Внимание! В связи с борьбой со спамерами были удалены все аккаунты, не имеющие в своём активе сообщений.
Так же восстановлена работа уведомлений на почту.
Апрель 2023: обновлена версия phpbb, перераспределены форумы, произведена зачистка.

RHEL/Centos/SL Архив (3-6 версии)C5.6:net ads keytab + samba3x, mod_auth_ntlm_winbind + HTTPS

Поддержка этих веток закончена
Ответить
Сообщение
Автор
fullmetal
Сообщения: 7
Зарегистрирован: 28 июн 2011, 20:09

C5.6:net ads keytab + samba3x, mod_auth_ntlm_winbind + HTTPS

#1 Сообщение fullmetal »

Здравствуйте, товарищи!

Немного предыстории перед вопросами: была поставлена задача прикрутить Bitrix(корпоративный портал) + apache и всё это сдобрено SSO (то-бишь Single Sign On) за счёт домена AD 2k8R2.

Собственно говоря, задача выполнена(кому нужно могу составить мануал), только возникло некоторое количество нюансов (как обычно без них никак :| ), а именно:

Была поставлена под модуль mod_auth_ntlm_winbind samba3x с сответствующим пакетом samba3x-winbind. Сервер в домене - всё отлично, все команды выполняются, кроме net ads keytab create/add/flush, list при этом прекрасно работает :? .
Проверял все пермишены (хотя смысл их проверять не большой, когда откатываешься на обычную 3.0.33 самбу, файл (keytab) редактируется этими же самыми командами на ура), отключал selinux на winbind, samba & kerberos - реакции ноль :| . Собственно говоря проблема естественно была решена за счёт создания keytab`a и добавления принципиалов средствами samb`ы 3.0.33.
Вот и возник вопрос, это баг или фича самбы 3.5.4 ? У кого-либо были такие проблемы с менеджментом keytab`a именно с этой версией самбы?

Другой вопрос может и не в тему, но всё же: mod_auth_ntlm_winbind не работает через https (по крайней мере как везде пишут, и советуют пользоваться редиректом с http после логина).
Но самом деле он работает(mod_auth_ntlm_winbind), ибо при заходе на портал каким угодно браузером, кроме IE(любой версии начиная с 6), всё работает предельно корректно и работает автологин на портале. А mod_auth_ntlm_winbind over https для оменно для IE - "не алё", в зависимости от версии IE выдаются разные сообщения (ниже 9-ки - просто не возможно отобразить страницу, а на 9-ке: Authorization Required, при этом даже не выдаёт окно логина). Настройки безопасности IE выкручены на минимум и сервер добавлен в доверенные.
Вопрос заключается в следующем: это IE каким-то специфическим образом работает с https и есть ли какие-либо костыли, чтобы это побороть? потому как явно дело не в настройках серверной части, а в самом IE, т.к. на всех нормальных браузерах всё работает ....

С уважением.......
RHCT/RHCSA

fullmetal
Сообщения: 7
Зарегистрирован: 28 июн 2011, 20:09

Re: C5.6:net ads keytab + samba3x, mod_auth_ntlm_winbind + H

#2 Сообщение fullmetal »

Прошу прощения, второй вопрос наверное снимается, по причине того, что мне сказал начальник. Собственно говоря, где-то на технете он видел упоминание об ошибках сегментирования tls/ssl у МС`а, да и об этом говорит то, что на остальных браузерах всё работает - не работает только на IE.

P.S.: если вы захотите прикрутить всю туже самую связку, только в использованием винды в качестве ОС, то всё-равно SSO + mod_auth_sspi (apache) over HTTPS тоже не работает на IE.

С уважением.....
RHCT/RHCSA

fullmetal
Сообщения: 7
Зарегистрирован: 28 июн 2011, 20:09

Re: C5.6:net ads keytab + samba3x, mod_auth_ntlm_winbind + H

#3 Сообщение fullmetal »

Пардоньте ещё раз. Отвечаю на свой же вопрос сам же в очередной раз :D

Да действительно есть такой косяк с net ads keytab create/add/flush в samba 3.5.4-0.70.el5_6.1 (CentOS 5.6) коего уже нет в 6-ке CentOS c samba 3.5.4-68.el6_0.2.

C уважением.....
RHCT/RHCSA

Ответить