Ahojte,<br>
<br>
chceme rozchodit nasledovne: autentifikacia Firefoxa voci proxy serveru<br>
(ISA 2004 od Microsoftu) cez Kerberos z Active Directory (AD). Na PC je<br>
nainstalovany Linux od Novellu (SLED 11.1), pouzivatel je z daneho PC<br>
prihlaseny do Windows domeny. V prilohe je /etc/krb5.conf z daneho PC,<br>
namiesto <a href="http://xxxxxx.sk/" target="_blank">XXXXXX.SK</a> je realna domena.<br>
<br>
Kerberos ticket dostanem cez PAM z domain controllera pri prihlaseni do<br>
systemu. S tym problem nie je, funguje to napr. pri pripajani zdielanych<br>
Samba foldrov, vystup klist je:<br><br><div style="margin-left: 40px;">
Desktop # klist<br>
Ticket cache: FILE:/tmp/krb5cc_10001<br>
Default principal: <a href="mailto:999999@XXXXXX.SK">999999@XXXXXX.SK</a><br><br>
Valid starting     Expires            Service principal<br>
12/30/10 15:26:02  12/31/10 01:26:02  krbtgt/<a href="http://xxxxxx.sk/" target="_blank">XXXXXX.SK</a>@<a href="http://xxxxxx.sk/" target="_blank">XXXXXX.SK</a><br>
        renew until 01/06/11 15:26:02<br>
12/30/10 15:26:02  12/31/10 01:26:02  Desktop$@<a href="http://xxxxxx.sk/" target="_blank">XXXXXX.SK</a><br>
        renew until 01/06/11 15:26:02<br>
12/30/10 16:34:58  12/31/10 01:26:02  sambaserver$@<a href="http://xxxxxx.sk/" target="_blank">XXXXXX.SK</a><br>
        renew until 01/06/11 15:26:02<br><br>
Kerberos 4 ticket cache: /tmp/tkt0<br>
klist: You have no tickets cached<br><br></div><div id=":1kc">


<b>Avsak problem je s Firefoxom, ktory pouziva Negotiate Authentication<br>
(Kerberos GSSAPI). Namiesto autentifikacie voci ISA 2004 proxy serveru<br>
sa v logu browsera objavuje toto:</b><br>
<br><div style="margin-left: 40px;">
-1220663600[b71551c0]: nsHttpChannel::ProcessAuthentication<br>
[this=af411090 code=407]<br>
-1220663600[b71551c0]: nsHttpChannel::PrepareForAuthentication<br>
[this=af411090]<br>
-1220663600[b71551c0]: nsHttpChannel::GetAuthenticator [this=af411090]<br>
-1220663600[b71551c0]: nsHttpChannel::GetCredentialsForChallenge<br>
[this=af411090 proxyAuth=1 challenges=Negotiate]<br>
-1220663600[b71551c0]: nsHttpAuthCache::GetAuthEntryForDomain<br>
[key=<a href="http://isa2004.xxxxxx.sk:8080/" target="_blank">http://isa2004.xxxxxx.sk:8080</a> realm=]<br>
-1220663600[b71551c0]:   service = <a href="http://isa2004.xxxxxx.sk/" target="_blank">isa2004.xxxxxx.sk</a><br>
-1220663600[b71551c0]:   using negotiate-gss<br>
-1220663600[b71551c0]: entering nsAuthGSSAPI::nsAuthGSSAPI()<br>
-1220663600[b71551c0]: Attempting to load user specified library<br>
[libgssapi_krb5.so.2]<br>
-1220663600[b71551c0]: Attempting to load gss functions<br>
-1220663600[b71551c0]: entering nsAuthGSSAPI::Init()<br>
-1220663600[b71551c0]:   identity invalid = 0<br>
-1220663600[b71551c0]: nsHttpNegotiateAuth::GenerateCredentials_1_9_2()<br>
[challenge=Negotiate]<br>
-1220663600[b71551c0]: entering nsAuthGSSAPI::GetNextToken()<br>
-1220663600[b71551c0]: gss_init_sec_context() failed: Unspecified GSS<br>
failure.  Minor code may provide more information<br>
Server not found in Kerberos database<br></div>
<br>
Nasleduje fallback na NTLM, my ale chceme Kerberos ;).<br>
<br>
Skusal som okrem googlenia napriklad toto:<br>
- zadanie active directory a proxy servera do /etc/hosts na danom PC<br>
- nainstalovanie krb5-devel<br>
- vytvorenie reverzneho DNS zaznamu pre IP adresu ISA servera<br>
- rozne modifikacie krb5.conf<br>
- modifikacie konfiguracnych parametrov negotiate-auth vo Firefoxe<br>
(about:config)<br>
- medzitym rozne restarty browsera ci celeho PC<br>
- tcpdumpovanie komunikacie<br>
<br>
Da niekto skuseny dalsie hinty co vyskusat a na co si posvietit?<br>
Pripadne niekto komu to funguje?<br>
<br>
Vopred dakujem.<br>
<br>
Jano Ostrochovsky</div>