NFO Forum Network:  linux.nfo.sk (Linux forum)     net.nfo.sk (Network forum)     www.mforum.sk (M$ forum)
Obsah fóra linux.nfo.sk linux.nfo.sk
Fórum zaoberajúce sa nielen Linuxom...
 
 Watched TopicsWatched Topics   FAQFAQ   HľadaťHľadať   Zoznam užívateľovZoznam užívateľov   Užívateľské skupinyUžívateľské skupiny   Lite versionLite   RegistráciaRegistrácia 
 NastaveniaNastavenia   Prihlásiť, pre kontrolu súkromných správPrihlásiť, pre kontrolu súkromných správ   PrihláseniePrihlásenie 

Vlastný vyhľadávací nástroj

Firefox + Kerberos autentifikacia voci ISA proxy serveru vo

 
Odoslať novú tému   Odpovedať na tému    Obsah fóra linux.nfo.sk -> Bezpečnosť
Zobraziť predchádzajúcu tému :: Zobraziť nasledujúcu tému  
Autor Správa
ostry
Návštevník
Návštevník


Založený: 31.12.2010
Príspevky: 1

PríspevokZaslal: Pi Dec 31, 2010 12:59 pm    Predmet: Firefox + Kerberos autentifikacia voci ISA proxy serveru vo Odpovedať s citátom

Ahojte,

chceme rozchodit nasledovne: autentifikacia Firefoxa voci proxy serveru
(ISA 2004 od Microsoftu) cez Kerberos z Active Directory (AD). Na PC je
nainstalovany Linux od Novellu (SLED 11.1), pouzivatel je z daneho PC
prihlaseny do Windows domeny. /etc/krb5.conf z daneho PC je tu: http://dl.dropbox.com/u/1428952/krb5.conf,
namiesto XXXXXX.SK <http://xxxxxx.sk/> je realna domena.

Kerberos ticket dostanem cez PAM z domain controllera pri prihlaseni do
systemu. S tym problem nie je, funguje to napr. pri pripajani zdielanych
Samba foldrov, vystup klist je:

Desktop # klist
Ticket cache: FILE:/tmp/krb5cc_10001
Default principal: 999999 at XXXXXX.SK

Valid starting Expires Service principal
12/30/10 15:26:02 12/31/10 01:26:02 krbtgt/XXXXXX.SK <http://xxxxxx.sk/>@
XXXXXX.SK <http://xxxxxx.sk/>
renew until 01/06/11 15:26:02
12/30/10 15:26:02 12/31/10 01:26:02 Desktop$@XXXXXX.SK <http://xxxxxx.sk/>
renew until 01/06/11 15:26:02
12/30/10 16:34:58 12/31/10 01:26:02 sambaserver$@XXXXXX.SK<http://xxxxxx.sk/>
renew until 01/06/11 15:26:02

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

*Avsak problem je s Firefoxom, ktory pouziva Negotiate Authentication
(Kerberos GSSAPI). Namiesto autentifikacie voci ISA 2004 proxy serveru
sa v logu browsera objavuje toto:*

-1220663600[b71551c0]: nsHttpChannel::ProcessAuthentication
[this=af411090 code=407]
-1220663600[b71551c0]: nsHttpChannel::PrepareForAuthentication
[this=af411090]
-1220663600[b71551c0]: nsHttpChannel::GetAuthenticator [this=af411090]
-1220663600[b71551c0]: nsHttpChannel::GetCredentialsForChallenge
[this=af411090 proxyAuth=1 challenges=Negotiate]
-1220663600[b71551c0]: nsHttpAuthCache::GetAuthEntryForDomain
[key=http://isa2004.xxxxxx.sk:8080 realm=]
-1220663600[b71551c0]: service = isa2004.xxxxxx.sk
-1220663600[b71551c0]: using negotiate-gss
-1220663600[b71551c0]: entering nsAuthGSSAPI::nsAuthGSSAPI()
-1220663600[b71551c0]: Attempting to load user specified library
[libgssapi_krb5.so.2]
-1220663600[b71551c0]: Attempting to load gss functions
-1220663600[b71551c0]: entering nsAuthGSSAPI::Init()
-1220663600[b71551c0]: identity invalid = 0
-1220663600[b71551c0]: nsHttpNegotiateAuth::GenerateCredentials_1_9_2()
[challenge=Negotiate]
-1220663600[b71551c0]: entering nsAuthGSSAPI::GetNextToken()
-1220663600[b71551c0]: gss_init_sec_context() failed: Unspecified GSS
failure. Minor code may provide more information
Server not found in Kerberos database

Nasleduje fallback na NTLM, my ale chceme Kerberos Wink.

Skusal som okrem googlenia napriklad toto:
- zadanie active directory a proxy servera do /etc/hosts na danom PC
- nainstalovanie krb5-devel
- vytvorenie reverzneho DNS zaznamu pre IP adresu ISA servera
- rozne modifikacie krb5.conf
- modifikacie konfiguracnych parametrov negotiate-auth vo Firefoxe
(about:config)
- medzitym rozne restarty browsera ci celeho PC
- tcpdumpovanie komunikacie

Da niekto skuseny dalsie hinty co vyskusat a na co si posvietit?
Pripadne niekto komu to funguje?

Vopred dakujem.

Jano Ostrochovsky
Návrat hore
Zobrazit informácie o autorovi Odoslať súkromnú správu Odoslať e-mail
timelord
Site Admin
Site Admin


Založený: 14.01.2005
Príspevky: 913
Bydlisko: Vancouver, British Columbia, Canada

PríspevokZaslal: St Jan 12, 2011 9:59 pm    Predmet: Odpovedať s citátom

Nerobil som sice to co robis Ty, ale snad aspon info. Zakazdym ked som nieco potreboval riesit kerberosom s AD, musel som si byt isty, ze mam masiny casovo synchronizovane. Akonahle tam bol hoci aj par sekundovy rozdiel, uz mi to robilo psie kusy.
_________________
SCUBA LIBRE
合気道 養神館
Návrat hore
Zobrazit informácie o autorovi Odoslať súkromnú správu
Zobraziť príspevky z predchádzajúcich:   
Odoslať novú tému   Odpovedať na tému    Obsah fóra linux.nfo.sk -> Bezpečnosť Časy uvádzané v GMT + 1 hodina
Strana 1 z 1

 
Prejdi na:  
Môžete odosielať nové témy do tohto fóra
Môžete odpovedať na témy v tomto fóre
Nemôžete upravovať svoje príspevky v tomto fóre
Nemôžete mazať svoje príspevky v tomto fóre
Nemôžete hlasovať v tomto fóre


Powered by phpBB © 2001, 2005 phpBB Group

Server Uptime: 165 days 4 hours 14 minutes | Average Load: 0.18, 0.23, 0.28

linux.nfo.sk topic RSS feed