Re: R: Problemi autenticazione SAMBA-SQUID

[Antonio Doldo <antonio.doldo@gmail.com>]

Title: Problemi autenticazione SAMBA-SQUID

Il 05/01/2011 11:29, Artini Alessio ha scritto:

Il comando:

proxy2:/etc/samba# net ads testjoin

Join is OK

Si, il test va bene

 

Il comando:

proxy2:/etc/samba# klist

klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)

 

 

Kerberos 4 ticket cache: /tmp/tkt0

klist: You have no tickets cached

 

questo è normale, il ticket dura 10 ore di default

Sono corretti?

 

penso che ti convenga ripetere il join, io procederei cosi:

#  sincronizza l'ora:
ntpdate DC-SERVER &&  /sbin/hwclock --systohc

# cancella e ricrea il ticket
kdestroy
kinit administrator@DOMAIN
(il dominio deve essere maiuscolo)

# join al dominio e vari tests:

net ads join -S DC-SERVER -w DOMAIN -U 'Administrator'
dove "DC-SERVER" è il nome del Domain Controller dichiarato in /etc/krb5.conf

net ads testjoin
net ads info
net ads status

quest'ultimo se krb5 è ok non chiede la password di root locale, ma deve dare un output lungo:


objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: user
objectClass: computer
cn: xxxxxx
distinguishedName: CN=xxxxxx,CN=Computers,DC=yyyyyyy,DC=it
instanceType: 4
whenCreated: 20090525092825.0Z
whenChanged: 20110103075529.0Z
uSNCreated: 18023476

Grazie

 

 

Di nulla,
ciao,
Antonio

 

Da: Antonio Doldo [mailto:antonio.doldo@gmail.com]
Inviato: mercoledì 5 gennaio 2011 10:40
A: Artini Alessio
Cc: debian-italian@lists.debian.org
Oggetto: Re: Problemi autenticazione SAMBA-SQUID

 

Il 05/01/2011 10:26, Artini Alessio ha scritto:

Prima di tutto auguri a tutti per il nuovo anno.

Adesso arrivo subito al punto.

Nella mia Lenny che uso come proxy si è manifestato il seguente problema:

Squid mi restituisce un errore legato all’autenticazione degli utenti nel mio dominio Windows.

Ecco cosa vedo nel mio cache.log

[2011/01/05 10:21:12,  1] libsmb/ntlmssp.c:ntlmssp_update(326)

  Failed to parse NTLMSSP packet, could not extract NTLMSSP command

Invece in log.wb-PONTASSIEVE

[2011/01/05 10:21:50,  1] libsmb/clikrb5.c:ads_krb5_mk_req(680)

  ads_krb5_mk_req: krb5_get_credentials failed for NTSVR05$@PONTASSIEVE (Cannot resolve network address for KDC in requested realm)

[2011/01/05 10:21:50,  1] libsmb/cliconnect.c:cli_session_setup_kerberos(626)

  cli_session_setup_kerberos: spnego_gen_negTokenTarg failed: Cannot resolve network address for KDC in requested realm

Sinceramente non mi sembra di aver modificato alcuna configuazione sia lato windows che linux.

Ho anche provato a cercare su google qualche indicazione ma non ho trovato niente…

Avete qualche suggerimento da darmi?

Se c’è bisogno posso anche postare i miei file di configurazione

Grazie a tutti

Alessio

Sembra ci sia un problema di autenticazione kerberos, controlla in /etc/krb5.conf qual'è il server :

[realms]
  kdc = DC-SERVER

puoi vedere anche se "net ads testjoin" contatta il DC e eventualmente rifai il join:

net ads join -S DC-SERVER -w DOMAIN -U administrator

poi  vedi se klist riporta il ticket di autenticazione, se ok fai ripartire winbind se installato.
Una cosa importante è che l'ora di sistema deve essere sincronizzata con il DC:

ntpdate DC-SERVER &&  /sbin/hwclock --systohc


Auguri anche a te ;)

Ciao,
Antonio