форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение		[ Отслеживать ]

"Squid+Kerberos. Все работало, пока не поменял пароль в AD ;)"	+/–
Сообщение от pelewin (ok) on 08-Авг-13, 12:11
Добрый день!) Настроил тестовый стенд для со сквидом. Создал для него пользователя в АД, сгенерил кейтаб. Все работало. Когда попытался запустить в бой - поменял пароль от пользователя сквида в АД, перегенерил кейтаб. После этого через 20 минут сквид перестал аутентицифировать через керберос. На скиде два кейтаба. старый и новый. Смотрю  klist -k -e /etc/squid/krb5.keytab все одинаково и принципиалы и метод кодировки. Пробую авторизоваться через kinit - все работает. новый файл аутентифицирует. Права к файлу кейта тоже проверил. Что еще посмотреть - не знаю. Сквид в логах пишет: 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Got 'YR YIIHFQYGKwYB......... UKV+CDwzgEwYeKIjM=' from squid (length: 2427). 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM=' (decoded length: 1817). 2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. 2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. ' 2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated Плз хелп)))
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Squid+Kerberos. Все работало, пока не поменял пароль в AD ;)"	+/–
Сообщение от pelewin (ok) on 08-Авг-13, 18:26
УРА, заработало!!! Проблема была в том что нужно было забить на этот гребанные прокси, сходить на обед и к вечеру само заработало!!! Я так понял проблема была с кэшированием где-то информации. хотя сервер неоднократно перезагружал!!! В общем всем удачи с кейтабами! >[оверквотинг удален] > from squid (length: 2427). > 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM=' > (decoded length: 1817). > 2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed: > Unspecified GSS failure.  Minor code may provide more information. > 2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user > via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure. >  Minor code may provide more information. ' > 2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated > Плз хелп)))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Squid+Kerberos. Все работало, пока не поменял пароль в AD ;)"	+/–
	Сообщение от haff (ok) on 29-Дек-15, 15:02
	Могу предположить, что при смене кейтаба у пользователей были закешированы старые тикеты (tgs), и они отсылали их на squid без попытки получить новые (зашифрованные новым ключом) от kdc. Когда сквид получал данные - он не мог просто свою часть расшифровать и подтвердить подлинность пользователя. Т.е. klist purge (win) / kdestroy(nix) на клиенте мог помочь. К вечеру были получены новые билеты. >[оверквотинг удален] >> from squid (length: 2427). >> 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM=' >> (decoded length: 1817). >> 2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed: >> Unspecified GSS failure.  Minor code may provide more information. >> 2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user >> via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure. >>  Minor code may provide more information. ' >> 2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated >> Плз хелп)))
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема