LINUX.ORG.RU
ФорумAdmin

Кластер 1С81+Linux+Postgresql - Аутентификация Windows"


0

1

Добрый день!

Кластер серверов: 8.1.15.14 Операционка: Linux debian 2.6.26-2-amd64 СУБД: Postgresql 8.3.8 от Etersoft ========

Связка работает, бьюсь над проблемой аутентификации клиента через Active Directory (когда создаешь пользователя в конфигураторе там галочка есть «Аутентификация Windows») Пытался настроить по вот этой статье http://users.v8.1c.ru/Adm2799.aspx все отрабатывается - но аутентификация не работет.

Включил на кластере ТЖ. rphost валит такие ошибки

29:18.1381-0,CONN,4,process=rphost,ClientID=23,Txt='Accepted, client=(2)192.168.1.99:1772, server=(2)192.168.1.251:1562' 29:18.4880-0,CONN,1,process=rphost,t:clientID=23,Txt=eAPSENo 29:18.4881-0,EXCP,1,process=rphost,t:clientID=23,Descr='GSS-API error gss_acquire_cred: Unspecified GSS failure. Minor code may provide more information ' 29:18.4882-0,EXCP,1,process=rphost,t:clientID=23,Descr='GSS-API error gss_acquire_cred: No principal in keytab matches desired name ' 29:24.5981-61301,CONN,4,process=rphost,t:clientID=23,t:computerName=1C-ACESS,t:applicationName=1CV8,t:connectID=20,Calls=17 29:45.1673-27101,CONN,5,process=rphost,t:clientID=24,t:computerName=,t:applicationName=BackgroundJob,t:connectID=21,Calls=0 29:45.9370-14686,CONN,7,process=rphost,t:clientID=25,t:computerName=,t:applicationName=BackgroundJob,t:connectID=22,Calls=0

Подскажите в каком направлении двигаться, уже всю голову сломал, понимаю что дело в kerberos но что именно не пойму, что за ош9ибка GSS-API error gss_acquire_cred: No principal in keytab matches desired name..........


No principal in keytab matches desired name

Это ключевое в логах.
Надо в AD создать принципал для linux хоста и добавить его в linuxс помощью ktutil в /etc/krb5.keytab. Имя принципала тебе нужно выяснить самостоятельно - обычно это имя_сервиса/hostname.domain@DOMAIN.

tux2002
()
Ответ на: комментарий от tux2002

Принципал создается таким способом

ktpass -princ usr1cv81/srv1c.krb.local@KRB.LOCAL -mapuser usr1cv8 -pass pass1cv8 -out usr1cv81.keytab

wary
() автор топика
Ответ на: комментарий от wary

Это в винде, а на linux машину ты его перенёс в /etc/xxx.keytab и указал ссылку на keytab в /etc/krb5.conf. Conf можно не трогать если файл keytab будет именован /etc/krb5.keytab. Скопируй usr1cv81.keytab в /etc/krb5.keytab

tux2002
()
Ответ на: комментарий от tux2002

я в linux usr1cv81.keytab добавил следующей командой

kinit -k -t /opt/1C/v8.1/i386/usr1cv81.keytab usr1cv81/srv1c.krb.local@KRB.LOCAL

как через ktutil это сделать, может я неправильно что-то сделал???

wary
() автор топика
Ответ на: комментарий от wary

kinit -k -t /opt/1C/v8.1/i386/usr1cv81.keytab usr1cv81/srv1c.krb.local@KRB.LOCAL

Это не то (ИМХО), надо пользоваться ktutil, она работает немножко по разному для heimdal и mit-kerberos, у тебя что?

tux2002
()
Ответ на: комментарий от wary

У меня так:

root@kido:~# ktutil
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
Читаем кейтаб
ktutil:  rkt /etc/krb5.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/kido.domain.ru@DOMAIN.RU
читаем второй кейтаб
ktutil:  rkt /etc/krb5.keytab
смотрим
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1            HTTP/kido.domain.ru@DOMAIN.RU
   2    1            HTTP/kido.domain.ru@DOMAIN.RU
Добавилось, т.е. успешно объединили два кейтаба (в моём случае продублировали)
Записываем
ktutil:  wkt /etc/krb5.keytab.new

tux2002
()
Ответ на: комментарий от wary

скопировал usr1cv81.keytab в /etc/krb5.keytab - не помогло. В логах все тоже само.....:(

Должно работать

права дал как положено

Покажи ls -la /etc/krb5.keytab

tux2002
()
Ответ на: комментарий от tux2002

Все вроди правильно сделал....

ktutil:  rkt /1c81_progr/x86_64/usr1cv81.keytab
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    3 usr1cv81/debian-test64.aedon.local@AEDON.LOCAL
ktutil:  wkt /etc/krb5.keytab.new

Вот конфиг кербероса

[libdefaults]
default_realm = AEDON.LOCAL
default_keytab_name = FILE:/etc/krb5.keytab

default_tkt_enctypes = des-cbc-crc des-cbc-md5
default_tgs_enctypes = des-cbc-crc des-cbc-md5

[realms]
AEDON.LOCAL = {
kdc = server-db.aedon.local
admin_server = server-db.aedon.local
}
[domain_realm]
aedon.local = AEDON.LOCAL
.aedon.local = AEDON.LOCAL

Всеравно в логе :

root@debian-test64:/1c81_log/rphost_3474# cat /var/log/1c81/rphost_3474/10042616.log
10:29.2792-0,CONN,2,process=rphost,ClientID=1,Txt='Connected, client=(2)127.0.1.1:44890, server=(2)127.0.1.1:1541'
10:29.6891-0,CONN,2,process=rphost,ClientID=2,Txt='Accepted, client=(2)127.0.1.1:39221, server=(2)127.0.1.1:1562'
10:33.9890-34891,CONN,5,process=rphost,t:clientID=3,t:computerName=debian-test64,t:applicationName=JobScheduler,t:connectID=1,Calls=0
10:58.9300-33806,CONN,5,process=rphost,t:clientID=4,t:computerName=,t:applicationName=BackgroundJob,t:connectID=3,Calls=0
10:59.9490-0,CONN,6,process=rphost,ClientID=6,Txt='Accepted, client=(2)192.168.1.99:4913, server=(2)192.168.1.251:1562'
11:00.0390-41097,CONN,7,process=rphost,t:clientID=5,t:computerName=,t:applicationName=BackgroundJob,t:connectID=2,Calls=0
11:00.6992-0,CONN,1,process=rphost,t:clientID=6,Txt=eAPSENo
11:00.7092-0,EXCP,1,process=rphost,t:clientID=6,Descr='GSS-API error gss_acquire_cred: Unspecified GSS failure.  Minor code may provide more information
'
11:00.7093-0,EXCP,1,process=rphost,t:clientID=6,Descr='GSS-API error gss_acquire_cred: No principal in keytab matches desired name
'
11:03.1091-24101,CONN,4,process=rphost,t:clientID=6,t:computerName=1C-ACESS,t:applicationName=1CV8,t:connectID=4,Calls=17
15:58.1065-30601,CONN,5,process=rphost,t:clientID=7,t:computerName=,t:applicationName=BackgroundJob,t:connectID=6,Calls=0
15:58.5460-31197,CONN,7,process=rphost,t:clientID=8,t:computerName=,t:applicationName=BackgroundJob,t:connectID=5,Calls=0

В чем может быть ошибка, почему кластер не может отработать аутентификацию ??????

wary
() автор топика
Ответ на: комментарий от wary

Не надо так дословно повторять.
cp /etc/krb5.keytab.new /etc/krb5.keytab
Времмено chmod 644 /etc/krb5.keytab

tux2002
()
Ответ на: комментарий от tux2002

[quote]

скопировал usr1cv81.keytab в /etc/krb5.keytab - не помогло. В логах все тоже само.....:(

Должно работать

права дал как положено

Покажи ls -la /etc/krb5.keytab [/quote]

Вот

[code] root@debian-test64:/etc# ls -la /etc/krb5.keytab -rw-rw-rw- 1 root root 79 Апр 26 15:59 /etc/krb5.keytab [/code]

wary
() автор топика
Ответ на: комментарий от wary

Подозрительно KVNO 3, у меня с этим были проблеммы - д.б. 1.
Давай повтори сначала
ktpass -princ usr1cv81/debian-test64.aedon.local@AEDON.LOCAL -mapuser usr1cv8 -pass pass1cv8 -out krb5.keytab.new
cp krb5.keytab.new /etc/krb5.keytab
ktutil
rkt /etc/krb5.keytab
list

tux2002
()
Ответ на: комментарий от tux2002

Выполнил в Windows

C:\>ktpass -princ usr1cv81/debian-test64.aedon.local@AEDON.LOCAL -mapuser usr1cv
8 -pass pass1cv8 -out krb5.keytab.new
Targeting domain controller: Server-DB.AEDon.local
Successfully mapped usr1cv81/debian-test64.aedon.local to usr1cv8.
Key created.
Output keytab to krb5.keytab.new:
Keytab version: 0x502
keysize 73 usr1cv81/debian-test64.aedon.local@AEDON.LOCAL ptype 1 (KRB5_NT_PRINC
IPAL) vno 3 etype 0x3 (DES-CBC-MD5) keylength 8 (0xf82f07f251c40dc4)
Account usr1cv8 has been set for DES-only encryption.
Выполнил в Linux
root@debian-test64:/etc# cp /etc/krb5.keytab.new krb5.keytab
root@debian-test64:/etc# ktutil
ktutil:  rkt /etc/krb5.keytab
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    3 usr1cv81/debian-test64.aedon.local@AEDON.LOCAL

А что за KVNO ??? Может в нем проблема???

wary
() автор топика
Ответ на: комментарий от wary

slot KVNO Principal
---- ---- ---------------------------------------------------------------------
1 3 usr1cv81/debian-test64.aedon.local@AEDON.LOCAL

У меня была трабла с KVNO отличным от 1. Как поменять я не знаю.

tux2002
()
Ответ на: комментарий от wary

Добился я, чтобы KVNO был 1, когда в винде делал принципал использовал ключ /kvno 1, вот что получилось:

C:\>ktpass -princ usr1cv81/debian-test64.aedon.local@AEDON.LOCAL -mapuser usr1cv
8 -pass pass1cv8 /kvno 1 -out krb5.keytab.new
Targeting domain controller: Server-DB.AEDon.local
Successfully mapped usr1cv81/debian-test64.aedon.local to usr1cv8.
Key created.
Output keytab to krb5.keytab.new:
Keytab version: 0x502
keysize 73 usr1cv81/debian-test64.aedon.local@AEDON.LOCAL ptype 1 (KRB5_NT_PRINC
IPAL) vno 1 etype 0x3 (DES-CBC-MD5) keylength 8 (0xf82f07f251c40dc4)
Account usr1cv8 has been set for DES-only encryption.

root@debian-test64:/etc# ktutil
ktutil:  rkt /etc/krb5.keytab
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1 usr1cv81/debian-test64.aedon.local@AEDON.LOCAL
ktutil:  wkt /etc/krb5.keytab.new
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    1 usr1cv81/debian-test64.aedon.local@AEDON.LOCAL

Кластер 1С всеравно валит туже ошибку....:(((

wary
() автор топика
Ответ на: комментарий от wary

Единственное что можно посоветовать - узнать точно к какому принципалу получает билет клиент. В resource kit должны быть нужные утилиты. http://articles.techrepublic.com.com/5100-22_11-6111084.html
Попробуй установить на клиента 1C resource kit и посмотреть какие билеты он получает после попытки соединения с сервером.

tux2002
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.