Работа NTLM и Kerberos Хелперов
-
- Новичок
- Сообщения: 5
- Зарегистрирован: 17 фев 2016 01:39
Работа NTLM и Kerberos Хелперов
Доброго времени суток...
Отличный цикл статей, спасибо за него
Столкнулся со следующей проблемой
basic авторизация отрабатывает без проблем, при подключении NTLM и Kerberos отказывается авторизовывать с ошибкой
ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
ERROR: NTLM Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
при этом при запуске в консоли следующей команды
/usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "CN=Users,dc=granit,dc=safety" -D SquidKerb@granit.safety -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:=cn=%g,CN=Users,DC=granit,DC=safety))" -h ds2.granit.safety ds.granit.safety
все отрабатывает идеально и выдается ответ:
ext_ldap_group_acl.cc(583): pid=1440 :Connected OK
ext_ldap_group_acl.cc(722): pid=1440 :group filter '(&(objectclass=person)(sAMAccountName=CherkasovIY)(memberOf:=cn=Internet-Full-Anon,CN=Users,DC=granit,DC=safety))', searchbase 'CN=Users,dc=granit,dc=safety'
OK
то есть поиск по LDAP каталогу происходит и наличие юзера в заданной группе определяется
сответственно проблема где то в районе хелперов
Подскажите можно ли их позапускать в консоли самостоятельно и что им подавать на вход чтобы проверить работу?
Отличный цикл статей, спасибо за него
Столкнулся со следующей проблемой
basic авторизация отрабатывает без проблем, при подключении NTLM и Kerberos отказывается авторизовывать с ошибкой
ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
ERROR: NTLM Authentication validating user. Result: {result=BH, notes={message: NT_STATUS_UNSUCCESSFUL NT_STATUS_UNSUCCESSFUL; }}
при этом при запуске в консоли следующей команды
/usr/lib/squid3/ext_ldap_group_acl -d -v 3 -P -R -K -b "CN=Users,dc=granit,dc=safety" -D SquidKerb@granit.safety -W /etc/squid3/conf_param_ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberOf:=cn=%g,CN=Users,DC=granit,DC=safety))" -h ds2.granit.safety ds.granit.safety
все отрабатывает идеально и выдается ответ:
ext_ldap_group_acl.cc(583): pid=1440 :Connected OK
ext_ldap_group_acl.cc(722): pid=1440 :group filter '(&(objectclass=person)(sAMAccountName=CherkasovIY)(memberOf:=cn=Internet-Full-Anon,CN=Users,DC=granit,DC=safety))', searchbase 'CN=Users,dc=granit,dc=safety'
OK
то есть поиск по LDAP каталогу происходит и наличие юзера в заданной группе определяется
сответственно проблема где то в районе хелперов
Подскажите можно ли их позапускать в консоли самостоятельно и что им подавать на вход чтобы проверить работу?
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Работа NTLM и Kerberos Хелперов
Сначала нужно убедиться в том, что winbind-у нормально доступен домен.
Проверьте работают ли доверительные отношения с доменом:
Проверьте аутентификацию пользователя в домене:
Проверьте работают ли доверительные отношения с доменом:
Код: Выделить всё
sudo wbinfo -t
Код: Выделить всё
sudo wbinfo -a DOMAIN\\user
-
- Новичок
- Сообщения: 5
- Зарегистрирован: 17 фев 2016 01:39
Re: Работа NTLM и Kerberos Хелперов
root@squid:/usr/lib/squid3# wbinfo -t
checking the trust secret for domain GRANIT via RPC calls succeeded
root@squid:/usr/lib/squid3# wbinfo -a GRANIT\\CherkasovIY
Enter GRANIT\CherkasovIY's password:
plaintext password authentication succeeded
Enter GRANIT\CherkasovIY's password:
challenge/response password authentication succeeded
Все отрабатывает нормально
checking the trust secret for domain GRANIT via RPC calls succeeded
root@squid:/usr/lib/squid3# wbinfo -a GRANIT\\CherkasovIY
Enter GRANIT\CherkasovIY's password:
plaintext password authentication succeeded
Enter GRANIT\CherkasovIY's password:
challenge/response password authentication succeeded
Все отрабатывает нормально
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Работа NTLM и Kerberos Хелперов
Возможно пользователь, от имени которого запускаются процессы squid, в том числе и дочерние процессы хелперов, имеет какие-то проблемы с правами доступа на файлы winbind. Обратите внимание на то что написано в конце этой заметки http://blog.it-kb.ru/2014/06/24/forward ... d-winbind/
-
- Новичок
- Сообщения: 5
- Зарегистрирован: 17 фев 2016 01:39
Re: Работа NTLM и Kerberos Хелперов
Обратил, но в том то и дело что сквид и все дочерние процессы запускается от имени root
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Работа NTLM и Kerberos Хелперов
Странная конфигурация. И наверно не совсем правильная с точки зрения безопасности. Обычно squid запускается от имени специального пользователя, который кстати говоря определяется в squid.conf. Попробуйте добавить к хелперу ntlm_auth ключ дебага
https://www.samba.org/samba/docs/man/ma ... uth.1.html
Код: Выделить всё
ntlm_auth -d debuglevel
- Алексей Максимов
- Администратор сайта
- Сообщения: 572
- Зарегистрирован: 14 сен 2012 06:50
- Откуда: г.Сыктывкар
- Контактная информация:
Re: Работа NTLM и Kerberos Хелперов
Проверить работу хелпера ntlm_auth из под пользователя от имени которого стартует squid можно так:
Ответ должен быть таким:
Код: Выделить всё
/usr/bin/ntlm_auth --username <логин доменного пользователя>
Password:<пароль доменного пользователя>
NT_STATUS_OK: Success (0x0)
-
- Новичок
- Сообщения: 5
- Зарегистрирован: 17 фев 2016 01:39
Re: Работа NTLM и Kerberos Хелперов
Полез в squid.conf проверять имя пользователя, и оказалось что таки все действительно запускается от имени пользователя proxy, внес необходимые изменения в права на файл keytab и группу winbind_priv и все заработало, спасибо вам большое!