https://opennet.ru/openforum/vsluhforumID1/90281.html Поставлена задача сделать кластер из прокси серверов на основе squid. Сказано, сделано. Создал две виртуальные машину на esxi объединил их по carp в один IP адрес. В DNS создал запись A для carp интерфейсов. Вел первую машину в домен, сделал авторизацию через керберос, все ок, тестовые юзеры ходят. Не думаю ввел вторую машину в домен. И через нее авторизация по керберосу прошла удачно. НО при переключение на первую машину (на второй положил интерфейс carp0) авторизация по kerberos уже не проходила.<br>На первой машине<br>[code] wbinfo -t<br>checking the trust secret via RPCcalls failed<br>[/code]<br>На второй машине<br>[code]<br> wbinfo -t<br>checking the trust secret via RPC calls succeeded<br>[/code]<br>И тут я вспомнил, что в домене под одним именем может находиться 1 машина. А у меня получается, что под одним именем должны работать &gt;1 машины.<br>Как можно разрешить данную ситуацию ?<br> https://opennet.ru/openforum/vsluhforumID1/90281.html#7 Sat, 09 May 2015 05:38:42 GMT На примере Ubuntu можно сначала одинаково настроить 2 прокси сервера. Цикл статей по настройке NTLM/Kerberos здесь: http://blog.it-kb.ru/2014/06/16/forward-proxy-squid-3-3-on-ubuntu-server-14-04-lts-part-1-install-os-on-hyper-v-generation-2-vm/<br><br>Потом с помощью CARP повысить доступность и распределить нагрузку между двумя серверами: http://blog.it-kb.ru/2015/05/08/high-availability-proxy-server-squid-with-load-balancing-between-two-virtual-ubuntu-servers-using-ucarp-package-and-dns-round-robin/<br> https://opennet.ru/openforum/vsluhforumID1/90281.html#6 Fri, 12 Nov 2010 13:20:49 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Можно же каждую машину под своим именем ввести в домен.<br>&gt;&gt; А потом в днс-е прописать CNAME.<br>&gt; Правильно говорит человек.<br>&gt; Каждую машину вводим под своим именем, например serv1 и serv1. А уже<br>&gt; ip carp прописываем в днс например cluster_server. После чего именно к<br>&gt; нему и обращаемся. Carp сам разрулит свою ситуацию ну а каждый<br>&gt; сервак свою.<br>&gt; Во всяком случае аналогично поднимаются и все виндовые кластеры. После поднятия кластера<br>&gt; в домене не появляется компьютер с таким именем а только запись<br>&gt; в днс. (Хотя поднимал давно виндовые кластеры, могу немного путать)<br><br>Могу ошибаться, но для кербероса нужно что бы запись в настройках прокси сервера клиента совпадала с его hostname сервака, могу ошибаться. Если не прав поправьте пожалуйста.<br> https://opennet.ru/openforum/vsluhforumID1/90281.html#5 Fri, 12 Nov 2010 11:47:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt; [code]<br>&gt;&gt; wbinfo -t<br>&gt;&gt; checking the trust secret via RPC calls succeeded<br>&gt;&gt; [/code]<br>&gt;&gt; И тут я вспомнил, что в домене под одним именем может находиться<br>&gt;&gt; 1 машина. А у меня получается, что под одним именем должны<br>&gt;&gt; работать &gt;1 машины.<br>&gt;&gt; Как можно разрешить данную ситуацию ?<br>&gt; Можно же каждую машину под своим именем ввести в домен.<br>&gt; А потом в днс-е прописать CNAME.<br><br>Правильно говорит человек.<br>Каждую машину вводим под своим именем, например serv1 и serv1. А уже ip carp прописываем в днс например cluster_server. После чего именно к нему и обращаемся. Carp сам разрулит свою ситуацию ну а каждый сервак свою.<br>Во всяком случае аналогично поднимаются и все виндовые кластеры. После поднятия кластера в домене не появляется компьютер с таким именем а только запись в днс. (Хотя поднимал давно виндовые кластеры, могу немного путать)<br> https://opennet.ru/openforum/vsluhforumID1/90281.html#4 Fri, 12 Nov 2010 11:02:09 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; 1 машина. А у меня получается, что под одним именем должны<br>&gt;&gt;&gt; работать &gt;1 машины.<br>&gt;&gt;&gt; Как можно разрешить данную ситуацию ?<br>&gt;&gt; хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти<br>&gt;&gt; ключики на обе машины<br>&gt;&gt; только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.<br>&gt;&gt; хотя возможно будет работать, в принципе в природе встречаются винды с более<br>&gt;&gt; чем 1 ip адресом<br>&gt; Авторизацию через kerberos сделал. А samba нужна для генерации keytab и для<br>&gt; просмотра групп в AD<br><br>точно? тот который HTTP Negotiate authentication? тот который через gssapi?<br>тогда и самбы не стоило ставить, сгенерить ключики и всего делов.<br> https://opennet.ru/openforum/vsluhforumID1/90281.html#3 Fri, 12 Nov 2010 10:51:04 GMT &gt;[оверквотинг удален]<br>&gt;&gt; [/code]<br>&gt;&gt; И тут я вспомнил, что в домене под одним именем может находиться<br>&gt;&gt; 1 машина. А у меня получается, что под одним именем должны<br>&gt;&gt; работать &gt;1 машины.<br>&gt;&gt; Как можно разрешить данную ситуацию ?<br>&gt; хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти<br>&gt; ключики на обе машины<br>&gt; только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.<br>&gt; хотя возможно будет работать, в принципе в природе встречаются винды с более<br>&gt; чем 1 ip адресом<br><br>Авторизацию через kerberos сделал. А samba нужна для генерации keytab и для просмотра групп в AD<br><br><br> https://opennet.ru/openforum/vsluhforumID1/90281.html#2 Fri, 12 Nov 2010 10:48:22 GMT &gt;[оверквотинг удален]<br>&gt; [/code]<br>&gt; На второй машине<br>&gt; [code]<br>&gt; wbinfo -t<br>&gt; checking the trust secret via RPC calls succeeded<br>&gt; [/code]<br>&gt; И тут я вспомнил, что в домене под одним именем может находиться<br>&gt; 1 машина. А у меня получается, что под одним именем должны<br>&gt; работать &gt;1 машины.<br>&gt; Как можно разрешить данную ситуацию ?<br><br>Можно же каждую машину под своим именем ввести в домен.<br>А потом в днс-е прописать CNAME.<br><br> https://opennet.ru/openforum/vsluhforumID1/90281.html#1 Fri, 12 Nov 2010 10:33:43 GMT &gt;[оверквотинг удален]<br>&gt; [/code]<br>&gt; На второй машине<br>&gt; [code]<br>&gt; wbinfo -t<br>&gt; checking the trust secret via RPC calls succeeded<br>&gt; [/code]<br>&gt; И тут я вспомнил, что в домене под одним именем может находиться<br>&gt; 1 машина. А у меня получается, что под одним именем должны<br>&gt; работать &gt;1 машины.<br>&gt; Как можно разрешить данную ситуацию ?<br><br>хранить ключики отдельно от быза samba -- ну и соответственно скопировать эти ключики на обе машины<br><br>только не понятно при-чём сдесь kerberos если авторизация клиентов через ntlm.<br>хотя возможно будет работать, в принципе в природе встречаются винды с более чем 1 ip адресом<br>