Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
oleg_poruchikov
Зарегистрирован: 09.09.2004 Сообщения: 567 Откуда: http://tor.clan.su
|
Добавлено: Пт Дек 12 2008 10:28 Заголовок сообщения: squid ntlm-аутентификация в AD Win2003 SP2 |
|
|
Всем привет!!!
Уже не раз приходилось настраивать ntlm-аутентификацию сквида...
Вот столкнулся с непонятной проблемой. basic аутентификация работает нормально, а ntlm никак не хочет. Тупо в браузере выдает, что не может отобразить страницу, как будто прокси вообще не работает или начинает спрашивать имя и пароль, вводишь и сквид снова запрашивает их... и так 3 раза.
Еще одна непонятная для меня вещь, это при использовании сепаратора '\', самба игнорирует параметр template homedir.
Все остальное работает превосходно... Логин, эл.почта, файлопомойка и пр.
Исходные данные:
OS - RHEL 5.2
samba-3.2.5
squid-2.6-STABLE19
AD на Win2003 SP2
#cat krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = LEAZ.LOCAL
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
LEAZ.LOCAL = {
kdc = main2.leaz.local
kdc = main.leaz.local
admin_server = main2.leaz.local
default_domain = leaz.local
master_key_type = des-cbc-crc
supported_enctypes = rc4-hmac:normal des-cbc-crc:normal des3-cbc-raw:normal des-cbc-sha1:normal des-cbc-crc:afs3
}
[domain_realm]
.leaz.local = LEAZ.LOCAL
leaz.local = LEAZ.LOCAL
[kdc]
profile = /var/kerberos/krb5kdc/kadm5.acl
[appdefaults]
pam = {
debug = true
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[kdcdefaults]
acl_file = /var/kerberos/krb5kdc/kadm5.acl
dict_file = /usr/share/dict/words
admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
v4_mode = nopreauth
#cat smb.conf
workgroup = LEAZ
netbios name = REDHAT
server string = Samba Server Version %v
password server = main2.leaz.local main.leaz.local
realm = LEAZ.LOCAL
security = domain
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = +
template homedir = /home/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false
client use spnego = yes
encrypt passwords = yes
winbind enum users = yes
winbind enum groups = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
Помогите разобраться, уже загуглился и перелапатил кучу документации... _________________ Вот такая картина маслом! (c) |
|
Вернуться к началу |
|
|
oleg_poruchikov
Зарегистрирован: 09.09.2004 Сообщения: 567 Откуда: http://tor.clan.su
|
Добавлено: Пт Дек 12 2008 11:12 Заголовок сообщения: |
|
|
И еще #net ads join -U administrator выдает ошибку
Failet join to domain: failed to set machine spn: Operation error
Хотя #net ads testjoin говорит "Join is OK" _________________ Вот такая картина маслом! (c) |
|
Вернуться к началу |
|
|
oleg_poruchikov
Зарегистрирован: 09.09.2004 Сообщения: 567 Откуда: http://tor.clan.su
|
Добавлено: Пн Дек 15 2008 00:34 Заголовок сообщения: |
|
|
oleg_poruchikov писал(а): | И еще #net ads join -U administrator выдает ошибку
Failet join to domain: failed to set machine spn: Operation error
Хотя #net ads testjoin говорит "Join is OK" | С этим разобрался, просто в аккаунте administrator была включена опция "Без предварительной проверки Kerberos"... _________________ Вот такая картина маслом! (c) |
|
Вернуться к началу |
|
|
oleg_poruchikov
Зарегистрирован: 09.09.2004 Сообщения: 567 Откуда: http://tor.clan.su
|
Добавлено: Пн Дек 22 2008 15:00 Заголовок сообщения: |
|
|
Тему можно закрывать, Ошибка выяснена и устранена...
исправлены права на директорию winbindd_privileged
#chown root:squid winbindd_privileged
а были root:root _________________ Вот такая картина маслом! (c) |
|
Вернуться к началу |
|
|
|