Autenticação "transparente" com pfsense + squid + active directory

filipe.nanclarez

Ok, muito obrigado pela atenção.  ;D

Vou fazer os testes já agora, e posto aqui os resultados ….

filipe.nanclarez

Marcelo, o primeiro arquivo quando fui procurar, não achei …

/etc/krb5.conf está ok

Voce escreveu que está ok, significa que preciso criá-lo ?

Essa parte de atentar para mudança, não entendi muito bem, quer dizer que no tutorial, onde estiver esses nomes, o caminho dos arquivos será diferente por causa da versão, mas o conteudo devemos alterar de acordo com o tutorial ?

O arquivo smb.samba.conf tambem está aparecendo como novo.

marcelloc

@filipe.nanclarez:

Marcelo, o primeiro arquivo quando fui procurar, não achei …

/etc/krb5.conf está ok

Voce escreveu que está ok, significa que preciso criá-lo ?

Isso mesmo

@filipe.nanclarez:

Essa parte de atentar para mudança, não entendi muito bem, quer dizer que no tutorial, onde estiver esses nomes, o caminho dos arquivos será diferente por causa da versão, mas o conteudo devemos alterar de acordo com o tutorial ?

certo denovo, onde voce encontrar no doc a referencia para /var/kerberos/krb5kdc/kdc.conf leia e configure como /var/heimdal/kdc.conf

@filipe.nanclarez:

O arquivo smb.samba.conf tambem está aparecendo como novo.

procure o arquivo com este comando
find / -name smb.conf
Não estou perto da maquina agora para conferir o caminho.

filipe.nanclarez

Ok, os que não achei, fui criando segundo seu caminho, os que achei, editei conforme o tutorial. Mas antes de inserir o pf no dominio, o comando kinit está dadno "not found".

Seguem abaixo os conteúdos dos meus arquivos com a minhas configurações tentando seguir o tutorial.

Estou fazendo em um ambiente virtual, antes de por em produção

Ip do meu pdc = 192.168.15.2
nome do meu PDC = pdc001
OS do pdc = W2K8R2 x64
FQDN do dominio = virtual.local
Nome Admin = Administrator
senha admin = 1@abcde

/usr/local/etc/smb.conf
[global]
netbios name = pdc001
workgroup = virtual
realm = virtual.local
server string = Domain Proxy Server
encrypt passwords = yes
security = ADS
password server = pdc001.virtual.local
log level = 3
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_SNDBUF=8192
printcap name = /etc/printcap
preferred master = no
dns proxy = no
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind use default domain = yes
cups options = raw

/etc/krb5.conf
[logging]
  default = FILE:/var/log/krb5libs.log
  kdc = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/ksadmind.log
[libdefaults]
  default_realm = virtual.local.
  dns_lookup_realm = false
  dns_lookup_kdc = false
  ticket_lifetime = 24h
  forwardable = yes
  default_tgs_enctypes = DES-CBC-CRC DES-CBC-MD5 RC4-HMAC
  default_tkt_enctypes = DES-CBC-CRC DES-CBC-MD5 RC4-HMAC
  preferred_enctypes = DES-CBC-CRC DES-CBC-MD5 RC4-HMAC
[realms]
  virtual.local = {
          kdc = pdc001.virtual.local.:88
          admin_server = pdc001.virtual.local.:749
          default_domain = domain.
  }
[domain_realm]
  .domain. = virtual.local.
  domain. = virtual.local.
[kdc]
  profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
  pam = {
          debug = false
          ticket_lifetime = 36000
          renew_lifetime = 36000
          forwardable = true
          krb4_convert = false
  }

/var/heimdal/kdc.conf
[kdcdfefaults]
       acl_file = /var/kerberos/krb5kdc/kadm5.acl
       dict_file = /usr/share/dict/words
       admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
       v4_mode = noreauth
[libdefaults]
       default_realm = virtual.
[realms]
       virtual. = {
               master_key_type = des-cbc-crc
               supported_enctypes = des3-hmac-sha1:normal arcfour-hmac:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal
des-cbc-crc:v4 des-cbc-crc:afs3
            }

/var/heimdal/kadm5.acl
*/administrator@virtual.local     *

marcelloc

Depois que você instalou o heimdal e o samba você fez um logoff em seguida logon para ele atualizar o path dos binários?

filipe.nanclarez

@marcelloc:

Depois que você instalou o heimdal e o samba você fez um logoff em seguida logon para ele atualizar o path dos binários?

Ops, não.

Estou reiniciando …

marcelloc

Só um logoff na console já resolve, não precisa de boot.  ;)

filipe.nanclarez

@marcelloc:

Só um logoff na console já resolve, não precisa de boot.  ;)

Ok, confesso, não sei como fazer logoff no pfsense, mas já tá reiniciado. Vou tentar o kinit agora …

marcelloc

@filipe.nanclarez:

Ok, confesso, não sei como fazer logoff no pfsense, mas já tá reiniciado. Vou tentar o kinit agora …

Sem problema :). Para fazer o logoff basta digitar exit

filipe.nanclarez

agora recebo o seguinte erro:

kinit: krb5_get_init_creds: unable to reach any KDC in realm virtual.local

teria alguma coisa a ver com colocar o ip no arquivo hosts para ele achar ?

editado

coloquei o seguinte conteudo no meu /etc/hosts

127.0.0.1 localhost localhost.localdomain
192.168.15.101 pfsense.localdomain pfsense
192.168.15.2    pdc001.virtual.local pdc001

mas mesmo assim, o erro permanece …

filipe.nanclarez

Tentei ignorar esse passo, e dar o join

net ads join -U Administrator@virtual.local
retorna a seguinte mensagem

kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Failed to join domain: failed to connect do AD: Invalid credentials

thimoura

Não vejo a hora de arrumar tempo pra testar o ambiente!

filipe.nanclarez

@Thiago:

Não vejo a hora de arrumar tempo pra testar o ambiente!

Estou tentando com pf 2.0.1 e Windows 2008 Server R2 …

marcelloc, o seu ambiente era esse mesmo ?

filipe.nanclarez

Como devo substituir essa linha do tutorial ?

password server = ad-master.domain.com.au

eu fiz assim, mas fiquei na dúvida

password server = pdc001.virtual.local

marcelloc

filipe.nanclarez,

Marque o dns do firewall com o ip do ad, o samba/kerberos precisam saber quem são os hosts do seu domínio.

filipe.nanclarez

@marcelloc:

filipe.nanclarez,

Marque o dns do firewall com o ip do ad, o samba/kerberos precisam saber quem são os hosts do seu domínio.

sim sim, eu já tinha feito, inclusive testei na tela "diagnostics>ping" com o nome e como ip pra saber se estava ok …

alterei algumas coisas nos arquivos que acredito que estavam erradas (eu não interpretei direito) agora está dando "Password incorrect" tem alguma coisa a ver com ser 2008 server ? Nesse site, diz que precisa ser outra config pra o 2008 server ....

http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory

marcelloc

Você pode seguir o tutorial ntlm mais atual do site do squid sem problemas. Toma cuidado só com a questão da localização das pastas.

filipe.nanclarez

@marcelloc:

Você pode seguir o tutorial ntlm mais atual do site do squid sem problemas. Toma cuidado só com a questão da localização das pastas.

então, usei ele só para verificar como deveria fazer as substituições dos valores, mas estou seguindo o seu pra não bagunçar aqui.

estou recebendo o primeiro erro novamente (depois de arrumar o dns, e acertar o ntp):

kinit: krb5_get_init_creds: unable to reach any KDC in realm virtual.local

no join, retorna:

Failed to join domain: failed to connect to AD: Operations error

tentei olhar nos não estou achando os arquivos dos logs pra verificar … ???

filipe.nanclarez

pessoal, alguma luz ?

marcelloc, quando voce conseguiu foi no windows 2003 ?

filipe.nanclarez

Toda vez que arrumo o dns, ele dá outro erro, dá password incorrect.

Já mudei a senha, mas continua dando isso.

Há algum log onde eu possa identificar o que está acontecendo ?