squid+kerberos проблема с авторизацией на отдельных компьютерах

0

1

Всем доброго дня. В организации поднят домен на 2012r2. Для доступа в инет используется squid с авторизацией через kerberos. На отдельно взятом компе внезапно перестала проходить авторизация. При попытке войти в интернет - возникает бесконечное приглашение ввести логин/пароль. В логах сквида ничего путного, кроме

2015/03/08 10:38:49| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '

Подскажите, в какую сторону копать?

Ссылка

←	Fetchmail дополнить лог временем и датой.

Libvirt генерирует невалидный xml в своем же конфиге.

→

Что на контроллере домена с включенным аудитом входа в логах?

Pinkbyte ★★★★★
(13.03.15 09:04:33 MSK)

Сквидовский helper умеет опцию -d (дебаг). Также, версию сквида в студию. Хенрик (Henrick Nordstrom) недавно что-то правил в керберосовском хелпере. Возможно, именно твой баг и закрывал.

anonymous
(15.03.15 00:08:19 MSK)

Ответ на: комментарий от Pinkbyte 13.03.15 09:04:33 MSK

Собственно, в момент попытки авторизации, в логах появляются сообщения об успешном запросе тикета:

Запрошен билет службы Kerberos.

Сведения об учетной записи:
	Имя учетной записи:		user@DOMAIN.RU
	Домен учетной записи:		DOMAIN.RU
	GUID входа:		{1f23f10d-bb75-73fb-3362-9f603671c10c}

Сведения о службе:
	Имя службы:		SRV-PROXY$
	Идентификатор службы:		DOMAIN\SRV-PROXY$

Сведения о сети:
	Адрес клиента:		10.20.128.68
	Порт клиента:		4581

Дополнительные сведения:
	Параметры билета:		0x40810000
	Тип шифрования билета:	0x17
	Код ошибки:		0x0
	Службы передачи:	-

Запрошен билет проверки подлинности Kerberos(TGT).

Сведения об учетной записи:
	Имя учетной записи:		user
	Предоставленное имя сферы:	
	Идентификатор пользователя:			DOMAIN\user

Сведения о службе:
	Имя службы:		krbtgt
	Код службы:		DOMAIN\krbtgt

Сведения о сети:
	Адрес клиента:		::ffff:10.20.128.68
	Порт клиента:		4579

Дополнительные сведения:
	Параметры билета:		0x40810010
	Код результата:		0x0
	Тип шифрования билета:	0x17
	Тип предварительной проверки подлинности:	2

Сведения о сертификате:
	Имя поставщика сертификата:		
	Серийный номер сертификата:	
	Отпечаток сертификата:

Вроде ничего подозрительного. Отказов нет.

therun
(17.03.15 13:48:41 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 15.03.15 00:08:19 MSK

Версия сквида - 3.1.10 По поводу хелпера. Я так понял, это скрипт, который запускает сквид для авторизации пользователя. Получается опцию мне надо в squid.conf писать? И где потом лог ловить?

therun
(17.03.15 14:06:06 MSK) автор топика

Ответ на: комментарий от therun 17.03.15 14:06:06 MSK

auth_param negotiate program /usr/local/bin/negotiate_wrapper [b]-d[/b] --ntlm /usr/bin/ntlm_auth [b]--diagnostics[/b] --helper-protocol=squid-2.5-ntlmssp --domain=COMANDOR.LOCAL --kerberos /usr/lib64/squid/negotiate_kerberos_auth [b]-d[/b] -s GSS_C_NO_NAME

Ловить в /var/log/squid/cache.log

anonymous
(23.03.15 22:47:05 MSK)

Ответ на: комментарий от anonymous 23.03.15 22:47:05 MSK

Собственно, в логах нет ничего про попытки авторизации пользователя проблемного компа. С другого компьютера под тем же пользователем все работает.

therun
(30.03.15 15:20:55 MSK) автор топика

Ответ на: комментарий от therun 30.03.15 15:20:55 MSK

апну темку

therun
(08.04.15 09:26:20 MSK) автор топика

Ответ на: комментарий от therun 08.04.15 09:26:20 MSK

перезавести компьютер в домен

gpupdate /force

fbiagent ★★★
(08.04.15 10:45:27 MSK)

Ответ на: комментарий от fbiagent 08.04.15 10:45:27 MSK

Собственно, у самого давно уже такая мысль. Просто интересна причина такой фигни.

therun
(08.04.15 14:31:30 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Fetchmail дополнить лог временем и датой.

Admin

Libvirt генерирует невалидный xml в своем же конфиге.

→

Похожие темы