Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Squid3 mit Domänen Authentifizierung - Client not found in Kerberos Database

Mitglied: tacerus

tacerus (Level 1) - Jetzt verbinden

14.02.2016 um 17:52 Uhr, 1484 Aufrufe, 1 Danke

Hallo,

Poste das mal unter Linux, auch wenn es teilweise Windows-bezogen ist.

Hoffe das mir jemand helfen kann, nachdem ich gute 6 Stunden mit Google nichts zusammengebracht habe.
Habe nach http://wiki.bitbinary.com/index.php/Active_Directory_Integrated_Squid_P ... versucht Squid3 mit Domänenauthentifizierung auf Debian zu installieren. DC läuft mit Windows Server 2012 R2.

Es scheitert mit Kerberos und msktutil.

Hier meine krb5.conf:
01.
[libdefaults]
02.
        default_realm = SQUIRRELCUBE.COM
03.
        dns_lookup_kdc = no
04.
        dns_lookup_realm = no
05.
        ticket_lifetime = 24h
06.
        default_keytab_name = /etc/squid3/PROXY.keytab
07.

08.
[realms]
09.
        SQUIRRELCUBE.COM = {
10.
                kdc = e752.squirrelcube.com
11.
                admin_server = e752.squirrelcube.com
12.
                default_domain = squirrelcube.com
13.
        }
14.

15.
[domain_realm]
16.
        .squirrelcube.com = SQUIRRELCUBE.COM
17.
        squirrelcube.com = SQUIRRELCUBE.COM
Nachdem ich mit kinit erfolgreich ein Ticket erstellt habe, welches laut klist richtigerweise 24 Stunden gültig ist, führe ich folgenden Command aus:
01.
 msktutil -c -b "ou=Server" -s HTTP/deprox.squirrelcube.com -k /etc/squid3/PROXY.keytab \--computer-name deprox-http --upn HTTP/deprox.squirrelcube.com --server e752.squirrelcube.com --verbose
deprox.squirrelcube.com ist der Hostname von meiner Debian Maschine, deprox-http der seperate Kerberos-Computerkontenname für den Eintrag im AD. e752.squirrelcube.com ist der (einzige) Domänencontroller.
Forward und Reverse DNS funktionieren ohne Probleme, sollte das hier von Bedeutung sein.

Und bekomme:
01.
 -- init_password: Wiping the computer password structure
02.
 -- generate_new_password: Generating a new, random password for the computer account
03.
 -- generate_new_password:  Characters read from /dev/udandom = 86
04.
 -- create_fake_krb5_conf: Created a fake krb5.conf file: /tmp/.msktkrb5.conf-vPLCyz
05.
 -- reload: Reloading Kerberos Context
06.
 -- finalize_exec: SAM Account Name is: deprox-http$
07.
 -- try_machine_keytab_princ: Trying to authenticate for deprox-http$ from local keytab...
08.
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Client not found in Kerberos database)
09.
 -- try_machine_keytab_princ: Authentication with keytab failed
10.
 -- try_machine_keytab_princ: Trying to authenticate for host/deprox.squirrelcube.com from local keytab...
11.
 -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Client not found in Kerberos database)
12.
 -- try_machine_keytab_princ: Authentication with keytab failed
13.
 -- try_machine_password: Trying to authenticate for deprox-http$ with password.
14.
 -- create_default_machine_password: Default machine password for deprox-http$ is deprox-http
15.
 -- try_machine_password: Error: krb5_get_init_creds_keytab failed (Client not found in Kerberos database)
16.
 -- try_machine_password: Authentication with password failed
17.
 -- try_user_creds: Checking if default ticket cache has tickets...
18.
 -- finalize_exec: Authenticated using method 4
19.

20.
 -- ldap_connect: Connecting to LDAP server: e752.squirrelcube.com try_tls=YES
21.
 -- ldap_connect: Connecting to LDAP server: e752.squirrelcube.com try_tls=NO
22.
SASL/GSSAPI authentication started
23.
SASL username: gp.pfuetzenreuter@SQUIRRELCUBE.COM
24.
SASL SSF: 56
25.
SASL data security layer installed.
26.
 -- ldap_connect: LDAP_OPT_X_SASL_SSF=56
27.

28.
 -- ldap_get_base_dn: Determining default LDAP base: dc=SQUIRRELCUBE,dc=COM
29.
 -- ldap_check_account: Checking that a computer account for deprox-http$ exists
30.
 -- ldap_check_account: Computer account not found, create the account
31.

32.
No computer account for deprox-http found, creating a new one.
33.
dn: cn=deprox-http,ou=Server,dc=SQUIRRELCUBE,dc=COM
34.
 -- ldap_check_account_strings: Inspecting (and updating) computer account attributes
35.
 -- ldap_simple_set_attr: Calling ldap_modify_ext_s to set dNSHostName to deprox.squirrelcube.com
36.
 -- ldap_simple_set_attr: Calling ldap_modify_ext_s to set userPrincipalName to HTTP/deprox.squirrelcube.com@SQUIRRELCUBE.COM
37.
 -- ldap_set_supportedEncryptionTypes: DEE dn=cn=deprox-http,ou=Server,dc=SQUIRRELCUBE,dc=COM old=7 new=28
38.

39.
 -- ldap_simple_set_attr: Calling ldap_modify_ext_s to set msDs-supportedEncryptionTypes to 28
40.
 -- ldap_set_userAccountControl_flag: Setting userAccountControl bit at 0x200000 to 0x0
41.
 -- ldap_set_userAccountControl_flag:  userAccountControl not changed 0x1000
42.

43.
 -- set_password: Attempting to reset computer's password
44.
 -- set_password: Try change password using user's ticket cache
45.

46.
 -- ldap_get_pwdLastSet: pwdLastSet is 130999411078213749
47.
 -- set_password: Successfully set password, waiting for it to be reflected in LDAP.
48.
 -- ldap_get_pwdLastSet: pwdLastSet is 130999411078682497
49.
 -- set_password: Successfully reset computer's password
50.
 -- ldap_add_principal: Checking that adding principal HTTP/deprox.squirrelcube.com to deprox-http$ won't cause a conflict
51.
 -- ldap_add_principal: Adding principal HTTP/deprox.squirrelcube.com to LDAP entry
52.
 -- ldap_add_principal: Checking that adding principal host/deprox.squirrelcube.com to deprox-http$ won't cause a conflict
53.
 -- ldap_add_principal: Adding principal host/deprox.squirrelcube.com to LDAP entry
54.
 -- execute: Updating all entries for deprox.squirrelcube.com in the keytab WRFILE:/etc/squid3/PROXY.keytab
55.

56.
 -- update_keytab: Updating all entires for deprox-http$
57.
 -- ldap_get_kvno: KVNO is 2
58.
 -- add_principal_keytab: Adding principal to keytab: deprox-http$
59.
 -- add_principal_keytab:     Using salt of SQUIRRELCUBE.COMhostdeprox-http.squirrelcube.com
60.
 -- add_principal_keytab:   Adding entry of enctype 0x17
61.
 -- add_principal_keytab:     Using salt of SQUIRRELCUBE.COMhostdeprox-http.squirrelcube.com
62.
 -- add_principal_keytab:   Adding entry of enctype 0x11
63.
 -- add_principal_keytab:     Using salt of SQUIRRELCUBE.COMhostdeprox-http.squirrelcube.com
64.
 -- add_principal_keytab:   Adding entry of enctype 0x12
65.
 -- add_principal_keytab: Adding principal to keytab: HTTP/deprox.squirrelcube.com
66.
 -- add_principal_keytab: Removing entries with kvno < 0
67.
 -- add_principal_keytab:     Using salt of SQUIRRELCUBE.COMhostdeprox-http.squirrelcube.com
68.
 -- add_principal_keytab:   Adding entry of enctype 0x17
69.
 -- add_principal_keytab:     Using salt of SQUIRRELCUBE.COMhostdeprox-http.squirrelcube.com
70.
 -- add_principal_keytab:   Adding entry of enctype 0x11
71.
 -- add_principal_keytab:     Using salt of SQUIRRELCUBE.COMhostdeprox-http.squirrelcube.com
72.
 -- add_principal_keytab:   Adding entry of enctype 0x12
73.
 -- add_principal_keytab: Adding principal to keytab: host/deprox.squirrelcube.com
74.
 -- add_principal_keytab: Removing entries with kvno < 0
75.
 -- add_principal_keytab:     Using salt of SQUIRRELCUBE.COMhostdeprox-http.squirrelcube.com
76.
 -- add_principal_keytab:   Adding entry of enctype 0x17
77.
 -- add_principal_keytab:     Using salt of SQUIRRELCUBE.COMhostdeprox-http.squirrelcube.com
78.
 -- add_principal_keytab:   Adding entry of enctype 0x11
79.
 -- add_principal_keytab:     Using salt of SQUIRRELCUBE.COMhostdeprox-http.squirrelcube.com
80.
 -- add_principal_keytab:   Adding entry of enctype 0x12
81.
 -- ~msktutil_exec: Destroying msktutil_exec
82.
 -- ldap_cleanup: Disconnecting from LDAP server
83.
 -- init_password: Wiping the computer password structure
84.
 -- ~KRB5Context: Destroying Kerberos Context
Anscheinend hat es nur irgendwas mit meinem Keytab. Habe schon unzählige male das Computerkonto (welches er korrekt im AD anlegt) gelöscht, kdestroy gemacht, das Keytab-File gelöscht und msktutil erneut probiert. Habe auch meine Domäne von W2008 auf W2012 R2 heraufgestuft, auch wenn ich denke, dass dies keine Auswirkung auf Kerberos hat.

Danke schonmal für's lesen,
tacerus
Ähnliche Inhalte
Exchange Server

Microsoft Download Center - Page not found

gelöst Frage von DemonixExchange Server8 Kommentare

Hallo zusammen, ich bin nicht seit ein paar tagen am Wundern was mit dem M$ Downloadportal los ist. Ich ...

Windows 8

DISM Abbild Mounten - Path not Found

Frage von Sunny89Windows 81 Kommentar

Hallo, ich habe gerade versucht mit DISM ein Image zu mounten, aber ich bin echt am verzweifeln. Ich bekomme ...

Windows Server

WSUS Synchronisierungsfehler HTTP-Status 404: Not Found

gelöst Frage von IngenieursWindows Server6 Kommentare

Hallo, ich bin immer noch dabei einen WSUS unter einem Server 2012 Datacenter aufzusetzen. Mittlerweile ist er mir gelungen ...

Windows Server

WSUS Client Authentifizierung

Frage von KarottenkernWindows Server3 Kommentare

Guten Morgen, um Außendienst-Clients mit Update-Approvals zu versorgen, versuche ich derzeit einen öffentlichen WSUS zu erstellen. Dies war auch ...

Neue Wissensbeiträge
Humor (lol)

"Linux und 5 Gründe Warum man kein Windows verwenden sollte sondern Ubuntu Linux"

Tipp von Snowbird vor 11 StundenHumor (lol)8 Kommentare

Gerade gefunden. Ja, ist etwas älter, aber irgendwie lustig?

Humor (lol)

"Warum Linux in einer vernetzten Welt einfach keinen Komfort bietet!"

Tipp von Snowbird vor 1 TagHumor (lol)13 Kommentare

Ein interessanter Einblick warum Linux nichts für Geräteübergreifende Arbeit ist :)

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von Lochkartenstanzer vor 1 TagHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...

Windows Update

KB4517297 verfügbar, behebt Fehler in VB6 VBA VBScript

Information von sabines vor 1 TagWindows Update

Das Update behebt mögliche Fehler in VB6, VBA und VBScript, die durch das Update KB4512486 vom August entstanden sind. ...

Heiß diskutierte Inhalte
Router & Routing
Deinstalliertes Geräte wird in FritzBox noch immer als verbundenes Gerät angezeigt
gelöst Frage von imebroRouter & Routing18 Kommentare

Hallo, in meiner FritzBox 7490 wird im Bereich "Funknetz" ein Gereät bei den verbundenen Geräten angezeigt, wobei ich nicht ...

Batch & Shell
PowerShell - Text an HTMLbody übergeben mit UTF-8 Kodierung
Frage von Pat.batBatch & Shell14 Kommentare

Hallo zusammen, ich stoße momentan auf folgendes Problem. Ich möchte mit meinem Skript E-Mails versenden. Text und Signatur samt ...

Sonstige Systeme
Ist es möglich ein ISDN-Telefon an einen analogen Anschluss anzuschließen?
Frage von cramtroniSonstige Systeme14 Kommentare

Also anders herum geht es ja, da gibt es ja diese Adapter von RJ11 auf TAE-F, aber gibt es ...

Humor (lol)
Zuviel Speicher ist ungesund. :-)
Tipp von LochkartenstanzerHumor (lol)14 Kommentare

Moin Kollegen, Heute hatte ich ein ungewöhnliches Aha-Erlebnis: Über das Wochenende habe ich einen einen 6 Jahre alten Bare-Metal ...