Autenticação "transparente" com pfsense + squid + active directory
-
kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Eu particularmente nunca passei por este erro. :(
-
Dando a volta no problema,
existe alguma outra maneira, de fazer a integração da autenticação ?
-
kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials
Eu particularmente nunca passei por este erro. :(
Talvez ajude:
Eu já vi isso acontecer. O ambiente não era de autenticação transparente, mas a mensagem de erro foi idêntica: Invalid credentials.
Isto acontecia toda vez que um determinado usuário tentava autenticar. Depois de horas batendo cabeça com detalhes, descobriu-se que
havia uma máquina com o mesmo nome do usuário no AD.
Seria bom verificar se não há duplicidade de nomes. -
Hum, bem lembrado.
Bem chequei isso tambem, mas como é um ambiente virtual, só existe o AD e o pf na rede, e só tem um usuário, que é o administrator.
Mas obrigado pelo toque …
Olhando no event viewer do Windows, achei o seguinte, quando tento adicionar a maquina no domino:
An account failed to log on.
Subject:
Security ID: NULL SID
Account Name: -
Account Domain: -
Logon ID: 0x0Logon Type: 3
Account For Which Logon Failed:
Security ID: NULL SID
Account Name:
Account Domain:Failure Information:
Failure Reason: An Error occured during Logon.
Status: 0xc000006a
Sub Status: 0x0Process Information:
Caller Process ID: 0x0
Caller Process Name: -Network Information:
Workstation Name: -
Source Network Address: 192.168.15.101
Source Port: 58739Detailed Authentication Information:
Logon Process: Kerberos
Authentication Package: Kerberos
Transited Services: -
Package Name (NTLM only): -
Key Length: 0This event is generated when a logon request fails. It is generated on the computer where access was attempted.
The Subject fields indicate the account on the local system which requested the logon. This is most commonly a service such as the Server service, or a local process such as Winlogon.exe or Services.exe.
The Logon Type field indicates the kind of logon that was requested. The most common types are 2 (interactive) and 3 (network).
The Process Information fields indicate which account and process on the system requested the logon.
The Network Information fields indicate where a remote logon request originated. Workstation name is not always available and may be left blank in some cases.
The authentication information fields provide detailed information about this specific logon request.
- Transited services indicate which intermediate services have participated in this logon request.
- Package name indicates which sub-protocol was used among the NTLM protocols.
- Key length indicates the length of the generated session key. This will be 0 if no session key was requested.
-
Coloca o mkdir no script também.
mkdir -p /var/run/samba
Talvez seja necessário colocar o caminho completo do mkdir no script de inicialização.
weee! funcionou! agora o dir. é criado normalmente :). Já a inicialização do samba eu resolvi renomeando o arquivo /usr/local/etc/rc.d/samba para samba.sh.
Também já fiz alguns testes criando as acls no SquidGuard e separando os usuarios (manualmente: 'user1') e por enquanto esta funcionando. Bem… vou continuar demais testes, mais uma vez valeu ;)
-
Consegui !!!! Não sei porque mais fiz isso na sequencia do kinit
Agora edite o arquivo /etc/nsswitch.conf
vim /etc/nsswitch.conf
altere as linhas:
passwd: compat
group: compat
para:
passwd: compat winbind
group: compat winbind
reinicie os serviços
nmbd restart
smbd restart
winbindd restart
depois coloque no domino com o seguinte comando …
net rpc join DOMINIO -U administrador
-
filipe.nanclarez,
Você fez um join via rpc e não via ads.
Este procedimento pode funcionar porém é mais antigo ainda.Parabéns pela configuração e não esqueça de monitorar o funcionamento. ;)
att,
Marcello Coutinho -
humm, deve ser por isso que ferrou todo o meu AD, agora o servidor não funfa mais…
rsrs
e eu que pensei que estava indo bem ...
vamos lá, tô formatando tudo novamente ...
-
UHUUUUUUUU
;D ;D ;D ;D ;D ;D
Consegui….
Pessoal, apenas para compartilhar com voces um resumo da historia.
1º O primeiro erro com o kinit, eu não tinha colocado o realm em maiuscula.
2º O segundo problema com Invalid Credentials, eu estava colocando no NetBios Name o nome do PDC, mas é o nome do pfSense. Agradeço ao johnnybe que deu a luz nesse caso.
3º No exemplo, em alguns lugares tem um ponto "." apos o nome do domínio.
Eu achei que isso era um erro de digitação, mas não é. Só é erro de digitação no comando net ads join, onde no exemplo ele coloca o ponto no final. Nesse caso dá erro. Mas nos arquivos, o ponto existe, e funciona com ele sim.4º As ultimas alterações que mencioei sobre alterar o /etc/nsswitch.conf, e dar o join via rpc, devem ser ignoradas. Foram tentativas ás cegas, mas depois de formatar tudo, e refazer do zero, elas não são necessárias. Basta respeitar as observações acima.
Espero que ajude aos novos que não estão muito familiarizados ao ambiente como eu.
Agradeço especialmente ao marcelloc, pela paciencia, e ao dougf4nie pelo interesse.
;)
-
Pessoal, só mais uma coisinha.
Não é querer pedir demais, mas acontece o seguinte.
O PC no dominio, e logado, entra na net certinho, registrando o usuário etc…
Agora, reproduzi um ambiente, onde outra vm simulando um note externo, fora do dominio, tenta acessar a net. Ele pede a senha, mas quando eu digito, não entra, volta o popup. Já tentei
administrator
administrator@virtual.local
adiministrator@VIRTUAL.LOCAL
VIRTUAL\administrator
virtual\administrator... e nada.
Os funcionários tá blz, não tá pedindo a senha, mas para os clientes, se pedir a senha, eu gostaria de passar um usuário e eles poderem navegar normal.
Alguma idéia?
-
veja qual é o winbind separator no smb.conf, o exemplo do tutorial sugere o +
/usr/local/bin/ntlm_auth –helper-protocol=squid-2.5-basic
mydomain+myuser mypasswd
OKSe não der certo, tente colocar estas linhas no campo custom do squid, lembrando que tem que substituir <enter>por ;
warning: basic authentication sends passwords plaintext
a network sniffer can and will discover passwords
auth_param basic program /usr/local/bin/ntlm_auth –helper-protocol=squid-2.5-basic
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hoursjuntando tudo fica mais ou menos asssim:
auth_param ntlm program /usr/local/bin/ntlm_auth --use-cached-creds --helper-protocol=squid-2.5-ntlmssp;auth_param ntlm children 30;auth_param ntlm keep_alive on;auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic;auth_param basic children 5;auth_param basic realm Squid proxy-caching web server;auth_param basic credentialsttl 2 hours;acl password proxy_auth REQUIRED;http_access allow password ```</enter> -
-
marcelloc, desfarça, eu viajei ali …
então, estavamos achando que era uma coisa e é outra.
quando entrei novamente na conta de usuaário tambem deu popup.
ai eu fui fazer os testes novamente no shell, e tava dando host não encontrado.
ai eu vi que no resolv.conf, ele tinha voltado as linhas que eu tinha comentado, quando eu reiniciei o servidor...
depois que eu comente as linhas de loopback, funcionou direito, tanto o usuario do dominio, quanto o pc que está fora do dominio e digita a senha.
como fazer para as alterações no resolv.conf ficarem permanentes ?
-
Tenta desabilitar o dns forwarder na aba services.
-
Então, as duas opções que eu usei foram
Na General Setup
Do not use the DNS Forwarder as a DNS server for the firewalldeixei marcado,
e opção
Allow DNS server list to be overridden by DHCP/PPP on WAN
deixei desmarcado …
e não esqueçe de deixar o ip do seu PDC no primeiro servidor DNS ( claro se ele for o DNS primário da rede. No meu caso o setup do DNS está como integrado ao AD)
Com esse setup, não faz muito sentido usar o DNS forwarder, mas se deixar ativo tambem não haverá problemas ...
Mais uma vez, muito obrigado marcelloc ;D
-
marcelloc, quando uma máquina nova, fora do dominio tenta acessr aparece assim
connecting to 192.168.15.101
user name:
password:
domain: WS001Existe alguma configuração, onde eu possa alterar esses valores que ele já traz ? Ou seja, uma mensagem amigável, e já trazer o dominio correto ?
desde já, obrigado …
-
Se você esta falando da janela de popup, você pode mudar o texto no custom options que você já colocou no squid.
-
Se você esta falando da janela de popup, você pode mudar o texto no custom options que você já colocou no squid.
Então, lá deixei o texto do tutorial, para autenticar.
Onde eu acho a sintax para mudar a aparencia do popup ?
-
Fala galera!
Eu não li o Tópico todo, é muito longo, mas resumindo:
gostaria de saber se deu certo e também se funciona para Windows Server 2008.
-
O procedimento funciona mas não testei em um ambiente 2008.
