C5.6:net ads keytab + samba3x, mod_auth_ntlm_winbind + HTTPS
Добавлено: 28 июн 2011, 21:59
Здравствуйте, товарищи!
Немного предыстории перед вопросами: была поставлена задача прикрутить Bitrix(корпоративный портал) + apache и всё это сдобрено SSO (то-бишь Single Sign On) за счёт домена AD 2k8R2.
Собственно говоря, задача выполнена(кому нужно могу составить мануал), только возникло некоторое количество нюансов (как обычно без них никак
), а именно:
Была поставлена под модуль mod_auth_ntlm_winbind samba3x с сответствующим пакетом samba3x-winbind. Сервер в домене - всё отлично, все команды выполняются, кроме net ads keytab create/add/flush, list при этом прекрасно работает
.
Проверял все пермишены (хотя смысл их проверять не большой, когда откатываешься на обычную 3.0.33 самбу, файл (keytab) редактируется этими же самыми командами на ура), отключал selinux на winbind, samba & kerberos - реакции ноль . Собственно говоря проблема естественно была решена за счёт создания keytab`a и добавления принципиалов средствами samb`ы 3.0.33.
Вот и возник вопрос, это баг или фича самбы 3.5.4 ? У кого-либо были такие проблемы с менеджментом keytab`a именно с этой версией самбы?
Другой вопрос может и не в тему, но всё же: mod_auth_ntlm_winbind не работает через https (по крайней мере как везде пишут, и советуют пользоваться редиректом с http после логина).
Но самом деле он работает(mod_auth_ntlm_winbind), ибо при заходе на портал каким угодно браузером, кроме IE(любой версии начиная с 6), всё работает предельно корректно и работает автологин на портале. А mod_auth_ntlm_winbind over https для оменно для IE - "не алё", в зависимости от версии IE выдаются разные сообщения (ниже 9-ки - просто не возможно отобразить страницу, а на 9-ке: Authorization Required, при этом даже не выдаёт окно логина). Настройки безопасности IE выкручены на минимум и сервер добавлен в доверенные.
Вопрос заключается в следующем: это IE каким-то специфическим образом работает с https и есть ли какие-либо костыли, чтобы это побороть? потому как явно дело не в настройках серверной части, а в самом IE, т.к. на всех нормальных браузерах всё работает ....
С уважением.......
Немного предыстории перед вопросами: была поставлена задача прикрутить Bitrix(корпоративный портал) + apache и всё это сдобрено SSO (то-бишь Single Sign On) за счёт домена AD 2k8R2.
Собственно говоря, задача выполнена(кому нужно могу составить мануал), только возникло некоторое количество нюансов (как обычно без них никак
), а именно: Была поставлена под модуль mod_auth_ntlm_winbind samba3x с сответствующим пакетом samba3x-winbind. Сервер в домене - всё отлично, все команды выполняются, кроме net ads keytab create/add/flush, list при этом прекрасно работает
. Проверял все пермишены (хотя смысл их проверять не большой, когда откатываешься на обычную 3.0.33 самбу, файл (keytab) редактируется этими же самыми командами на ура), отключал selinux на winbind, samba & kerberos - реакции ноль
. Собственно говоря проблема естественно была решена за счёт создания keytab`a и добавления принципиалов средствами samb`ы 3.0.33.Вот и возник вопрос, это баг или фича самбы 3.5.4 ? У кого-либо были такие проблемы с менеджментом keytab`a именно с этой версией самбы?
Другой вопрос может и не в тему, но всё же: mod_auth_ntlm_winbind не работает через https (по крайней мере как везде пишут, и советуют пользоваться редиректом с http после логина).
Но самом деле он работает(mod_auth_ntlm_winbind), ибо при заходе на портал каким угодно браузером, кроме IE(любой версии начиная с 6), всё работает предельно корректно и работает автологин на портале. А mod_auth_ntlm_winbind over https для оменно для IE - "не алё", в зависимости от версии IE выдаются разные сообщения (ниже 9-ки - просто не возможно отобразить страницу, а на 9-ке: Authorization Required, при этом даже не выдаёт окно логина). Настройки безопасности IE выкручены на минимум и сервер добавлен в доверенные.
Вопрос заключается в следующем: это IE каким-то специфическим образом работает с https и есть ли какие-либо костыли, чтобы это побороть? потому как явно дело не в настройках серверной части, а в самом IE, т.к. на всех нормальных браузерах всё работает ....
С уважением.......
