LINUX.ORG.RU
ФорумAdmin

прозрачная авторизация через kerberos в squid не работает. проблема с шифрованиаем

 


0

1

Здравствуйте. не могу разобраться. есть Samba DC и есть squid. настраиваю прозрачную авторизацию. сделал keytab, закачал его на сервер где squid , все остальные настройки по мануалам сделал, но кода захожу на сайты получаю вот такое в cache.log

2024/04/21 21:41:58 kid1| ERROR: Negotiate Authentication validating user. Result: {result=BH, notes={message: gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. Request ticket server HTTP/srv-proxy.mydomain.com@MYDOMAIN.COM kvno 2 enctype aes256-cts found in keytab but cannot decrypt ticket; }}

и что с этим делать? ну в keytab файле есть aes-256 тип шифрования. почему squid его не может расшифровать? или в чем дело. в гугле в основном по Active directory ответы и говорят поставить галки у пользвоателя чтобы поддерживался aes-256. это я на всякий случай сделал (хотя неуверен эти галки с самбой вообще работают ли) но не помогло.

используя net ads enctypes list получаю

'myuser' uses "msDS-SupportedEncryptionTypes": 28 (0x0000001c)
[ ] 0x00000001 DES-CBC-CRC
[ ] 0x00000002 DES-CBC-MD5
[X] 0x00000004 RC4-HMAC
[X] 0x00000008 AES128-CTS-HMAC-SHA1-96
[X] 0x00000010 AES256-CTS-HMAC-SHA1-96
[ ] 0x00000020 AES256-CTS-HMAC-SHA1-96-SK
[ ] 0x00080000 RESOURCE-SID-COMPRESSION-DISABLED

тоже самое собствено и в keytab файле. что я делаю не так?



Последнее исправление: Zhbert (всего исправлений: 1)
Postfix Dovecot Mysql не приходят письма
Ansible и Python 3.12

Поправил тебе форматирование, но в следующий раз давай уже сам. Там вон даже ссылка есть на разметку специальная, если сам в МД не умеешь. А читать неоформленные портянки такое себе удовольствие, и помогать никто не будет.

Zhbert ★★★★★
()
Ответ на: комментарий от router

После экспорта keytab’а пароль привязанной учетки не менял?

нет. не менял. на всякий случай несколько раз пробовал перегенерировать кейтаб и заново его закачивать на squid. все тоже самое

mefisto74
() автор топика
Последнее исправление: mefisto74 (всего исправлений: 1)

[X] 0x00000010 AES256-CTS-HMAC-SHA1-96

[ ] 0x00000020 AES256-CTS-HMAC-SHA1-96-SK

там два варианта для aes256-cts. с виндой мало работал, не уверен, что эта команда показывает именно то, что нужно. проверь через графическую морду из rsat https://serverfault.com/a/1043213/166198

  1. на всякий слуйчай посмотри, что есть в keytab’е
klist -kte /path/to/keytab
  1. можно поробовать включить трассировку и попробовать авторизоваться с использованием этого keytab’а. Может в выводе будут какие-то подробности
KRB5_TRACE=/tmp/trace_kinit -- kinit -kt /path/to/keytab service_user

service_user - тот, что привязан к принципалам твоего прокси. ну т.е. когда ты экспортировал keytab для прокси, его для экспорта нужно привязать к какой-то сервисной учетке

router ★★★★★
()
Последнее исправление: router (всего исправлений: 3)
Ответ на: комментарий от router

там два варианта для aes256-cts. с виндой мало работал, не уверен, что эта команда показывает именно то, что нужно. проверь через графическую морду из rsat https://serverfault.com/a/1043213/166198

в rsat включены обе галки связанные с aes как на скрине который вы привели

klist -kte /path/to/keytab

Keytab name: FILE:/tmp/proxy.keytab
KVNO Timestamp           Principal
---- ------------------- ------------------------------------------------------
   2 22.04.2024 13:50:48 HTTP/srv-proxy.mydomain.ru@MYDOMAIN.RU (aes256-cts-hmac-sha1-96)
   2 22.04.2024 13:50:48 HTTP/srv-proxy.mydomain.ru@MYDOMAIN.RU (aes128-cts-hmac-sha1-96)
   2 22.04.2024 13:50:48 HTTP/srv-proxy.mydomain.ru@MYDOMAIN.RU (DEPRECATED:arcfour-hmac)

KRB5_TRACE=/tmp/trace_kinit – kinit -kt /path/to/keytab service_user

ничего интересного здесь не вижу, но может вы увидите https://pastebin.com/uv2QNPRz

mefisto74
() автор топика
Ответ на: комментарий от mefisto74

[88466] 1713928645.863908: Decrypted AS reply; session key is: aes256-cts/1C4A

Да вроде как все получилось

Не знаю, по какой инструкции настраивали сервер. Может нужно перезапустить squid и то, что отвечает за gssapi

router ★★★★★
()
Ответ на: комментарий от router

smbd -b | grep USES

я дико извиняюсь но я запустил

KRB5_TRACE=/tmp/trace_kinit – kinit -kt /path/to/keytab service_user

на стороне контроллера домена. На стороне squid стоит freebsd и там KRB5_TRACE почему-то ничего не выводит.

у меня еще была идея, что на одном сервере MIT kerberos, а на другом heimdal , но

 smbd -b | grep _USES_

показывает на обоих сторонах

SAMBA4_USES_HEIMDAL

еще используя kinit на стороне сервера с freebsd и в качестве юзера SPN к которому сгененерирован keytab я успешно получаю тикет.

мне до сих пор неясно что не так. перезагружать оба сервера я пробовал

mefisto74
() автор топика
Последнее исправление: mefisto74 (всего исправлений: 2)
Ответ на: комментарий от mefisto74

еще заметил что в keytab файле kvno с номером 2

а когда получаю тикет через кейтаб во freebsd и выполняю klist -v , то вижу следующее

Ticket etype: aes256-cts-hmac-sha1-96, kvno 1

тут почему-то kvno 1 , это важно?

а если во freebsd ввожу

kvno HTTP/srv-proxy.mydomain.ru@MYDOMAIN.RU

то получаю

kvno HTTP/srv-proxy.mydomain.ru@MYDOMAIN.RU = 2
mefisto74
() автор топика
Последнее исправление: mefisto74 (всего исправлений: 1)
Ответ на: комментарий от router

это у меня был лишний «–» да это-то я исправил но все равно никак не выводит KRB5_TRACE почему-то в freebsd. неважно в файл или /dev/stdout. на линуксах все нормально.

ну и как я говорил

kinit -kt /path/to/keytab service_use

проходит успешно. билет я получаю

какая-то уникальная у меня проблема похоже

mefisto74
() автор топика
Последнее исправление: mefisto74 (всего исправлений: 1)
Ответ на: комментарий от mefisto74

aПопробуй поставить пакет

apt install -y libsasl2-modules-gssapi-mit

У меня была какая-то похожая проблема с настройкой доменной авторизации на squid, посмотрел историю команд, ставил этот пакет, ну и krb5-user тоже должен стоять.

anonymous
()
Ответ на: комментарий от anonymous

aПопробуй поставить пакет apt install -y libsasl2-modules-gssapi-mit

пакета с таким названием нет, но я так понимаю

cyrus-sasl-gssapi.x86_64

это оно и есть и он стоит

krb5-user

такого тоже нет. ну и еще на винде введенной в этот же домен поведение точно такое же.

И ещё одно, в свойствах браузера подключение к proxy серверу >должно быть указано по его FQDN имени, а не по IP.

у меня так и выставлено

mefisto74
() автор топика
Последнее исправление: mefisto74 (всего исправлений: 1)
Ответ на: комментарий от mefisto74

проблема решилась генерацией кейтаб файла с windows server :D до этого с самой самбы пробовал через samba-tool export keytab. я незнаю чего не так с кейтабом , который генерируется самбой

mefisto74
() автор топика
Postfix Dovecot Mysql не приходят письма
Admin
Ansible и Python 3.12