LINUX.ORG.RU
ФорумAdmin

squid+kerberos/ntlm = бесконечные запросы аутентификации

 , ,


0

2

Привет.

Поднят сквид3 с аутентификацией по керберосу и ntlm. На 99% компьютерах (около тысячи) аутентификация работает. На четырех же вылазят бесконечные запросы аутентификации в браузере (Win7, IE 10), не отрабатывает ни керберос (первая), ни NTLM аутентификация (выводятся бесконечные запросы ввести логин и пароль).

Единственное что заметил по аудиту NTLM на одной из проблемных машин (остальные пока не проверил) в событиях 8001 в графе target server вместо принципала http/10.0.0.3 (на нормально работающей машине) обращения производятся к www/10.0.0.3:3128

Вот кусок события 8001 с нормально работающей машины:

NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked.
Target server: HTTP/10.0.0.3
Supplied user: (NULL)
Supplied domain: (NULL)
PID of client process: 4880
Name of client process: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
LUID of client process: 0x13f790
User identity of client process: user1
Domain name of user identity of client process: DOMAIN
Mechanism OID: (NULL)

Вот событие с ненормально работающей машины (во всех браузерах):

NTLM client blocked audit: Audit outgoing NTLM authentication traffic that would be blocked.
Target server: www/10.0.0.3:3128/
Supplied user: user2
Supplied domain: (NULL)
PID of client process: 5532
Name of client process: C:\Program Files\Opera\opera.exe
LUID of client process: 0x27227
User identity of client process: user2
Domain name of user identity of client process: DOMAIN
Mechanism OID: (NULL)

Политики IE и secpol по блокировке NTLM проверял, в доверенные узлы прокси добавлял. Под различными пользователями заходил — все то же самое. Браузеры меняли.

В логах сквида все вроде бы ок.

Не подскажете, в чем может быть проблема и почему в одном случае (1 комп) клиенты обращаются к принципалу http/ip, а в другом (1 комп) — к www/ip:port??

Сквид поднимал не я, я лишь помогал. Предполагаю (могу сильно ошибаться в терминологии), что в keytab-файле принципала www/ip нет.



Последнее исправление: zhylik (всего исправлений: 1)

в логах кербероса тоже ошибка

В логах кербероса на проблемной станции тоже ошибка о том, что принципала www/ действительно нет.

Получено сообщение об ошибке Kerberos:
 в сеансе входа в систему 
 Время клиента: 
 Время сервера: 9:34:9.0000 7/9/2014 Z
 Код ошибки: 0x7  KDC_ERR_S_PRINCIPAL_UNKNOWN
 Расширенная ошибка: 
 Сфера клиента: 
 Имя клиента: 
 Сфера сервера: DOMAIN.LOCAL
 Имя сервера: www/proxy:3128/
 Конечное имя: www/proxy:3128/@DOMAIN.LOCAL
 Текст ошибки: 
 Файл: 9
 Строка: f09
 Данные ошибки в данных записи.

Получается, непонятно только почему эта станция обращается к SPN www/dns, а не к нормальному http/dns

zhylik
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.