Траблшутинг работы squid & kerberos

0

1

Есть сквид для виндовых клиентов с прозрачной авторизацией через керберос. Всё в общем-то работает, но вот сейчас, к примеру, один пользователь (из ~150) по какой-то причине не авторизуется:

2011/11/30 16:01:07| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2011/11/30 16:01:07| squid_kerb_auth: INFO: User not authenticated
2011/11/30 16:01:07| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2011/11/30 16:01:07| squid_kerb_auth: INFO: User not authenticated
2011/11/30 16:01:07| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2011/11/30 16:01:07| squid_kerb_auth: INFO: User not authenticated
2011/11/30 16:01:07| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2011/11/30 16:01:07| squid_kerb_auth: INFO: User not authenticated
2011/11/30 16:01:07| squid_kerb_auth: INFO: User not authenticated
2011/11/30 16:01:07| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2011/11/30 16:01:07| authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. '
2011/11/30 16:01:07| squid_kerb_auth: INFO: User not authenticated

После точки тут: '..ation. ' должен идтить тот самый минорный код, но его нэма. Компы все идентичные: Win7 + IE8. Сниффать вайршарком очень неохота, хотелось бы обойтись если возможно :) Куда копать? Дебаг в squid_kerb_auth включал, он мне токены рисует, но никакой более конкретики.

Да, еще иногда выдает:

authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'

Но к чему это относится пока не понял.

Ссылка

←	к какому бы регистратору перенсти домен в зоне .net?

iptables, не понял пример DNAT

→

посмотреть какие билетеки навыдывал kerb и чем отличается билетик выданной этому юзеру. Перевыдать билетик.

и посмотреть чё там у юзера со временем То есть с часами :)

MKuznetsov ★★★★★
(01.12.11 09:38:05 MSK)

Ответ на: комментарий от MKuznetsov 01.12.11 09:38:05 MSK

Часы проверяю в первую очередь :) Всё окей. А тикеты где смотреть? На компе юзера через kerbtray или как там его?

blind_oracle ★★★★★
(01.12.11 10:38:15 MSK) автор топика

Ответ на: комментарий от blind_oracle 01.12.11 10:38:15 MSK

должно быть всё-же klist на сервере со сквидом и керберосом - там же имеется проблема.

MKuznetsov ★★★★★
(01.12.11 10:47:56 MSK)

Ответ на: комментарий от MKuznetsov 01.12.11 10:47:56 MSK

На сервере klist не показывает тикетов от сквида, только из credentials cache (т.е. то, что я сделал через kinit):

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@DOMAIN.LAN

Valid starting     Expires            Service principal
12/01/11 11:30:59  12/01/11 21:31:00  krbtgt/DOMAIN.LAN@DOMAIN.LAN
        renew until 12/02/11 11:30:59

blind_oracle ★★★★★
(01.12.11 11:35:10 MSK) автор топика

Ответ на: комментарий от blind_oracle 01.12.11 11:35:10 MSK

керберос на другой машине сидит ? или он в составе AD.. надо там смотреть билеты

MKuznetsov ★★★★★
(02.12.11 08:19:20 MSK)

А если с другой машины попробовать авторизоваться этими учётными данными.

anton_jugatsu ★★★★
(02.12.11 11:25:24 MSK)

Ответ на: комментарий от anton_jugatsu 02.12.11 11:25:24 MSK

С другой работает. Сегодня наш эникейщик переставит там винду т.к. имеются еще другие проблемы, возможно с этой связаные, в понедельник проверю ожило ли :)

blind_oracle ★★★★★
(02.12.11 20:02:49 MSK) автор топика

Ссылка

Ответ на: комментарий от MKuznetsov 02.12.11 08:19:20 MSK

Нет, интегрированный в AD. Я думаю переустановка винды поможет, если нет - буду даже ковырять.

blind_oracle ★★★★★
(02.12.11 20:08:30 MSK) автор топика

Ответ на: комментарий от blind_oracle 02.12.11 20:08:30 MSK

Я думаю переустановка винды поможет, если нет - буду даже ковырять

переустановка винды непоможет. Вы же её ставили и поддерживали изначально. Как максимум - отнять билет, переввести комп в домен. Но только для себя поняв что-же там именно не так. Или ковырять что там искривилось в профиле и править.

ПЕРЕУСТАНОВКА - offtop. Это роспись в профнепригодности. Есть трабл - его надо решать. Искать причину, рыть..

p.s. есть один знакомый win-админ, который весьма рад возможностями UNIX. Но блин неистребимая болезнь - чуть что перестановка всего до чего руки дотягиваются. И жажда экспериментирования на рабочих серверах :) «а..юзеры привыкли - подождут» :)

MKuznetsov ★★★★★
(02.12.11 21:45:52 MSK)

Ответ на: комментарий от MKuznetsov 02.12.11 21:45:52 MSK

Ух сурово. Винда там уже похоже толи вирусом пожрата, толи еще что - у юзера в профиле рабочий стол пустой, хотя файлы имеют место быть в папке. Профиль убивался, не помогает с авторизацией. В домен перезаводили, но смысла особого не было т.к. на другой учетке на этом компе все ок. Так что высокие слова можно говорить, но т.к. юзер сидит без инета - переустановка винды самый быстрый вариант, да и бороться с ее багами у меня желания нету...

blind_oracle ★★★★★
(02.12.11 22:30:41 MSK) автор топика

Ответ на: комментарий от blind_oracle 02.12.11 22:30:41 MSK

то есть ситуация вообще блеск : две (и более) доменных учётки, при входе с одной (конкретной) машины ровно один и только один (и всегда тот-же) , юзер не получает добро от squid, хотя по всем прочим признакам - он корректно вошел в домен ? и даже с чистым как слеза профилем :)

MKuznetsov ★★★★★
(02.12.11 22:55:59 MSK)

Ответ на: комментарий от MKuznetsov 02.12.11 22:55:59 MSK

начинается нормальный процесс ловли бага - формулирование ситуации :)

MKuznetsov ★★★★★
(02.12.11 22:56:47 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 02.12.11 22:30:41 MSK

кстати ваш пресловутый юзер - не бухгалтер часом, и не работает ли он с казначейством ? бывают @#@туе программы а-ля банк-клиент, авторы которых посчитали что для защищённого соединения требуется пропатчить реестр до неузнаваемости :)

MKuznetsov ★★★★★
(02.12.11 23:01:22 MSK)

Ответ на: комментарий от MKuznetsov 02.12.11 22:55:59 MSK

Ага, причем этот же пользователь с другой машины авторизуется как надо.

blind_oracle ★★★★★
(03.12.11 23:53:40 MSK) автор топика

Ответ на: комментарий от MKuznetsov 02.12.11 23:01:22 MSK

Нет, сметчик :) Клиентбанки все выкинуты в виртуалки от греха подальше, натрахались с ними... Никакого левого софта на компе нет. Подозрения только на вирусы...

blind_oracle ★★★★★
(03.12.11 23:54:31 MSK) автор топика

Ссылка

Ответ на: комментарий от blind_oracle 03.12.11 23:53:40 MSK

Ага, причем этот же пользователь с другой машины авторизуется как надо.

надеюсь имя пользователя не совпадает с именем машины или сервера.. есть ещё небольшие подозрения на hasp-ключи и эмуляторы, если они используются в сметной программе (а-ля Смета.ру).

Как last-resort очистить профиль от авто-загружаемых программ и прочей хрени. Возможно машина физически не укладывается в таймеры авторизации, то есть при входе юзера что-нить лезет в интернет, squid запрашивает данные от AD, получает и на последнем шаге клиентская машина что-то неуспевает сделать, потому что занята запуском всякой ерунды

MKuznetsov ★★★★★
(04.12.11 15:32:11 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	к какому бы регистратору перенсти домен в зоне .net?

Admin

iptables, не понял пример DNAT

→

Похожие темы