Внимание! В связи с борьбой со спамерами были удалены все аккаунты, не имеющие в своём активе сообщений.
Так же восстановлена работа уведомлений на почту.
Апрель 2023: обновлена версия phpbb, перераспределены форумы, произведена зачистка.
Так же восстановлена работа уведомлений на почту.
Апрель 2023: обновлена версия phpbb, перераспределены форумы, произведена зачистка.
RHEL/Centos/SL Архив (3-6 версии) ⇒ C5.6:net ads keytab + samba3x, mod_auth_ntlm_winbind + HTTPS
C5.6:net ads keytab + samba3x, mod_auth_ntlm_winbind + HTTPS
Здравствуйте, товарищи!
Немного предыстории перед вопросами: была поставлена задача прикрутить Bitrix(корпоративный портал) + apache и всё это сдобрено SSO (то-бишь Single Sign On) за счёт домена AD 2k8R2.
Собственно говоря, задача выполнена(кому нужно могу составить мануал), только возникло некоторое количество нюансов (как обычно без них никак
), а именно:
Была поставлена под модуль mod_auth_ntlm_winbind samba3x с сответствующим пакетом samba3x-winbind. Сервер в домене - всё отлично, все команды выполняются, кроме net ads keytab create/add/flush, list при этом прекрасно работает
.
Проверял все пермишены (хотя смысл их проверять не большой, когда откатываешься на обычную 3.0.33 самбу, файл (keytab) редактируется этими же самыми командами на ура), отключал selinux на winbind, samba & kerberos - реакции ноль . Собственно говоря проблема естественно была решена за счёт создания keytab`a и добавления принципиалов средствами samb`ы 3.0.33.
Вот и возник вопрос, это баг или фича самбы 3.5.4 ? У кого-либо были такие проблемы с менеджментом keytab`a именно с этой версией самбы?
Другой вопрос может и не в тему, но всё же: mod_auth_ntlm_winbind не работает через https (по крайней мере как везде пишут, и советуют пользоваться редиректом с http после логина).
Но самом деле он работает(mod_auth_ntlm_winbind), ибо при заходе на портал каким угодно браузером, кроме IE(любой версии начиная с 6), всё работает предельно корректно и работает автологин на портале. А mod_auth_ntlm_winbind over https для оменно для IE - "не алё", в зависимости от версии IE выдаются разные сообщения (ниже 9-ки - просто не возможно отобразить страницу, а на 9-ке: Authorization Required, при этом даже не выдаёт окно логина). Настройки безопасности IE выкручены на минимум и сервер добавлен в доверенные.
Вопрос заключается в следующем: это IE каким-то специфическим образом работает с https и есть ли какие-либо костыли, чтобы это побороть? потому как явно дело не в настройках серверной части, а в самом IE, т.к. на всех нормальных браузерах всё работает ....
С уважением.......
Немного предыстории перед вопросами: была поставлена задача прикрутить Bitrix(корпоративный портал) + apache и всё это сдобрено SSO (то-бишь Single Sign On) за счёт домена AD 2k8R2.
Собственно говоря, задача выполнена(кому нужно могу составить мануал), только возникло некоторое количество нюансов (как обычно без них никак
), а именно: Была поставлена под модуль mod_auth_ntlm_winbind samba3x с сответствующим пакетом samba3x-winbind. Сервер в домене - всё отлично, все команды выполняются, кроме net ads keytab create/add/flush, list при этом прекрасно работает
. Проверял все пермишены (хотя смысл их проверять не большой, когда откатываешься на обычную 3.0.33 самбу, файл (keytab) редактируется этими же самыми командами на ура), отключал selinux на winbind, samba & kerberos - реакции ноль
. Собственно говоря проблема естественно была решена за счёт создания keytab`a и добавления принципиалов средствами samb`ы 3.0.33.Вот и возник вопрос, это баг или фича самбы 3.5.4 ? У кого-либо были такие проблемы с менеджментом keytab`a именно с этой версией самбы?
Другой вопрос может и не в тему, но всё же: mod_auth_ntlm_winbind не работает через https (по крайней мере как везде пишут, и советуют пользоваться редиректом с http после логина).
Но самом деле он работает(mod_auth_ntlm_winbind), ибо при заходе на портал каким угодно браузером, кроме IE(любой версии начиная с 6), всё работает предельно корректно и работает автологин на портале. А mod_auth_ntlm_winbind over https для оменно для IE - "не алё", в зависимости от версии IE выдаются разные сообщения (ниже 9-ки - просто не возможно отобразить страницу, а на 9-ке: Authorization Required, при этом даже не выдаёт окно логина). Настройки безопасности IE выкручены на минимум и сервер добавлен в доверенные.
Вопрос заключается в следующем: это IE каким-то специфическим образом работает с https и есть ли какие-либо костыли, чтобы это побороть? потому как явно дело не в настройках серверной части, а в самом IE, т.к. на всех нормальных браузерах всё работает ....
С уважением.......
RHCT/RHCSA
Re: C5.6:net ads keytab + samba3x, mod_auth_ntlm_winbind + H
Прошу прощения, второй вопрос наверное снимается, по причине того, что мне сказал начальник. Собственно говоря, где-то на технете он видел упоминание об ошибках сегментирования tls/ssl у МС`а, да и об этом говорит то, что на остальных браузерах всё работает - не работает только на IE.
P.S.: если вы захотите прикрутить всю туже самую связку, только в использованием винды в качестве ОС, то всё-равно SSO + mod_auth_sspi (apache) over HTTPS тоже не работает на IE.
С уважением.....
P.S.: если вы захотите прикрутить всю туже самую связку, только в использованием винды в качестве ОС, то всё-равно SSO + mod_auth_sspi (apache) over HTTPS тоже не работает на IE.
С уважением.....
RHCT/RHCSA
Re: C5.6:net ads keytab + samba3x, mod_auth_ntlm_winbind + H
Пардоньте ещё раз. Отвечаю на свой же вопрос сам же в очередной раз 
Да действительно есть такой косяк с net ads keytab create/add/flush в samba 3.5.4-0.70.el5_6.1 (CentOS 5.6) коего уже нет в 6-ке CentOS c samba 3.5.4-68.el6_0.2.
C уважением.....
Да действительно есть такой косяк с net ads keytab create/add/flush в samba 3.5.4-0.70.el5_6.1 (CentOS 5.6) коего уже нет в 6-ке CentOS c samba 3.5.4-68.el6_0.2.
C уважением.....
RHCT/RHCSA