forum.opennet.ru - "Key table entry not found while getting initial credentials ???" (30)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Key table entry not found while getting initial credentials ???"

Форум Настройка Squid и других прокси серверов (Аутентификация)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Key table entry not found while getting initial credentials ???"	+/–
Сообщение от netc (ok) on 10-Сен-10, 16:54
Не получаеться сделать правильный keytab file в процессе настройки аутентификации через KERBEROS Делаю keytab файл на PDC w2k8: c:\>ktpass -princ HTTP/proxy.tc.local@TC.LOCAL -mapuser userlink_proxy -crypto D ES-CBC-MD5 -pass userlink_proxy_password -ptype KRB5_NT_SRV_HST -out proxy.tc.local.keytab Targeting domain controller: PDC.tc.local Using legacy password setting method Successfully mapped HTTP/proxy.tc.local to userlink_proxy. WARNING: pType and account type do not match. This might cause problems. Key created. Output keytab to proxy.tc.local.keytab: Keytab version: 0x502 keysize 55 HTTP/proxy.tc.local@TC.LOCAL ptype 3 (KRB5_NT_SRV_HST) vno 5 etype 0x 3 (DES-CBC-MD5) keylength 8 (0x1f349e13d33d973b) keytab файл создаеться, но почему такой маленький по сравнения если делать через net ads keytab CREATE - не понятно ... да и если кто знает почему выдаеться сообщение: "WARNING: pType and account type do not match. This might cause problems." Точнее смысл сообщения я понимаю, только почему во всех мануалах написаноо делать именно так ? например здесь и здесь: http://klaubert.wordpress.com/2008/01/09/squid-kerberos-auth.../ http://blog.ronix.net.ua/2008/08/squidkerberos-c-ldap-active... если кто знает, подскажите ? файл перемещаеться на машину с прокси squid в папку /etc/squid3/ на этой машине выполняеться команда для проверки работы через этот keytab файл: kinit -V -k -t /etc/squid3/proxy.tc.local.keytab userlink_proxy@TC.LOCAL в результате выполнения выдаеться ошибка: kinit(v5): Key table entry not found while getting initial credentials т.е. у меня поидее беда в keytab файле, но вопрос в чем может быть дело ? аутентификация в домене через kerberos на этой машине работает, т.е. proxy:/etc/squid3# kinit admin@TC.LOCAL Password for admin@TC.LOCAL: proxy:/etc/squid3# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: admin@TC.LOCAL Valid starting Expires Service principal 09/10/10 16:47:16 09/11/10 02:47:09 krbtgt/TC.LOCAL@TC.LOCAL renew until 09/11/10 16:47:16 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached Могу предположить из сообщения об ошибке, что kinit передает keytab файл на сервер, но при этом сервер его не принимает, но ведь только что он мне его выдал. Подскажите пожалуйста в чем ошибка.
Ответить \| Правка \| Cообщить модератору

Оглавление

Key table entry not found while getting initial credentials ???, Aquarius, 20:47 , 11-Сен-10, (1) –2

Key table entry not found while getting initial credentials ???, DeadLoco, 11:34 , 12-Сен-10, (2) +1
Key table entry not found while getting initial credentials ???, netc, 12:01 , 13-Сен-10, (3)

Key table entry not found while getting initial credentials ???, 9, 12:20 , 22-Сен-10, (4)

Key table entry not found while getting initial credentials ???, netc, 14:56 , 23-Сен-10, (5)
Key table entry not found while getting initial credentials ???, netc, 14:56 , 23-Сен-10, (6)
Key table entry not found while getting initial credentials ???, netc, 15:16 , 24-Сен-10, (7)

Key table entry not found while getting initial credentials ???, DarK, 10:08 , 03-Ноя-11, (8)

Key table entry not found while getting initial credentials ???, netc, 11:40 , 03-Ноя-11, (9)

Key table entry not found while getting initial credentials ???, netc, 11:44 , 03-Ноя-11, (10)
Key table entry not found while getting initial credentials ???, DarK, 13:29 , 03-Ноя-11, (11)

Key table entry not found while getting initial credentials ???, DarK, 13:46 , 03-Ноя-11, (12)

Key table entry not found while getting initial credentials ???, DarK, 14:54 , 03-Ноя-11, (13)

Key table entry not found while getting initial credentials ???, netc, 15:27 , 03-Ноя-11, (14)

Key table entry not found while getting initial credentials ???, DarK, 08:13 , 04-Ноя-11, (15)

Key table entry not found while getting initial credentials ???, netc, 10:00 , 04-Ноя-11, (16)
Key table entry not found while getting initial credentials ???, netc, 10:00 , 04-Ноя-11, (17)
Key table entry not found while getting initial credentials ???, netc, 10:03 , 04-Ноя-11, (18)
Key table entry not found while getting initial credentials ???, netc, 15:46 , 04-Ноя-11, (19)
Key table entry not found while getting initial credentials ???, DarK, 21:26 , 04-Ноя-11, (20)
Key table entry not found while getting initial credentials ???, DarK, 16:27 , 07-Ноя-11, (21)
Key table entry not found while getting initial credentials ???, netc, 11:11 , 09-Ноя-11, (22)
Key table entry not found while getting initial credentials ???, DarK, 12:31 , 09-Ноя-11, (23)
Key table entry not found while getting initial credentials ???, DarK, 10:59 , 10-Ноя-11, (24)

Key table entry not found while getting initial credentials ???, Lifeman, 12:53 , 29-Мрт-12, (25)

Key table entry not found while getting initial credentials ???, ppolet, 11:26 , 26-Апр-12, (26)

Key table entry not found while getting initial credentials ???, decadent, 19:30 , 28-Апр-12, (27)

Key table entry not found while getting initial credentials ???, LagunaGuardian, 08:24 , 22-Авг-12, (28)

Key table entry not found while getting initial credentials ???, vakho_z, 18:17 , 04-Фев-13, (29)

Key table entry not found while getting initial credentials ???, sapounov, 16:30 , 01-Июл-13, (30)

Сообщения по теме [Сортировка по времени | RSS]

1. "Key table entry not found while getting initial credentials ???" –2 +/–

Сообщение от Aquarius (ok) on 11-Сен-10, 20:47

>[оверквотинг удален]
>Kerberos 4 ticket cache: /tmp/tkt0
>klist: You have no tickets cached
>
>
>
>Могу предположить из сообщения об ошибке, что kinit передает keytab файл на
>сервер, но при этом сервер его не принимает, но ведь только
>что он мне его выдал.
>
>Подскажите пожалуйста в чем ошибка.
заметил, что у людей, ставящих лишние мягкие знаки после 'т' перед 'ся' в конце слова, постоянно возникают какие-то проблемы

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Key table entry not found while getting initial credentials ???" +1 +/–

Сообщение от DeadLoco (ok) on 12-Сен-10, 11:34

>заметил, что у людей, ставящих лишние мягкие знаки после 'т' перед 'ся'
>в конце слова, постоянно возникают какие-то проблемы
Нужно проще к этому относитьься.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (ok) on 13-Сен-10, 12:01

>[оверквотинг удален]
>>
>>
>>Могу предположить из сообщения об ошибке, что kinit передает keytab файл на
>>сервер, но при этом сервер его не принимает, но ведь только
>>что он мне его выдал.
>>
>>Подскажите пожалуйста в чем ошибка.
>
>заметил, что у людей, ставящих лишние мягкие знаки после 'т' перед 'ся'
>в конце слова, постоянно возникают какие-то проблемы
а по сабжу ? - ноль ;)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от 9 on 22-Сен-10, 12:20

имею туже проблему при генерации кейтаба на контроллер домена win 2008.
Генерация ktpass буквально  той де командой, только своими доменами и реалмами
Точно так же на Linux kinit Дает
kinit(v5): Key table entry not found while getting initial credentials

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (??) on 23-Сен-10, 14:56

>имею туже проблему при генерации кейтаба на контроллер домена win 2008.
>Генерация ktpass буквально  той де командой, только своими доменами и реалмами
>
>Точно так же на Linux kinit Дает
>kinit(v5): Key table entry not found while getting initial credentials
да вот мучаюсь, перебираю до сих пор, надеюсь хватит сил отписаться ;) по решению траблы

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (??) on 23-Сен-10, 14:56

>имею туже проблему при генерации кейтаба на контроллер домена win 2008.
>Генерация ktpass буквально  той де командой, только своими доменами и реалмами
>
>Точно так же на Linux kinit Дает
>kinit(v5): Key table entry not found while getting initial credentials
да вот мучаюсь, перебираю до сих пор, надеюсь хватит сил отписаться ;) по решению траблы

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (??) on 24-Сен-10, 15:16

!!!!!!!!!!!!!!!!!!удалось побороть проблему!!!!!!!!!!!!!!!!!!!!!!!1111
ура, правда не знаю, что будет потом ;)
вообщем решение:
суть в том, что я взял чистую систему и стал настраивать все с нуля, но по принципу ни чего лишнего
описываю что я сделал:
новая система debian netinst 5.0.6
cat /etc/resolv.conf
search tc.local
nameserver 192.168.0.250
#192.168.0.250 - pdc моего домена (w2k8 sp1)
устанавливаем

aptitude -R krb5-user с 2 зависимостями (krb5-config{a} krb5-user libkadm55{a})

этого оказалось достаточно, для работы аутентификации
далее в процессе настройки пакета dpkg спросил у меня
Default Kerberos version 5 realm, я ввел TC.LOCAL
и еще помоему он спросил про админ сервер, я ответил PDC.TC.LOCAL
далее копируем уже давно созданный keytab с контроллера домена (PDC) куда угодно, но лучше к /etc/squid3
а делал я его так:

c:\>ktpass -princ HTTP/proxy.tc.local@TC.LOCAL -mapuser userlink_proxy -crypto A
ES256-SHA1 -pass "cbkmysqgfhjkm" -ptype KRB5_NT_SRV_HST -out proxy.tc.local.keytab.pdc
Targeting domain controller: PDC.tc.local
Using legacy password setting method
Successfully mapped HTTP/proxy.tc.local to userlink_proxy.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to proxy.tc.local.keytab.pdc:
Keytab version: 0x502
keysize 79 HTTP/proxy.tc.local@TC.LOCAL ptype 3 (KRB5_NT_SRV_HST) vno 10 etype 0
x12 (AES256-SHA1) keylength 32 (0x2df13d49f38c5fb1c103121b99e4084e6d6a40c06ab301
c83eaecda54bc164eb)
я скопировал и зашел в нее
далее делаю попытку аутентификации с использованием этого кейтаба:

cd /etc/squid3/ && kinit -V -k -t proxy.tc.local.keytab.pdc HTTP/proxy.tc.local

и получаю

Authenticated to Kerberos v5
проверяем что вывод klist:

proxy:/etc/squid3# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: HTTP/proxy.tc.local@TC.LOCAL
Valid starting     Expires            Service principal
09/23/10 15:46:12  09/24/10 01:45:54  krbtgt/TC.LOCAL@TC.LOCAL
        renew until 09/24/10 15:46:12

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом squid всем пользователем выдает Cache Access Denied
хелпер squid_ldap_group - работает верно
а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.
как только так сразу отпишусь

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

8. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от DarK (ok) on 03-Ноя-11, 10:08

>[оверквотинг удален]
> 09/23/10 15:46:12  09/24/10 01:45:54  krbtgt/TC.LOCAL@TC.LOCAL
>         renew until 09/24/10 15:46:12
> Kerberos 4 ticket cache: /tmp/tkt0
> klist: You have no tickets cached
>
> далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом
> squid всем пользователем выдает Cache Access Denied
> хелпер squid_ldap_group - работает верно
> а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.
> как только так сразу отпишусь
получилось решит? У меня в cache.log такие записи
2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59).
2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59).
2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (??) on 03-Ноя-11, 11:40

>[оверквотинг удален]
>> как только так сразу отпишусь
> получилось решит? У меня в cache.log такие записи
> 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw=='
> from squid (length: 59).
> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
> 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw=='
> from squid (length: 59).
> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
в студию
date && net ads info && ls -l /etc/krb5.keytab && net ads keytab list
kinit usernameofdomain работает?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (??) on 03-Ноя-11, 11:44

>[оверквотинг удален]
>> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
>> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
>> 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw=='
>> from squid (length: 59).
>> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
>> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
> в студию
> date && net ads info && ls -l /etc/krb5.keytab && net ads
> keytab list
> kinit usernameofdomain работает?
# указываем spn, если он у кейтаба не HTTP/fqdn@DEFAULT_REALM
#auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -i -s host/krbproxy.tc.local@TC.LOCAL

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -i
auth_param negotiate children 10
auth_param negotiate keep_alive on

#auth_param basic program /usr/lib/squid3/squid_ldap_auth -b "dc=tc,dc=local" -R -D "ssa@tc.local" -w "password" -f "sAMAccountName=%s" tc.local
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b "dc=tc,dc=local" -R -D "ssa@tc.local" -w "password" -f "(&(userPrincipalName=%s)(objectClass=Person))" tc.local
auth_param basic children 3
auth_param basic realm TC.LOCAL
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#auth_param basic children 3
#auth_param basic realm TC.LOCAL
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off

#auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#auth_param ntlm keep_alive on
#auth_param ntlm children 15

#external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl
external_acl_type nt_group ttl=1200 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=tc,dc=local" -D "ssa@tc.local" -w "password" -f "(&(objectCategory=user)(userPrincipalName=%v)(memberOf=CN=$
Отпишись по результатам, у меня все работает, самому интересно как рещил эту проблему
В логах у меня щас так:
2011/11/03 11:43:33| squid_kerb_auth: DEBUG: Decode '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' (decoded length: 1323).
2011/11/03 11:43:33| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWhqPFToFSBoZaPSOP9BHpMI+w14iyRSxgmhD1nBWVYw0LOdueA5hDBcKnzFskyRD2bRdvb6dhMagK2x7k8CkuOJzygcMw4aDiMmqkZsOwtctF6F9/fPnQL7+2Q== leontev@TC.LOCAL
2011/11/03 11:43:33| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated
2011/11/03 11:43:33| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWtq19G7F3ouoGWu0FD++98HPJymp3saTvd4U8/TsxLsJ9Q2MDZufTXAklT1eaU3ZHyX6CDXk6hV0VoMsbcM558T3/eXetrI6h+Eq0+SSKbi4haRz9VMXg/GVaQ== leontev@TC.LOCAL
2011/11/03 11:43:33| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated
2011/11/03 11:43:33| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWgyU756beuYHUReDEbB0bhplS5jA8IBbyaPHJiAQmVxsKksr9mNow5Ox1CSVgR3qO8O4RNEQBmtHzr3SeBCy3QpkY1Z+eqOzAmJVkxPW8i5p4p56kpvKCMdUaQ== leontev@TC.LOCAL
2011/11/03 11:43:33| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated
2011/11/03 11:43:33| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWu7LtTfHRj3iZ/W5+22tSF+BvSY9i4xao5hdLKu8fjf41tMu+//5/Ol0w/0wNjniA7KvvtuhdCDtrIA6Yjt4NMxjHURoShnAPePeEB6DrN3nTpH8tOk/Cd3+gw== leontev@TC.LOCAL
2011/11/03 11:43:33| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от DarK (ok) on 03-Ноя-11, 13:29

>[оверквотинг удален]
>> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
>> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
>> 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw=='
>> from squid (length: 59).
>> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
>> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
> в студию
> date && net ads info && ls -l /etc/krb5.keytab && net ads
> keytab list
> kinit usernameofdomain работает?
proxy ~ # date
Thu Nov  3 14:26:07
proxy ~ # net ads info
LDAP server: 192.168.11.3
LDAP server name: dc1.babilon.local
Realm: BABILON.LOCAL
Bind Path: dc=BABILON,dc=LOCAL
LDAP port: 389
Server time: Thu, 03 Nov 2011 14:26:21
KDC server: 192.168.11.3
Server time offset: -1
proxy ~ #  ls -l /etc/squid/proxy.babilon.local.keytab
-r-xr-xr-x 1 squid squid 95 Nov  2 22:03 /etc/squid/proxy.babilon.local.keytab
proxy ~ # net ads keytab list
Warning: "kerberos method" must be set to a keytab method to use keytab functions.
proxy ~ # kinit superadmin
Password for superadmin@BABILON.LOCAL:
proxy ~ # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: superadmin@BABILON.LOCAL
Valid starting     Expires            Service principal
11/03/11 14:28:33  11/04/11 00:28:36  krbtgt/BABILON.LOCAL@BABILON.LOCAL
        renew until 11/04/11 14:28:33

Почему то не работает
proxy ~ # net time
Can't contact server (null). Error NT_STATUS_BAD_NETWORK_NAME
proxy ~ # net time set
Can't contact server (null). Error NT_STATUS_BAD_NETWORK_NAME

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от DarK (ok) on 03-Ноя-11, 13:46

auth_param negotiate program /usr/libexec/squid/squid_kerb_auth -d -i -s HTTP/proxy.babilon.local@BABILON.LOCAL
auth_param negotiate children 5
auth_param negotiate keep_alive on
acl AUTHENTICATED proxy_auth REQUIRED
http_access allow AUTHENTICATED localnet
nano /etc/krb5.conf
[libdefaults]
        default_realm = BABILON.LOCAL
        dns_lookup_realm = false
        dns_lookup_kdc = false
        ticket_lifetime = 24h
        forwardable = yes

[realms]
# use "kdc = ..." if realm admins haven't put SRV records into DNS
        BABILON.LOCAL = {
                kdc = dc1.babilon.local:88
                admin_server = dc1.babilon.local:749
                default_domain = BABILON.LOCAL
        }
[domain_realm]
        .babilon.local = BABILON.LOCAL
        babilon.local = BABILON.LOCAL
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от DarK (ok) on 03-Ноя-11, 14:54

Потом ты у себя куда прикрутил keytab выданный контроллером ?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (??) on 03-Ноя-11, 15:27

> Потом ты у себя куда прикрутил keytab выданный контроллером ?
А я его ни куда не крутил, он сам прикрутился глвное не забыть потом сделать
net ads keytab create HTTP

вообщем пот конциг самбы, обрати внимаение на kerberos method!
и заново перевведи в домен т.е. выведи введи
кстати по этой команде у меня часто ругался, а иногда и отлично без ругани проходило все
[global]
    # по умолчанию 0, нагружает систему и снижает скорость копирования/записи
        # для отладки, можно использовать 5
    #log level = 5
        security = ADS
        netbios name = UNLIM
    # лучше оставлять пустым, иначе в сетевом окружении будет показан как netbios name (server string)
    server string =
    # рабочая группа. если домен, то его краткое имя
        workgroup = TC

    # полное имя домена
        realm = TC.LOCAL
    # обязательно, иначе будет выдавать ошибку что не может найти DOMAIN_CONTROLLER при выполнении присоединения к домену (net ads join)
    # error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
    # видимо не находит он wins сервера и соответсвенно не разрешает имена
    # указываем IP адреса контроллеров домена
    wins server = 192.168.0.250 192.168.0.251 192.168.0.252

    # лучше отключать, из-за излишнего широковещательного трафика и войны обозревателей в сети.
    # отключаем полность т.к. неправильная настройка samba может вызвать проблемы с сетевым окружением
    preferred master = no
    # использовать системный keytab файл /etc/krb5.keytab для хранения ключей kerberos, вместо базы secrets.tdb
    # эти ключи получает команда net ads join от сервера kerberos и сохраняет локально в недоступном для всех месте
    kerberos method = system keytab
    # переопределяет сервера в /etc/krb5.conf
    # можно указывать несколько через пробел
    # имеет смысл (используется) если указан параметр use kerberos keytab
    # ОТКЛЮЧИМ И ПРОВЕРИМ РАБОТАЕТ ЛИ АУТЕНТИФИКАЦИЯ
    # будет автоматически искать контроллеры домена для указанной realm, * - означает выбирать все из найденных.
    password server = *

    # все пользователи и группы должны иметь числовой идентификатор (uid, gid)
    # параметр ниже указывают демону winbind и его библиотеке pam_winbind использовать идентификаторы из указанного ниже диапазона
    # диапазон отмапленых winbindd`ом uid пользователей
    winbind uid = 10000-20000
    # диапазон отмапленых winbindd`ом gid групп
        winbind gid = 10000-20000

        # ВКЛЮЧАЕМ, ЕСЛИ ТРЕБУЕТСЯ ВХОДИТЬ НА СЕРВЕР С УЧЕТНЫМИ ЗАПИСЫМИ ДОМЕНА
        #
        # для работы системного вызова getpwent и команд getent passwd, getent group
        # необходимо для нормального логина на текущий юникс сервер, где стоит эта samba
        #winbind enum users = yes
        #winbind enum groups = yes
        # ВКЛЮЧАЕМ, ЕСЛИ ТРЕБУЕТСЯ ВХОДИТЬ НА СЕРВЕР С УЧЕТНЫМИ ЗАПИСЫМИ ДОМЕНА
        #
        # если включен:
        #        для успешной аутентификации через pam_winbind достаточно ввести короткое имя пользователя
        #        для успешной аутентификации через pam_krb5 необходимо и достаточно будет ввести короткое имя пользователя
        # если выключен:
        #        для успешной аутентификации через pam_winbind необходимо будет вводит полное имя пользователя с доменом, например tc\sysadmin
        #        успешная аутентификация через pam_krb5 невозможно, по причине того, что этот модуль принимает только короткое имя пользователя(принципала)
        #
        # если вы хотите использовать оба модуля вместе (по очереди), то он необходим.
        #winbind use default domain = yes

        # ВКЛЮЧАЕМ, ЕСЛИ ТРЕБУЕТСЯ ВХОДИТЬ НА СЕРВЕР С УЧЕТНЫМИ ЗАПИСЫМИ ДОМЕНА
        #
        # в случае если в параметрах пользователя остнастки Active Directory Computers & Users не задана оболочка по умолчанию для пользователя, то
        # после входа на сервер в текстовом режиме через login вы будете сразу же выброшены, т.к. завершится единственный поражденный вами процесс
        # для того, чтобы чтобы у всех пользователей из AD по умолчанию был стандартный shell будем использовать параметр
        #template shell = /bin/bash

    # обязательно для samba 3.5 и новее если локаль где установлена система по умолчанию UTF8
    # на случай, если LOCALE не задана или не правильно задана
    display charset = utf8

    # локаль по умолчанию ОС, где установлена samba
    unix charset = utf8
    # важно для dos клиентов, для нормального отображения кириллических символов
        dos charset = 866

    # Это имя пользователя будет использоваться для доступа к сервисам, для которых задан guest ok = yes
    # При подключении(входе на сервер через сетевое окружение) к smbd не потребуется вводить пароль.
    guest account = nobody
    # ТЮНИНГ
    # TCP_NODELAY - read speed more faster (in 2x)
    socket options = TCP_NODELAY
    # Выключаем подсистему печати
    load printers = no
    printing = bsd
    show add printer wizard = no
    printcap name = /dev/null
    disable spoolss = yes

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от DarK (ok) on 04-Ноя-11, 08:13

при перезапуске сквида, командой klist что должно показывать может в этом проблема ??

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (ok) on 04-Ноя-11, 10:00

> при перезапуске сквида, командой klist что должно показывать может в этом проблема
> ??
unlim:~# klist -kte /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   2 10/31/11 13:23:51 host/unlim.tc.local@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:51 host/unlim.tc.local@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:51 host/unlim.tc.local@TC.LOCAL (ArcFour with HMAC/md5)
   2 10/31/11 13:23:51 host/unlim@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:51 host/unlim@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:51 host/unlim@TC.LOCAL (ArcFour with HMAC/md5)
   2 10/31/11 13:23:51 UNLIM$@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:51 UNLIM$@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:51 UNLIM$@TC.LOCAL (ArcFour with HMAC/md5)
   2 10/31/11 13:23:59 HTTP/unlim.tc.local@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:59 HTTP/unlim.tc.local@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:59 HTTP/unlim.tc.local@TC.LOCAL (ArcFour with HMAC/md5)
   2 10/31/11 13:23:59 HTTP/unlim@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:59 HTTP/unlim@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:59 HTTP/unlim@TC.LOCAL (ArcFour with HMAC/md5)

например, а вообще перезапуск сквида ни как с klist не связан.
связка ключей /etc/krb5.keytab нужна хелперу сквида для рассшифровки информации которую передает ему браузер о имени пользователя.
и она кстати самбой поидее время от времени может обновлятся. соответвенно для нормальной расшифровки нужно, чтобы версия кейтаба и ключей в нем соответсвовала тем ключам которые лежат в AD, наилучший способ этого достичь на мой взгляд использование kerberos method = system keytab
вывод и ввод в домен, проверка кейтаба.
поидее чтобы все работало нужно чтобы отрабатывала команда kinit -kt /etc/krb5.keytab ...
че то там, а вот че я уже забыл.
HTTP я уже писал как добавлять.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (ok) on 04-Ноя-11, 10:00

> при перезапуске сквида, командой klist что должно показывать может в этом проблема
> ??
ты хоть приблизительно пытался юзать мои конфиги ?

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (ok) on 04-Ноя-11, 10:03

> при перезапуске сквида, командой klist что должно показывать может в этом проблема
> ??
выкинь у себя мысль из головы юзать кейтаб сгенереныый на винде.
там есть очень много нюансов, которые я щас не вспомню, но сделать правильный кейтаб по тому, что сейчас написано в инете я имею в виду статьи - архисложно
юзать самбу для этих целей
а кстати что у тебя выводит
wbinfo -u
wbinfo -g
wbinfo -t
wbinfo -p
wbinfo ...

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (ok) on 04-Ноя-11, 15:46

файл hosts еще выложи

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от DarK (ok) on 04-Ноя-11, 21:26

> файл hosts еще выложи
127.0.0.1       proxy.babilon.local proxy localhost
217.11.x.x      proxy.babilon.local proxy localhost
#::1            proxy.babilon.local localhost
192.168.11.1    proxy.babilon.local proxy localhost
192.168.11.3    dc1.babilon.local dc1
Насчет Samba. Идея в том чтобы отказаться от Samba и Ntlm. Так что мне надо обойтись без самбы. Неужели не получиться?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от DarK (ok) on 07-Ноя-11, 16:27

тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа). Можешь написать по шагово с нуля. Я думаю не только я но и другие будут благодарны. Или скинь ссылку где все подробно описывается. Спасибо

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

22. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от netc (ok) on 09-Ноя-11, 11:11

> тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа).
> Можешь написать по шагово с нуля. Я думаю не только я
> но и другие будут благодарны. Или скинь ссылку где все подробно
> описывается. Спасибо
могу выслать не доделанную инструкцию с двумя условиями ?
1. не будешь её публиковать ни где даже в измененном виде. она конечно еще сырая, но все таки многие вещи в ней разъесены
2. отпишися о результатах и будешь идти до конца! согласен ?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от DarK (ok) on 09-Ноя-11, 12:31

>> тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа).
>> Можешь написать по шагово с нуля. Я думаю не только я
>> но и другие будут благодарны. Или скинь ссылку где все подробно
>> описывается. Спасибо
> могу выслать не доделанную инструкцию с двумя условиями ?
> 1. не будешь её публиковать ни где даже в измененном виде. она
> конечно еще сырая, но все таки многие вещи в ней разъесены
> 2. отпишися о результатах и будешь идти до конца! согласен ?
Да согласен! Пути назад нет.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от DarK (ok) on 10-Ноя-11, 10:59

>>> тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа).
>>> Можешь написать по шагово с нуля. Я думаю не только я
>>> но и другие будут благодарны. Или скинь ссылку где все подробно
>>> описывается. Спасибо
>> могу выслать не доделанную инструкцию с двумя условиями ?
>> 1. не будешь её публиковать ни где даже в измененном виде. она
>> конечно еще сырая, но все таки многие вещи в ней разъесены
>> 2. отпишися о результатах и будешь идти до конца! согласен ?
> Да согласен! Пути назад нет.
Ты тут ? Мне очень надо запустить эту схему.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от Lifeman on 29-Мрт-12, 12:53

>[оверквотинг удален]
> 09/23/10 15:46:12  09/24/10 01:45:54  krbtgt/TC.LOCAL@TC.LOCAL
>         renew until 09/24/10 15:46:12
> Kerberos 4 ticket cache: /tmp/tkt0
> klist: You have no tickets cached
>
> далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом
> squid всем пользователем выдает Cache Access Denied
> хелпер squid_ldap_group - работает верно
> а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.
> как только так сразу отпишусь
Вся фишка была в способе шифрования. Вместо MD5 подставляешь AES и воля все работает, даже без установки с чистой системы!!! Спасибо!)))

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от ppolet (ok) on 26-Апр-12, 11:26

>[оверквотинг удален]
>> Kerberos 4 ticket cache: /tmp/tkt0
>> klist: You have no tickets cached
>>
>> далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом
>> squid всем пользователем выдает Cache Access Denied
>> хелпер squid_ldap_group - работает верно
>> а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.
>> как только так сразу отпишусь
> Вся фишка была в способе шифрования. Вместо MD5 подставляешь AES и воля
> все работает, даже без установки с чистой системы!!! Спасибо!)))
такая же ошибка, можно чуть подробнее где подставлять???
Заранее благодарен!

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от decadent (ok) on 28-Апр-12, 19:30

Я уже неделю ломаю мозг, безуспешно пытаясь прикрутить Squid с Kerberos авторизацией к домену Windows 2003 SP2.
Уже тремя способами пробовал делать keytab, а при проверке одно и то же:
>kinit: Client not found in Kerberos database while getting initial credentials
или
>kinit: Generic preauthentication failure while getting initial credentials
Создается впечатление, что проблема в самом контроллере домена.
Изначально настраивал всё на Ubuntu Server 8.04 LTS, потом поставил на виртуалку 12.04 LTS - та же фигня.
Сейчас попробую поднять Squid вообще в другой сети, где тоже AD на 2003 винде.
Если не поможет, попробую поднять на вируалках новый домен уже на Windows 2008 и потестить там...
Подскажите, какие дампы можно снять или может логи включить, чтобы понять что именно не нравится AD при проверке Keytab?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от LagunaGuardian (ok) on 22-Авг-12, 08:24

>>kinit: Client not found in Kerberos database while getting initial credentials
> или
>>kinit: Generic preauthentication failure while getting initial credentials
Аналогичная проблема, Вам удалось её как-нибудь решить?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от vakho_z on 04-Фев-13, 18:17

>>>kinit: Client not found in Kerberos database while getting initial credentials
>> или
>>>kinit: Generic preauthentication failure while getting initial credentials
> Аналогичная проблема, Вам удалось её как-нибудь решить?
Аналогичная проблема тоже

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "Key table entry not found while getting initial credentials ???" +/–

Сообщение от sapounov (??) on 01-Июл-13, 16:30

Попробую закрыть тему и помочь тем, кто натыкается на нее с помощью гугла.
Проблема с keytab-файлами описана здесь:
https://bugzilla.redhat.com/show_bug.cgi?id=748528
Причина проблем - методы шифрования.
Решается путем добавления в конфиг krb5.conf
default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

Мне помогло.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Key table entry not found while getting initial credentials ???"	–2 +/–
Сообщение от Aquarius (ok) on 11-Сен-10, 20:47
>[оверквотинг удален] >Kerberos 4 ticket cache: /tmp/tkt0 >klist: You have no tickets cached > > > >Могу предположить из сообщения об ошибке, что kinit передает keytab файл на >сервер, но при этом сервер его не принимает, но ведь только >что он мне его выдал. > >Подскажите пожалуйста в чем ошибка. заметил, что у людей, ставящих лишние мягкие знаки после 'т' перед 'ся' в конце слова, постоянно возникают какие-то проблемы
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Key table entry not found while getting initial credentials ???"	+1 +/–
	Сообщение от DeadLoco (ok) on 12-Сен-10, 11:34
	>заметил, что у людей, ставящих лишние мягкие знаки после 'т' перед 'ся' >в конце слова, постоянно возникают какие-то проблемы Нужно проще к этому относитьься.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (ok) on 13-Сен-10, 12:01
	>[оверквотинг удален] >> >> >>Могу предположить из сообщения об ошибке, что kinit передает keytab файл на >>сервер, но при этом сервер его не принимает, но ведь только >>что он мне его выдал. >> >>Подскажите пожалуйста в чем ошибка. > >заметил, что у людей, ставящих лишние мягкие знаки после 'т' перед 'ся' >в конце слова, постоянно возникают какие-то проблемы а по сабжу ? - ноль ;)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	4. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от 9 on 22-Сен-10, 12:20
	имею туже проблему при генерации кейтаба на контроллер домена win 2008. Генерация ktpass буквально той де командой, только своими доменами и реалмами Точно так же на Linux kinit Дает kinit(v5): Key table entry not found while getting initial credentials
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (??) on 23-Сен-10, 14:56
	>имею туже проблему при генерации кейтаба на контроллер домена win 2008. >Генерация ktpass буквально той де командой, только своими доменами и реалмами > >Точно так же на Linux kinit Дает >kinit(v5): Key table entry not found while getting initial credentials да вот мучаюсь, перебираю до сих пор, надеюсь хватит сил отписаться ;) по решению траблы
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (??) on 23-Сен-10, 14:56
	>имею туже проблему при генерации кейтаба на контроллер домена win 2008. >Генерация ktpass буквально той де командой, только своими доменами и реалмами > >Точно так же на Linux kinit Дает >kinit(v5): Key table entry not found while getting initial credentials да вот мучаюсь, перебираю до сих пор, надеюсь хватит сил отписаться ;) по решению траблы
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (??) on 24-Сен-10, 15:16
	!!!!!!!!!!!!!!!!!!удалось побороть проблему!!!!!!!!!!!!!!!!!!!!!!!1111 ура, правда не знаю, что будет потом ;) вообщем решение: суть в том, что я взял чистую систему и стал настраивать все с нуля, но по принципу ни чего лишнего описываю что я сделал: новая система debian netinst 5.0.6 cat /etc/resolv.conf search tc.local nameserver 192.168.0.250 #192.168.0.250 - pdc моего домена (w2k8 sp1) устанавливаем aptitude -R krb5-user с 2 зависимостями (krb5-config{a} krb5-user libkadm55{a}) этого оказалось достаточно, для работы аутентификации далее в процессе настройки пакета dpkg спросил у меня Default Kerberos version 5 realm, я ввел TC.LOCAL и еще помоему он спросил про админ сервер, я ответил PDC.TC.LOCAL далее копируем уже давно созданный keytab с контроллера домена (PDC) куда угодно, но лучше к /etc/squid3 а делал я его так: c:\>ktpass -princ HTTP/proxy.tc.local@TC.LOCAL -mapuser userlink_proxy -crypto A ES256-SHA1 -pass "cbkmysqgfhjkm" -ptype KRB5_NT_SRV_HST -out proxy.tc.local.keytab.pdc Targeting domain controller: PDC.tc.local Using legacy password setting method Successfully mapped HTTP/proxy.tc.local to userlink_proxy. WARNING: pType and account type do not match. This might cause problems. Key created. Output keytab to proxy.tc.local.keytab.pdc: Keytab version: 0x502 keysize 79 HTTP/proxy.tc.local@TC.LOCAL ptype 3 (KRB5_NT_SRV_HST) vno 10 etype 0 x12 (AES256-SHA1) keylength 32 (0x2df13d49f38c5fb1c103121b99e4084e6d6a40c06ab301 c83eaecda54bc164eb) я скопировал и зашел в нее далее делаю попытку аутентификации с использованием этого кейтаба: cd /etc/squid3/ && kinit -V -k -t proxy.tc.local.keytab.pdc HTTP/proxy.tc.local и получаю Authenticated to Kerberos v5 проверяем что вывод klist: proxy:/etc/squid3# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: HTTP/proxy.tc.local@TC.LOCAL Valid starting Expires Service principal 09/23/10 15:46:12 09/24/10 01:45:54 krbtgt/TC.LOCAL@TC.LOCAL renew until 09/24/10 15:46:12 Kerberos 4 ticket cache: /tmp/tkt0 klist: You have no tickets cached далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом squid всем пользователем выдает Cache Access Denied хелпер squid_ldap_group - работает верно а вот squid_kerb_auth пока не проверял, но поидее настроен правильно. как только так сразу отпишусь
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	8. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от DarK (ok) on 03-Ноя-11, 10:08
	>[оверквотинг удален] > 09/23/10 15:46:12 09/24/10 01:45:54 krbtgt/TC.LOCAL@TC.LOCAL > renew until 09/24/10 15:46:12 > Kerberos 4 ticket cache: /tmp/tkt0 > klist: You have no tickets cached > > далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом > squid всем пользователем выдает Cache Access Denied > хелпер squid_ldap_group - работает верно > а вот squid_kerb_auth пока не проверял, но поидее настроен правильно. > как только так сразу отпишусь получилось решит? У меня в cache.log такие записи 2011/11/03 09:26:32\| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59). 2011/11/03 09:26:32\| squid_kerb_auth: parseNegTokenInit failed with rc=101 2011/11/03 09:26:32\| squid_kerb_auth: received type 1 NTLM token 2011/11/03 09:26:32\| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59). 2011/11/03 09:26:32\| squid_kerb_auth: parseNegTokenInit failed with rc=101 2011/11/03 09:26:32\| squid_kerb_auth: received type 1 NTLM token
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (??) on 03-Ноя-11, 11:40
	>[оверквотинг удален] >> как только так сразу отпишусь > получилось решит? У меня в cache.log такие записи > 2011/11/03 09:26:32\| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' > from squid (length: 59). > 2011/11/03 09:26:32\| squid_kerb_auth: parseNegTokenInit failed with rc=101 > 2011/11/03 09:26:32\| squid_kerb_auth: received type 1 NTLM token > 2011/11/03 09:26:32\| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' > from squid (length: 59). > 2011/11/03 09:26:32\| squid_kerb_auth: parseNegTokenInit failed with rc=101 > 2011/11/03 09:26:32\| squid_kerb_auth: received type 1 NTLM token в студию date && net ads info && ls -l /etc/krb5.keytab && net ads keytab list kinit usernameofdomain работает?
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (??) on 03-Ноя-11, 11:44
	>[оверквотинг удален] >> 2011/11/03 09:26:32\| squid_kerb_auth: parseNegTokenInit failed with rc=101 >> 2011/11/03 09:26:32\| squid_kerb_auth: received type 1 NTLM token >> 2011/11/03 09:26:32\| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' >> from squid (length: 59). >> 2011/11/03 09:26:32\| squid_kerb_auth: parseNegTokenInit failed with rc=101 >> 2011/11/03 09:26:32\| squid_kerb_auth: received type 1 NTLM token > в студию > date && net ads info && ls -l /etc/krb5.keytab && net ads > keytab list > kinit usernameofdomain работает? # указываем spn, если он у кейтаба не HTTP/fqdn@DEFAULT_REALM #auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -i -s host/krbproxy.tc.local@TC.LOCAL auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -i auth_param negotiate children 10 auth_param negotiate keep_alive on #auth_param basic program /usr/lib/squid3/squid_ldap_auth -b "dc=tc,dc=local" -R -D "ssa@tc.local" -w "password" -f "sAMAccountName=%s" tc.local auth_param basic program /usr/lib/squid3/squid_ldap_auth -b "dc=tc,dc=local" -R -D "ssa@tc.local" -w "password" -f "(&(userPrincipalName=%s)(objectClass=Person))" tc.local auth_param basic children 3 auth_param basic realm TC.LOCAL auth_param basic credentialsttl 2 hours auth_param basic casesensitive off #auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic #auth_param basic children 3 #auth_param basic realm TC.LOCAL #auth_param basic credentialsttl 2 hours #auth_param basic casesensitive off #auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp #auth_param ntlm keep_alive on #auth_param ntlm children 15 #external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl external_acl_type nt_group ttl=1200 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=tc,dc=local" -D "ssa@tc.local" -w "password" -f "(&(objectCategory=user)(userPrincipalName=%v)(memberOf=CN=$ Отпишись по результатам, у меня все работает, самому интересно как рещил эту проблему В логах у меня щас так: 2011/11/03 11:43:33\| squid_kerb_auth: DEBUG: Decode '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' (decoded length: 1323). 2011/11/03 11:43:33\| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWhqPFToFSBoZaPSOP9BHpMI+w14iyRSxgmhD1nBWVYw0LOdueA5hDBcKnzFskyRD2bRdvb6dhMagK2x7k8CkuOJzygcMw4aDiMmqkZsOwtctF6F9/fPnQL7+2Q== leontev@TC.LOCAL 2011/11/03 11:43:33\| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated 2011/11/03 11:43:33\| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWtq19G7F3ouoGWu0FD++98HPJymp3saTvd4U8/TsxLsJ9Q2MDZufTXAklT1eaU3ZHyX6CDXk6hV0VoMsbcM558T3/eXetrI6h+Eq0+SSKbi4haRz9VMXg/GVaQ== leontev@TC.LOCAL 2011/11/03 11:43:33\| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated 2011/11/03 11:43:33\| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWgyU756beuYHUReDEbB0bhplS5jA8IBbyaPHJiAQmVxsKksr9mNow5Ox1CSVgR3qO8O4RNEQBmtHzr3SeBCy3QpkY1Z+eqOzAmJVkxPW8i5p4p56kpvKCMdUaQ== leontev@TC.LOCAL 2011/11/03 11:43:33\| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated 2011/11/03 11:43:33\| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWu7LtTfHRj3iZ/W5+22tSF+BvSY9i4xao5hdLKu8fjf41tMu+//5/Ol0w/0wNjniA7KvvtuhdCDtrIA6Yjt4NMxjHURoShnAPePeEB6DrN3nTpH8tOk/Cd3+gw== leontev@TC.LOCAL 2011/11/03 11:43:33\| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от DarK (ok) on 03-Ноя-11, 13:29
	>[оверквотинг удален] >> 2011/11/03 09:26:32\| squid_kerb_auth: parseNegTokenInit failed with rc=101 >> 2011/11/03 09:26:32\| squid_kerb_auth: received type 1 NTLM token >> 2011/11/03 09:26:32\| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' >> from squid (length: 59). >> 2011/11/03 09:26:32\| squid_kerb_auth: parseNegTokenInit failed with rc=101 >> 2011/11/03 09:26:32\| squid_kerb_auth: received type 1 NTLM token > в студию > date && net ads info && ls -l /etc/krb5.keytab && net ads > keytab list > kinit usernameofdomain работает? proxy ~ # date Thu Nov 3 14:26:07 proxy ~ # net ads info LDAP server: 192.168.11.3 LDAP server name: dc1.babilon.local Realm: BABILON.LOCAL Bind Path: dc=BABILON,dc=LOCAL LDAP port: 389 Server time: Thu, 03 Nov 2011 14:26:21 KDC server: 192.168.11.3 Server time offset: -1 proxy ~ # ls -l /etc/squid/proxy.babilon.local.keytab -r-xr-xr-x 1 squid squid 95 Nov 2 22:03 /etc/squid/proxy.babilon.local.keytab proxy ~ # net ads keytab list Warning: "kerberos method" must be set to a keytab method to use keytab functions. proxy ~ # kinit superadmin Password for superadmin@BABILON.LOCAL: proxy ~ # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: superadmin@BABILON.LOCAL Valid starting Expires Service principal 11/03/11 14:28:33 11/04/11 00:28:36 krbtgt/BABILON.LOCAL@BABILON.LOCAL renew until 11/04/11 14:28:33 Почему то не работает proxy ~ # net time Can't contact server (null). Error NT_STATUS_BAD_NETWORK_NAME proxy ~ # net time set Can't contact server (null). Error NT_STATUS_BAD_NETWORK_NAME
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от DarK (ok) on 03-Ноя-11, 13:46
	auth_param negotiate program /usr/libexec/squid/squid_kerb_auth -d -i -s HTTP/proxy.babilon.local@BABILON.LOCAL auth_param negotiate children 5 auth_param negotiate keep_alive on acl AUTHENTICATED proxy_auth REQUIRED http_access allow AUTHENTICATED localnet nano /etc/krb5.conf [libdefaults] default_realm = BABILON.LOCAL dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] # use "kdc = ..." if realm admins haven't put SRV records into DNS BABILON.LOCAL = { kdc = dc1.babilon.local:88 admin_server = dc1.babilon.local:749 default_domain = BABILON.LOCAL } [domain_realm] .babilon.local = BABILON.LOCAL babilon.local = BABILON.LOCAL [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false }
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от DarK (ok) on 03-Ноя-11, 14:54
	Потом ты у себя куда прикрутил keytab выданный контроллером ?
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (??) on 03-Ноя-11, 15:27
	> Потом ты у себя куда прикрутил keytab выданный контроллером ? А я его ни куда не крутил, он сам прикрутился глвное не забыть потом сделать net ads keytab create HTTP вообщем пот конциг самбы, обрати внимаение на kerberos method! и заново перевведи в домен т.е. выведи введи кстати по этой команде у меня часто ругался, а иногда и отлично без ругани проходило все [global] # по умолчанию 0, нагружает систему и снижает скорость копирования/записи # для отладки, можно использовать 5 #log level = 5 security = ADS netbios name = UNLIM # лучше оставлять пустым, иначе в сетевом окружении будет показан как netbios name (server string) server string = # рабочая группа. если домен, то его краткое имя workgroup = TC # полное имя домена realm = TC.LOCAL # обязательно, иначе будет выдавать ошибку что не может найти DOMAIN_CONTROLLER при выполнении присоединения к домену (net ads join) # error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233) # видимо не находит он wins сервера и соответсвенно не разрешает имена # указываем IP адреса контроллеров домена wins server = 192.168.0.250 192.168.0.251 192.168.0.252 # лучше отключать, из-за излишнего широковещательного трафика и войны обозревателей в сети. # отключаем полность т.к. неправильная настройка samba может вызвать проблемы с сетевым окружением preferred master = no # использовать системный keytab файл /etc/krb5.keytab для хранения ключей kerberos, вместо базы secrets.tdb # эти ключи получает команда net ads join от сервера kerberos и сохраняет локально в недоступном для всех месте kerberos method = system keytab # переопределяет сервера в /etc/krb5.conf # можно указывать несколько через пробел # имеет смысл (используется) если указан параметр use kerberos keytab # ОТКЛЮЧИМ И ПРОВЕРИМ РАБОТАЕТ ЛИ АУТЕНТИФИКАЦИЯ # будет автоматически искать контроллеры домена для указанной realm, * - означает выбирать все из найденных. password server = * # все пользователи и группы должны иметь числовой идентификатор (uid, gid) # параметр ниже указывают демону winbind и его библиотеке pam_winbind использовать идентификаторы из указанного ниже диапазона # диапазон отмапленых winbindd`ом uid пользователей winbind uid = 10000-20000 # диапазон отмапленых winbindd`ом gid групп winbind gid = 10000-20000 # ВКЛЮЧАЕМ, ЕСЛИ ТРЕБУЕТСЯ ВХОДИТЬ НА СЕРВЕР С УЧЕТНЫМИ ЗАПИСЫМИ ДОМЕНА # # для работы системного вызова getpwent и команд getent passwd, getent group # необходимо для нормального логина на текущий юникс сервер, где стоит эта samba #winbind enum users = yes #winbind enum groups = yes # ВКЛЮЧАЕМ, ЕСЛИ ТРЕБУЕТСЯ ВХОДИТЬ НА СЕРВЕР С УЧЕТНЫМИ ЗАПИСЫМИ ДОМЕНА # # если включен: # для успешной аутентификации через pam_winbind достаточно ввести короткое имя пользователя # для успешной аутентификации через pam_krb5 необходимо и достаточно будет ввести короткое имя пользователя # если выключен: # для успешной аутентификации через pam_winbind необходимо будет вводит полное имя пользователя с доменом, например tc\sysadmin # успешная аутентификация через pam_krb5 невозможно, по причине того, что этот модуль принимает только короткое имя пользователя(принципала) # # если вы хотите использовать оба модуля вместе (по очереди), то он необходим. #winbind use default domain = yes # ВКЛЮЧАЕМ, ЕСЛИ ТРЕБУЕТСЯ ВХОДИТЬ НА СЕРВЕР С УЧЕТНЫМИ ЗАПИСЫМИ ДОМЕНА # # в случае если в параметрах пользователя остнастки Active Directory Computers & Users не задана оболочка по умолчанию для пользователя, то # после входа на сервер в текстовом режиме через login вы будете сразу же выброшены, т.к. завершится единственный поражденный вами процесс # для того, чтобы чтобы у всех пользователей из AD по умолчанию был стандартный shell будем использовать параметр #template shell = /bin/bash # обязательно для samba 3.5 и новее если локаль где установлена система по умолчанию UTF8 # на случай, если LOCALE не задана или не правильно задана display charset = utf8 # локаль по умолчанию ОС, где установлена samba unix charset = utf8 # важно для dos клиентов, для нормального отображения кириллических символов dos charset = 866 # Это имя пользователя будет использоваться для доступа к сервисам, для которых задан guest ok = yes # При подключении(входе на сервер через сетевое окружение) к smbd не потребуется вводить пароль. guest account = nobody # ТЮНИНГ # TCP_NODELAY - read speed more faster (in 2x) socket options = TCP_NODELAY # Выключаем подсистему печати load printers = no printing = bsd show add printer wizard = no printcap name = /dev/null disable spoolss = yes
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от DarK (ok) on 04-Ноя-11, 08:13
	при перезапуске сквида, командой klist что должно показывать может в этом проблема ??
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (ok) on 04-Ноя-11, 10:00
	> при перезапуске сквида, командой klist что должно показывать может в этом проблема > ?? unlim:~# klist -kte /etc/krb5.keytab Keytab name: WRFILE:/etc/krb5.keytab KVNO Timestamp Principal ---- ----------------- -------------------------------------------------------- 2 10/31/11 13:23:51 host/unlim.tc.local@TC.LOCAL (DES cbc mode with CRC-32) 2 10/31/11 13:23:51 host/unlim.tc.local@TC.LOCAL (DES cbc mode with RSA-MD5) 2 10/31/11 13:23:51 host/unlim.tc.local@TC.LOCAL (ArcFour with HMAC/md5) 2 10/31/11 13:23:51 host/unlim@TC.LOCAL (DES cbc mode with CRC-32) 2 10/31/11 13:23:51 host/unlim@TC.LOCAL (DES cbc mode with RSA-MD5) 2 10/31/11 13:23:51 host/unlim@TC.LOCAL (ArcFour with HMAC/md5) 2 10/31/11 13:23:51 UNLIM$@TC.LOCAL (DES cbc mode with CRC-32) 2 10/31/11 13:23:51 UNLIM$@TC.LOCAL (DES cbc mode with RSA-MD5) 2 10/31/11 13:23:51 UNLIM$@TC.LOCAL (ArcFour with HMAC/md5) 2 10/31/11 13:23:59 HTTP/unlim.tc.local@TC.LOCAL (DES cbc mode with CRC-32) 2 10/31/11 13:23:59 HTTP/unlim.tc.local@TC.LOCAL (DES cbc mode with RSA-MD5) 2 10/31/11 13:23:59 HTTP/unlim.tc.local@TC.LOCAL (ArcFour with HMAC/md5) 2 10/31/11 13:23:59 HTTP/unlim@TC.LOCAL (DES cbc mode with CRC-32) 2 10/31/11 13:23:59 HTTP/unlim@TC.LOCAL (DES cbc mode with RSA-MD5) 2 10/31/11 13:23:59 HTTP/unlim@TC.LOCAL (ArcFour with HMAC/md5) например, а вообще перезапуск сквида ни как с klist не связан. связка ключей /etc/krb5.keytab нужна хелперу сквида для рассшифровки информации которую передает ему браузер о имени пользователя. и она кстати самбой поидее время от времени может обновлятся. соответвенно для нормальной расшифровки нужно, чтобы версия кейтаба и ключей в нем соответсвовала тем ключам которые лежат в AD, наилучший способ этого достичь на мой взгляд использование kerberos method = system keytab вывод и ввод в домен, проверка кейтаба. поидее чтобы все работало нужно чтобы отрабатывала команда kinit -kt /etc/krb5.keytab ... че то там, а вот че я уже забыл. HTTP я уже писал как добавлять.
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (ok) on 04-Ноя-11, 10:00
	> при перезапуске сквида, командой klist что должно показывать может в этом проблема > ?? ты хоть приблизительно пытался юзать мои конфиги ?
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	18. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (ok) on 04-Ноя-11, 10:03
	> при перезапуске сквида, командой klist что должно показывать может в этом проблема > ?? выкинь у себя мысль из головы юзать кейтаб сгенереныый на винде. там есть очень много нюансов, которые я щас не вспомню, но сделать правильный кейтаб по тому, что сейчас написано в инете я имею в виду статьи - архисложно юзать самбу для этих целей а кстати что у тебя выводит wbinfo -u wbinfo -g wbinfo -t wbinfo -p wbinfo ...
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	19. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (ok) on 04-Ноя-11, 15:46
	файл hosts еще выложи
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от DarK (ok) on 04-Ноя-11, 21:26
	> файл hosts еще выложи 127.0.0.1 proxy.babilon.local proxy localhost 217.11.x.x proxy.babilon.local proxy localhost #::1 proxy.babilon.local localhost 192.168.11.1 proxy.babilon.local proxy localhost 192.168.11.3 dc1.babilon.local dc1 Насчет Samba. Идея в том чтобы отказаться от Samba и Ntlm. Так что мне надо обойтись без самбы. Неужели не получиться?
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от DarK (ok) on 07-Ноя-11, 16:27
	тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа). Можешь написать по шагово с нуля. Я думаю не только я но и другие будут благодарны. Или скинь ссылку где все подробно описывается. Спасибо
	Ответить \| Правка \| ^ к родителю #20 \| Наверх \| Cообщить модератору


	22. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от netc (ok) on 09-Ноя-11, 11:11
	> тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа). > Можешь написать по шагово с нуля. Я думаю не только я > но и другие будут благодарны. Или скинь ссылку где все подробно > описывается. Спасибо могу выслать не доделанную инструкцию с двумя условиями ? 1. не будешь её публиковать ни где даже в измененном виде. она конечно еще сырая, но все таки многие вещи в ней разъесены 2. отпишися о результатах и будешь идти до конца! согласен ?
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от DarK (ok) on 09-Ноя-11, 12:31
	>> тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа). >> Можешь написать по шагово с нуля. Я думаю не только я >> но и другие будут благодарны. Или скинь ссылку где все подробно >> описывается. Спасибо > могу выслать не доделанную инструкцию с двумя условиями ? > 1. не будешь её публиковать ни где даже в измененном виде. она > конечно еще сырая, но все таки многие вещи в ней разъесены > 2. отпишися о результатах и будешь идти до конца! согласен ? Да согласен! Пути назад нет.
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от DarK (ok) on 10-Ноя-11, 10:59
	>>> тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа). >>> Можешь написать по шагово с нуля. Я думаю не только я >>> но и другие будут благодарны. Или скинь ссылку где все подробно >>> описывается. Спасибо >> могу выслать не доделанную инструкцию с двумя условиями ? >> 1. не будешь её публиковать ни где даже в измененном виде. она >> конечно еще сырая, но все таки многие вещи в ней разъесены >> 2. отпишися о результатах и будешь идти до конца! согласен ? > Да согласен! Пути назад нет. Ты тут ? Мне очень надо запустить эту схему.
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от Lifeman on 29-Мрт-12, 12:53
	>[оверквотинг удален] > 09/23/10 15:46:12 09/24/10 01:45:54 krbtgt/TC.LOCAL@TC.LOCAL > renew until 09/24/10 15:46:12 > Kerberos 4 ticket cache: /tmp/tkt0 > klist: You have no tickets cached > > далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом > squid всем пользователем выдает Cache Access Denied > хелпер squid_ldap_group - работает верно > а вот squid_kerb_auth пока не проверял, но поидее настроен правильно. > как только так сразу отпишусь Вся фишка была в способе шифрования. Вместо MD5 подставляешь AES и воля все работает, даже без установки с чистой системы!!! Спасибо!)))
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	26. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от ppolet (ok) on 26-Апр-12, 11:26
	>[оверквотинг удален] >> Kerberos 4 ticket cache: /tmp/tkt0 >> klist: You have no tickets cached >> >> далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом >> squid всем пользователем выдает Cache Access Denied >> хелпер squid_ldap_group - работает верно >> а вот squid_kerb_auth пока не проверял, но поидее настроен правильно. >> как только так сразу отпишусь > Вся фишка была в способе шифрования. Вместо MD5 подставляешь AES и воля > все работает, даже без установки с чистой системы!!! Спасибо!))) такая же ошибка, можно чуть подробнее где подставлять??? Заранее благодарен!
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору

27. "Key table entry not found while getting initial credentials ???"	+/–
Сообщение от decadent (ok) on 28-Апр-12, 19:30
Я уже неделю ломаю мозг, безуспешно пытаясь прикрутить Squid с Kerberos авторизацией к домену Windows 2003 SP2. Уже тремя способами пробовал делать keytab, а при проверке одно и то же: >kinit: Client not found in Kerberos database while getting initial credentials или >kinit: Generic preauthentication failure while getting initial credentials Создается впечатление, что проблема в самом контроллере домена. Изначально настраивал всё на Ubuntu Server 8.04 LTS, потом поставил на виртуалку 12.04 LTS - та же фигня. Сейчас попробую поднять Squid вообще в другой сети, где тоже AD на 2003 винде. Если не поможет, попробую поднять на вируалках новый домен уже на Windows 2008 и потестить там... Подскажите, какие дампы можно снять или может логи включить, чтобы понять что именно не нравится AD при проверке Keytab?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	28. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от LagunaGuardian (ok) on 22-Авг-12, 08:24
	>>kinit: Client not found in Kerberos database while getting initial credentials > или >>kinit: Generic preauthentication failure while getting initial credentials Аналогичная проблема, Вам удалось её как-нибудь решить?
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	29. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от vakho_z on 04-Фев-13, 18:17
	>>>kinit: Client not found in Kerberos database while getting initial credentials >> или >>>kinit: Generic preauthentication failure while getting initial credentials > Аналогичная проблема, Вам удалось её как-нибудь решить? Аналогичная проблема тоже
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	30. "Key table entry not found while getting initial credentials ???"	+/–
	Сообщение от sapounov (??) on 01-Июл-13, 16:30
	Попробую закрыть тему и помочь тем, кто натыкается на нее с помощью гугла. Проблема с keytab-файлами описана здесь: https://bugzilla.redhat.com/show_bug.cgi?id=748528 Причина проблем - методы шифрования. Решается путем добавления в конфиг krb5.conf default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5 default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5 Мне помогло.
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору