------   19 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (ArcFour with HMAC/md5)   19 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (AES-128 CTS mode with 96-bit SHA-1 HMAC)   19 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (AES-256 CTS mode with 96-bit SHA-1 HMAC)   19 HOST/SQUIDSRV@TEST.XXX.LOCAL (ArcFour with HMAC/md5)   19 HOST/SQUIDSRV@TEST.XXX.LOCAL (AES-128 CTS mode with 96-bit SHA-1 HMAC)   19 HOST/SQUIDSRV@TEST.XXX.LOCAL (AES-256 CTS mode with 96-bit SHA-1 HMAC)   18 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (DES cbc mode with CRC-32)   18 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (DES cbc mode with RSA-MD5)   18 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (ArcFour with HMAC/md5)   18 HOST/SQUIDSRV@TEST.XXX.LOCAL (DES cbc mode with CRC-32)   18 HOST/SQUIDSRV@TEST.XXX.LOCAL (DES cbc mode with RSA-MD5)   18 HOST/SQUIDSRV@TEST.XXX.LOCAL (ArcFour with HMAC/md5) пользователи (не обязательно администратор) могут вполне получать билеты: [root@squidsrv ~]# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@TEST.XXX.LOCAL Valid starting     Expires            Service principal 07/21/10 13:40:52  07/21/10 23:38:37  krbtgt/TEST.XXX.LOCAL@TEST.XXX.LOCAL         renew until 07/22/10 13:40:52 07/21/10 15:30:57  07/21/10 23:38:37  ldap/dc2k8r2.test.xxx.local@         renew until 07/22/10 13:40:52 07/21/10 15:30:57  07/21/10 15:32:57  kadmin/changepw@TEST.XXX.LOCAL         renew until 07/21/10 15:32:57 07/21/10 15:32:58  07/21/10 15:34:58  kadmin/changepw@TEST.XXX.LOCAL         renew until 07/21/10 15:34:58 07/21/10 15:36:00  07/21/10 15:38:00  kadmin/changepw@TEST.XXX.LOCAL         renew until 07/21/10 15:38:00 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached Проверка тикета: [root@squidsrv ~]# kinit -V -t /etc/squid/squid.test.xxx.local.keytab -k  HTTP/squidsrv.test.xxx.local kinit(v5): KDC has no support for encryption type while getting initial credentials пробовал на котроллере домена создавать тикет и переносить его на Линукс: C:\Users\Administrator>ktpass -princ HTTP/squidsrv.test.xxx.local@TEST.XXX.LOCAL -mapuser squid@test.xxx.local -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL -pas s "password" -out squid.test.xxx.local.keytab Targeting domain controller: DC2K8R2.test.xxx.local Using legacy password setting method Successfully mapped HTTP/squidsrv.test.xxx.local to squid. Key created. Output keytab to squid.test.xxx.local.keytab: Keytab version: 0x502 keysize 78 HTTP/squidsrv.test.xxx.local@TEST.XXX.LOCAL ptype 1 (KRB5_NT_PRINCIPA L) vno 11 etype 0x17 (RC4-HMAC) keylength 16 (0x24fb991d018d54e9c1419e1fe7b62042 ) Результат тот же. Подскажите куда копать дальше. Те, кто уже пробовал сделать такую связку, наверняка знают, что можно привести еще кучу дополнительной отладочной информации. Но не хочу засорять форум. Поэтому предоставлю все, что надо только по запросам.

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Здравствуйте все. > уже вторую неделю бъюсь над решением такой вот связки. > За основу взяты 3 мануала: > http://klaubert.wordpress.com/2008/01/09/squid-kerberos-authentication-and-ldap-authorization-in-active-directory/ > http://serverfault.com/questions/66556/getting-squid-to-authenticate-with-kerberos-and-windows-2008-2003-7-xp > http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos > Система: > CentOS release 5.3 (Final) > pam_krb5-2.2.14-15 > krb5-devel-1.6.1-36.el5_5.4 > krb5-libs-1.6.1-36.el5_5.4 > krb5-workstation-1.6.1-36.el5_5.4 > samba 3.3.8 > openldap-2.3.43-12.el5 > openldap-devel-2.3.43-12.el5 > собственно собраный msktutil-0.3.16.7 > Создаю кейтаб: > /opt/msktutil/sbin/msktutil -c -b "CN=COMPUTERS" -s HTTP/suidsrv.test.xxx.local -h > squidsrv.test.xxx.local -k /etc/squid/HTTP.keytab --computer-name squidsrv --upn HTTP/suidsrv.test.xxx.local > --server dc2k8r2.test.xxx.local --verbose --enctypes 28 > Смотрю, что получилось: > [root@squidsrv ~]# klist -ke /etc/squid/HTTP.keytab > Keytab name: FILE:/etc/squid/HTTP.keytab > KVNO Principal > ---- -------------------------------------------------------------------------- > 19 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (ArcFour with HMAC/md5) > 19 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (AES-128 CTS mode with 96-bit SHA-1 HMAC) > 19 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (AES-256 CTS mode with 96-bit SHA-1 HMAC) > 19 HOST/SQUIDSRV@TEST.XXX.LOCAL (ArcFour with HMAC/md5) > 19 HOST/SQUIDSRV@TEST.XXX.LOCAL (AES-128 CTS mode with 96-bit SHA-1 HMAC) > 19 HOST/SQUIDSRV@TEST.XXX.LOCAL (AES-256 CTS mode with 96-bit SHA-1 HMAC) > 18 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (DES cbc mode with CRC-32) > 18 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (DES cbc mode with RSA-MD5) > 18 HOST/squidsrv.test.xxx.local@TEST.XXX.LOCAL (ArcFour with HMAC/md5) > 18 HOST/SQUIDSRV@TEST.XXX.LOCAL (DES cbc mode with CRC-32) > 18 HOST/SQUIDSRV@TEST.XXX.LOCAL (DES cbc mode with RSA-MD5) > 18 HOST/SQUIDSRV@TEST.XXX.LOCAL (ArcFour with HMAC/md5) > пользователи (не обязательно администратор) могут вполне получать билеты: > [root@squidsrv ~]# klist > Ticket cache: FILE:/tmp/krb5cc_0 > Default principal: Administrator@TEST.XXX.LOCAL > Valid starting Expires > Service principal > 07/21/10 13:40:52 07/21/10 23:38:37 krbtgt/TEST.XXX.LOCAL@TEST.XXX.LOCAL > renew until 07/22/10 13:40:52 > 07/21/10 15:30:57 07/21/10 23:38:37 ldap/dc2k8r2.test.xxx.local@ > renew until 07/22/10 13:40:52 > 07/21/10 15:30:57 07/21/10 15:32:57 kadmin/changepw@TEST.XXX.LOCAL > renew until 07/21/10 15:32:57 > 07/21/10 15:32:58 07/21/10 15:34:58 kadmin/changepw@TEST.XXX.LOCAL > renew until 07/21/10 15:34:58 > 07/21/10 15:36:00 07/21/10 15:38:00 kadmin/changepw@TEST.XXX.LOCAL > renew until 07/21/10 15:38:00 > Kerberos 4 ticket cache: /tmp/tkt0 > klist: You have no tickets cached > Проверка тикета: > [root@squidsrv ~]# kinit -V -t /etc/squid/squid.test.xxx.local.keytab -k HTTP/squidsrv.test.xxx.local > kinit(v5): KDC has no support for encryption type while getting initial credentials > пробовал на котроллере домена создавать тикет и переносить его на Линукс: > C:\Users\Administrator>ktpass -princ HTTP/squidsrv.test.xxx.local@TEST.XXX.LOCAL > -mapuser squid@test.xxx.local -crypto rc4-hmac-nt -ptype KRB5_NT_PRINCIPAL -pas > s "password" -out squid.test.xxx.local.keytab > Targeting domain controller: DC2K8R2.test.xxx.local > Using legacy password setting method > Successfully mapped HTTP/squidsrv.test.xxx.local to squid. > Key created. > Output keytab to squid.test.xxx.local.keytab: > Keytab version: 0x502 > keysize 78 HTTP/squidsrv.test.xxx.local@TEST.XXX.LOCAL ptype 1 (KRB5_NT_PRINCIPA > L) vno 11 etype 0x17 (RC4-HMAC) keylength 16 (0x24fb991d018d54e9c1419e1fe7b62042 > ) > Результат тот же. > Подскажите куда копать дальше. > Те, кто уже пробовал сделать такую связку, наверняка знают, что можно привести > еще кучу дополнительной отладочной информации. Но не хочу засорять форум. Поэтому > предоставлю все, что надо только по запросам.
	Введите код, изображенный на картинке: