The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Squid+Kerberos. Все работало, пока не поменял пароль в AD ;)"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Настройка Squid и других прокси серверов (Аутентификация)
Изначальное сообщение [ Отслеживать ]

"Squid+Kerberos. Все работало, пока не поменял пароль в AD ;)"  +/
Сообщение от pelewin (ok) on 08-Авг-13, 12:11 
Добрый день!)
Настроил тестовый стенд для со сквидом. Создал для него пользователя в АД, сгенерил кейтаб. Все работало.
Когда попытался запустить в бой - поменял пароль от пользователя сквида в АД, перегенерил кейтаб.
После этого через 20 минут сквид перестал аутентицифировать через керберос.
На скиде два кейтаба. старый и новый.
Смотрю  klist -k -e /etc/squid/krb5.keytab все одинаково и принципиалы и метод кодировки.
Пробую авторизоваться через kinit - все работает. новый файл аутентифицирует.
Права к файлу кейта тоже проверил. Что еще посмотреть - не знаю. Сквид в логах пишет:

2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Got 'YR YIIHFQYGKwYB......... UKV+CDwzgEwYeKIjM=' from squid (length: 2427).
2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM=' (decoded length: 1817).
2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information.
2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated

Плз хелп)))

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Squid+Kerberos. Все работало, пока не поменял пароль в AD ;)"  +/
Сообщение от pelewin (ok) on 08-Авг-13, 18:26 
УРА, заработало!!!
Проблема была в том что нужно было забить на этот гребанные прокси, сходить на обед и к вечеру само заработало!!!
Я так понял проблема была с кэшированием где-то информации. хотя сервер неоднократно перезагружал!!!
В общем всем удачи с кейтабами!


>[оверквотинг удален]
> from squid (length: 2427).
> 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM='
> (decoded length: 1817).
> 2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed:
> Unspecified GSS failure.  Minor code may provide more information.
> 2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user
> via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.
>  Minor code may provide more information. '
> 2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated
> Плз хелп)))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Squid+Kerberos. Все работало, пока не поменял пароль в AD ;)"  +/
Сообщение от haff (ok) on 29-Дек-15, 15:02 
Могу предположить, что при смене кейтаба у пользователей были закешированы старые тикеты (tgs), и они отсылали их на squid без попытки получить новые (зашифрованные новым ключом) от kdc. Когда сквид получал данные - он не мог просто свою часть расшифровать и подтвердить подлинность пользователя. Т.е. klist purge (win) / kdestroy(nix) на клиенте мог помочь. К вечеру были получены новые билеты.

>[оверквотинг удален]
>> from squid (length: 2427).
>> 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM='
>> (decoded length: 1817).
>> 2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed:
>> Unspecified GSS failure.  Minor code may provide more information.
>> 2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user
>> via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.
>>  Minor code may provide more information. '
>> 2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated
>> Плз хелп)))

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру