 Squid+Kerberos. Все работало, пока не поменял пароль в AD ;),  pelewin, 08-Авг-13, 12:11 [смотреть все]Добрый день!)
Настроил тестовый стенд для со сквидом. Создал для него пользователя в АД, сгенерил кейтаб. Все работало.
Когда попытался запустить в бой - поменял пароль от пользователя сквида в АД, перегенерил кейтаб.
После этого через 20 минут сквид перестал аутентицифировать через керберос.
На скиде два кейтаба. старый и новый.
Смотрю klist -k -e /etc/squid/krb5.keytab все одинаково и принципиалы и метод кодировки.
Пробую авторизоваться через kinit - все работает. новый файл аутентифицирует.
Права к файлу кейта тоже проверил. Что еще посмотреть - не знаю. Сквид в логах пишет: 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Got 'YR YIIHFQYGKwYB......... UKV+CDwzgEwYeKIjM=' from squid (length: 2427).
2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM=' (decoded length: 1817).
2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information.
2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure. Minor code may provide more information. '
2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated Плз хелп)))
|
- Squid+Kerberos. Все работало, пока не поменял пароль в AD ;), pelewin, 18:26 , 08-Авг-13 (1)
УРА, заработало!!!
Проблема была в том что нужно было забить на этот гребанные прокси, сходить на обед и к вечеру само заработало!!!
Я так понял проблема была с кэшированием где-то информации. хотя сервер неоднократно перезагружал!!!
В общем всем удачи с кейтабами!
>[оверквотинг удален]
> from squid (length: 2427).
> 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM='
> (decoded length: 1817).
> 2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed:
> Unspecified GSS failure. Minor code may provide more information.
> 2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user
> via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.
> Minor code may provide more information. '
> 2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated
> Плз хелп)))
- Squid+Kerberos. Все работало, пока не поменял пароль в AD ;), haff, 15:02 , 29-Дек-15 (2)
Могу предположить, что при смене кейтаба у пользователей были закешированы старые тикеты (tgs), и они отсылали их на squid без попытки получить новые (зашифрованные новым ключом) от kdc. Когда сквид получал данные - он не мог просто свою часть расшифровать и подтвердить подлинность пользователя. Т.е. klist purge (win) / kdestroy(nix) на клиенте мог помочь. К вечеру были получены новые билеты.>[оверквотинг удален]
>> from squid (length: 2427).
>> 2013/08/08 12:06:25| squid_kerb_auth: DEBUG: Decode 'YIIHFQYGKwYBBQUC......4KUQpjWqZUAUKV+CDwzgEwYeKIjM='
>> (decoded length: 1817).
>> 2013/08/08 12:06:25| squid_kerb_auth: ERROR: gss_accept_sec_context() failed:
>> Unspecified GSS failure. Minor code may provide more information.
>> 2013/08/08 12:06:25| authenticateNegotiateHandleReply: Error validating user
>> via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.
>> Minor code may provide more information. '
>> 2013/08/08 12:06:25| squid_kerb_auth: INFO: User not authenticated
>> Плз хелп)))
|
Версия для распечатки
