forum.opennet.ru - "Squid 3.1 kerberos AD2003" (6)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Squid 3.1 kerberos AD2003"

Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Squid 3.1 kerberos AD2003"	+/–
Сообщение от pilferst (ok) on 26-Окт-10, 17:51
Необходимо сделать по заказу squid+kerberos. Зашел на сайт сквида и увидел статью http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb..., после недолгих поисков http://www.lissyara.su/?id=2101 Все сделал завелось, порадовался. Тестовые юзеры ходят Через день раз и все отвалилось. В логах Код: authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token' Пересоздал keytab, перезагрузил squid. Тоже самое. Гугление не чего не дало.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Squid 3.1 kerberos AD2003, Me, 08:52 , 27-Окт-10, (1)
Squid 3.1 kerberos AD2003, muhlik, 09:43 , 27-Окт-10, (2)

Squid 3.1 kerberos AD2003, pilferst, 10:46 , 27-Окт-10, (3)

Squid 3.1 kerberos AD2003, начинающий, 11:39 , 27-Окт-10, (4)

Squid 3.1 kerberos AD2003, pilferst, 17:16 , 27-Окт-10, (5)

Squid 3.1 kerberos AD2003, неподписавшийся, 20:24 , 27-Окт-10, (6)

Сообщения по теме [Сортировка по времени | RSS]

1. "Squid 3.1 kerberos AD2003" +/–

Сообщение от Me (??) on 27-Окт-10, 08:52

>[оверквотинг удален]
> http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb..., после недолгих
> поисков
> http://www.lissyara.su/?id=2101
> Все сделал завелось, порадовался. Тестовые юзеры ходят Через день раз и все
> отвалилось.
> В логах
> Код:
> authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned
> 'BH received type 1 NTLM token'
> Пересоздал keytab, перезагрузил squid. Тоже самое. Гугление не чего не дало.
Купи Websense )))

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Squid 3.1 kerberos AD2003" +/–

Сообщение от muhlik (ok) on 27-Окт-10, 09:43

> authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned
> 'BH received type 1 NTLM token'
Ну в логах как-бы намекают что получен NTLM token а никак не Kerberos
1. Покажите конфиг сквида, в частности секцию где настроены аутентификаторы.
2. Какими браузерами пользаки ходят в инет?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Squid 3.1 kerberos AD2003" +/–

Сообщение от pilferst (ok) on 27-Окт-10, 10:46

>> authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned
>> 'BH received type 1 NTLM token'
> Ну в логах как-бы намекают что получен NTLM token а никак не
> Kerberos
> 1. Покажите конфиг сквида, в частности секцию где настроены аутентификаторы.
> 2. Какими браузерами пользаки ходят в инет?
free# uname -a
FreeBSD free.domain.ru 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Mon Jul 19 02:36:49 UTC 2010 root@mason.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC amd64
free#

free# cat /usr/local/etc/squid/squid.conf
visible_hostname free.domain.ru
http_port 3128
access_log /var/log/squid/access.log
auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth

auth_param negotiate children 10
auth_param negotiate keep_alive on
acl auth proxy_auth REQUIRED
http_access deny !auth
http_access allow auth
http_access deny all
cache_dir ufs /usr/local/etc/squid/cache 45000 64 256
free#
Раньше как то работало через ie7. Под тестовым юзером юзал ie7, opera. Так как практически все юзеры пользуются windows 7 и ie7, то упор делал на них. Вчера все с 0 переделал все равно не заработало.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Squid 3.1 kerberos AD2003" +/–

Сообщение от начинающий on 27-Окт-10, 11:39

> Раньше как то работало через ie7. Под тестовым юзером юзал ie7, opera.
1. Часы сдвинулись?
2. Доменные имена поменялись? (днс разрешение сквида должно работать в обе стороны и давать fqn)
3. Вход вендовых клиентов в их вендовую систему поменялся (не логинятся в домене) ?
4. Настройки АД поменялись (при входе в домен проходит NTLM аутентификацию вместо керберос?
...

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Squid 3.1 kerberos AD2003" +/–

Сообщение от pilferst (ok) on 27-Окт-10, 17:16

>> Раньше как то работало через ie7. Под тестовым юзером юзал ie7, opera.
> 1. Часы сдвинулись?
> 2. Доменные имена поменялись? (днс разрешение сквида должно работать в обе стороны
> и давать fqn)
> 3. Вход вендовых клиентов в их вендовую систему поменялся (не логинятся в
> домене) ?
> 4. Настройки АД поменялись (при входе в домен проходит NTLM аутентификацию вместо
> керберос?
> ...
1. Часы не сдвигались, подправляю их по ntpdate
2. Записал fqdn в hosts на машине клиента.
3. Все логинятся нормально, как и было.
4. Как это определить, как было логин-пароль так и осталось.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Squid 3.1 kerberos AD2003" +/–

Сообщение от неподписавшийся on 27-Окт-10, 20:24

> 4. Как это определить, как было логин-пароль так и осталось.
Я бы в первую очередь посмотрел логи керберос сервера на АД. Клиент должен запросить и получить билет для принципала HTTP/fqndn_of_squid@YOUR_REALM.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Squid 3.1 kerberos AD2003"	+/–
Сообщение от Me (??) on 27-Окт-10, 08:52
>[оверквотинг удален] > http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerb..., после недолгих > поисков > http://www.lissyara.su/?id=2101 > Все сделал завелось, порадовался. Тестовые юзеры ходят Через день раз и все > отвалилось. > В логах > Код: > authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned > 'BH received type 1 NTLM token' > Пересоздал keytab, перезагрузил squid. Тоже самое. Гугление не чего не дало. Купи Websense )))
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору

2. "Squid 3.1 kerberos AD2003"	+/–
Сообщение от muhlik (ok) on 27-Окт-10, 09:43
> authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned > 'BH received type 1 NTLM token' Ну в логах как-бы намекают что получен NTLM token а никак не Kerberos 1. Покажите конфиг сквида, в частности секцию где настроены аутентификаторы. 2. Какими браузерами пользаки ходят в инет?
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Squid 3.1 kerberos AD2003"	+/–
	Сообщение от pilferst (ok) on 27-Окт-10, 10:46
	>> authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned >> 'BH received type 1 NTLM token' > Ну в логах как-бы намекают что получен NTLM token а никак не > Kerberos > 1. Покажите конфиг сквида, в частности секцию где настроены аутентификаторы. > 2. Какими браузерами пользаки ходят в инет? free# uname -a FreeBSD free.domain.ru 8.1-RELEASE FreeBSD 8.1-RELEASE #0: Mon Jul 19 02:36:49 UTC 2010 root@mason.cse.buffalo.edu:/usr/obj/usr/src/sys/GENERIC amd64 free# free# cat /usr/local/etc/squid/squid.conf visible_hostname free.domain.ru http_port 3128 access_log /var/log/squid/access.log auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth auth_param negotiate children 10 auth_param negotiate keep_alive on acl auth proxy_auth REQUIRED http_access deny !auth http_access allow auth http_access deny all cache_dir ufs /usr/local/etc/squid/cache 45000 64 256 free# Раньше как то работало через ie7. Под тестовым юзером юзал ie7, opera. Так как практически все юзеры пользуются windows 7 и ie7, то упор делал на них. Вчера все с 0 переделал все равно не заработало.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Squid 3.1 kerberos AD2003"	+/–
	Сообщение от начинающий on 27-Окт-10, 11:39
	> Раньше как то работало через ie7. Под тестовым юзером юзал ie7, opera. 1. Часы сдвинулись? 2. Доменные имена поменялись? (днс разрешение сквида должно работать в обе стороны и давать fqn) 3. Вход вендовых клиентов в их вендовую систему поменялся (не логинятся в домене) ? 4. Настройки АД поменялись (при входе в домен проходит NTLM аутентификацию вместо керберос? ...
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Squid 3.1 kerberos AD2003"	+/–
	Сообщение от pilferst (ok) on 27-Окт-10, 17:16
	>> Раньше как то работало через ie7. Под тестовым юзером юзал ie7, opera. > 1. Часы сдвинулись? > 2. Доменные имена поменялись? (днс разрешение сквида должно работать в обе стороны > и давать fqn) > 3. Вход вендовых клиентов в их вендовую систему поменялся (не логинятся в > домене) ? > 4. Настройки АД поменялись (при входе в домен проходит NTLM аутентификацию вместо > керберос? > ... 1. Часы не сдвигались, подправляю их по ntpdate 2. Записал fqdn в hosts на машине клиента. 3. Все логинятся нормально, как и было. 4. Как это определить, как было логин-пароль так и осталось.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Squid 3.1 kerberos AD2003"	+/–
	Сообщение от неподписавшийся on 27-Окт-10, 20:24
	> 4. Как это определить, как было логин-пароль так и осталось. Я бы в первую очередь посмотрел логи керберос сервера на АД. Клиент должен запросить и получить билет для принципала HTTP/fqndn_of_squid@YOUR_REALM.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору