Discussion:
Ещё раз о Kerberos...
Alexander Lapshin
2006-11-07 17:21:46 UTC
Permalink
Пробую кстановить Kerberos авторизацию.
Почитал рассылку, сходил сюда http://unixgeek.nm.ru/krbsetup.html и
сюда
http://pazan.mine.nu/index.php?name=PNphpBB2&file=viewtopic&t=8&highlight=kerberos
вроде всё просто. У людей работает. А у меня почемуто не хочет.
Делаю так как рекомендовано:
Мой тестовый домен: DOMAIN.LOCAL
Почтовый ност: MAIL.DOMAIN.LOCAL
Cоздал в WIN 2003 AD юзера "cgatepro" с паролем "password", разрешил DES.
Создаю keytab:
ktpass -princ imap/mail.domain.local-***@public.gmane.org -mapuser cgatepro
-pass password -out c:\tmp\keytab.dat -crypto DES-CBC-MD5 -ptype
KRB5_NT_PRINCIPAL -kvno 2

Keytab импортирую в CGP:
---
DAMAIN.LOCAL (3)imap/mail.domain.local 01-01-1900 00:00:00 2 DES-MD5
---

"-kvno 2" подобрал опытным путем. С другими значениями в kvno на
клиенте светит "Unknown Kerberos ticket". А со значением "-kvno 2" на
клиенте светит: "failed to verify Kerberos data".
Вот что в логах на CGP v4.3.10(WIN32):
---
19:00:09.57 4 IMAP-00014([10.0.0.7]) got connection on [10.0.0.1:143]
19:00:09.57 5 IMAP-00014([10.0.0.7]) out: * OK IMAP Server at
domain.local ready\r\n
19:00:09.57 5 IMAP-00014([10.0.0.7]) inp: 00000001 AUTHENTICATE GSSAPI
YIIEjgYJKoZIhvcSAQICAQBuggR9MIIEeaADAgEFoQMCAQ6iBwMFACAAAACjggOpYYIDpTCCA6GgAwIBBaEMGwpESUVYLkxPQ0FMoiIwIKADAgECoRkwFxsEaW1hcBsPbWFpbC5kaWV4LmxvY2Fso4IDZjCCA2KgAwIBA6EDAgECooIDVASCA1AXr14ETG+8FXA5VkyD8QhLJfGneQ82J9OHho525kFgl+e8C
19:00:09.57 4 IMAP-00014([10.0.0.7]) SASL(GSSAPI) ini: 60 82 04 8E 06 09
2A 86 48 86 F7 12 01 02 02 01 00 6E 82 04 7D 30 82 04 79 A0 03 02 01 05
A1 03 02 01 0E A2 07 03 05 00 20 00 00 00 A3 82 03 A9 61 82 03 A5 30 82
03 A1 A0 03 02 01 05 A1 0C 1B 0A 44 49 45 58 2E 4C 4F 43 41 4C A2 22 30
20 A0 03
19:00:09.57 5 IMAP-00014([10.0.0.7]) out: 00000001 NO failed to verify
Kerberos data\r\n
19:00:09.57 3 IMAP-00014([10.0.0.7]) read failed. Error Code=connection
closed by peer
19:00:09.57 4 IMAP-00014([10.0.0.7]) closing connection
19:00:09.57 4 IMAP-00014([10.0.0.7]) releasing stream
---
У пользователя включено: Kerberos Login Allow to Use: default(YES).
Пользователь прописан с одинаковыми именами-паролями и в AD и в CGP и
залогинен в Windows-AD-домен. MAPI-конектор используется последний.

Что можно сделать, чтобы заработала Kerberos авторизация? Где я ошибся?
--
(c)ALex
Stanislav Nadelyaev
2006-11-07 19:30:27 UTC
Permalink
-----Original Message-----
Sent: Tuesday, November 07, 2006 8:22 PM
To: CommuniGate Pro Russian Discussions
Subject: [CGP] Ещё раз о Kerberos...
Пробую кстановить Kerberos авторизацию.
Почитал рассылку, сходил сюда http://unixgeek.nm.ru/krbsetup.html и
сюда
http://pazan.mine.nu/index.php?name=PNphpBB2&file=viewtopic&t=8&highlight=
kerberos
вроде всё просто. У людей работает. А у меня почемуто не хочет.
Мой тестовый домен: DOMAIN.LOCAL
Почтовый ност: MAIL.DOMAIN.LOCAL
Cоздал в WIN 2003 AD юзера "cgatepro" с паролем "password", разрешил
DES.
-pass password -out c:\tmp\keytab.dat -crypto DES-CBC-MD5 -ptype
KRB5_NT_PRINCIPAL -kvno 2
А какой kvno стоит в переменной msDS-KeyVersionNumber у юзера cgatepro?
Ещё там с именами доменов какая-то хитрость есть. Помню, что если
разобраться как работает Kerberos, то всё получается легко и просто.
---
DAMAIN.LOCAL (3)imap/mail.domain.local 01-01-1900 00:00:00 2
DES-MD5
---
"-kvno 2" подобрал опытным путем. С другими значениями в kvno на
клиенте светит "Unknown Kerberos ticket". А со значением "-kvno 2" на
клиенте светит: "failed to verify Kerberos data".
---
19:00:09.57 4 IMAP-00014([10.0.0.7]) got connection on [10.0.0.1:143]
19:00:09.57 5 IMAP-00014([10.0.0.7]) out: * OK IMAP Server at
domain.local ready\r\n
19:00:09.57 5 IMAP-00014([10.0.0.7]) inp: 00000001 AUTHENTICATE GSSAPI
YIIEjgYJKoZIhvcSAQICAQBuggR9MIIEeaADAgEFoQMCAQ6iBwMFACAAAACjggOpYYIDpTCCA6
GgAwIBBaEMGwpESUVYLkxPQ0FMoiIwIKADAgECoRkwFxsEaW1hcBsPbWFpbC5kaWV4LmxvY2Fs
o4IDZjCCA2KgAwIBA6EDAgECooIDVASCA1AXr14ETG+8FXA5VkyD8QhLJfGneQ82J9OHho525k
Fgl+e8C
19:00:09.57 4 IMAP-00014([10.0.0.7]) SASL(GSSAPI) ini: 60 82 04 8E 06 09
2A 86 48 86 F7 12 01 02 02 01 00 6E 82 04 7D 30 82 04 79 A0 03 02 01 05
A1 03 02 01 0E A2 07 03 05 00 20 00 00 00 A3 82 03 A9 61 82 03 A5 30 82
03 A1 A0 03 02 01 05 A1 0C 1B 0A 44 49 45 58 2E 4C 4F 43 41 4C A2 22 30
20 A0 03
19:00:09.57 5 IMAP-00014([10.0.0.7]) out: 00000001 NO failed to verify
Kerberos data\r\n
19:00:09.57 3 IMAP-00014([10.0.0.7]) read failed. Error Code=connection
closed by peer
19:00:09.57 4 IMAP-00014([10.0.0.7]) closing connection
19:00:09.57 4 IMAP-00014([10.0.0.7]) releasing stream
---
У пользователя включено: Kerberos Login Allow to Use: default(YES).
Пользователь прописан с одинаковыми именами-паролями и в AD и в CGP и
залогинен в Windows-AD-домен. MAPI-конектор используется последний.
Что можно сделать, чтобы заработала Kerberos авторизация? Где я
ошибся?
--
(c)ALex
##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки
Архив списка: http://mx.demos.su/lists/cgp-russian/
##################################################################
Вы получили это сообщение потому, что подписаны на список рассылки
<***@mx.ru>.

Чтобы отписаться, отправьте сообщение на адрес <CGatePro-***@mx.ru>
Чтобы переключиться в режим дайджеста - mailto:<CGatePro-***@mx.ru>
Чтобы переключиться в индексный режим - mailto:<CGatePro-***@mx.ru>
Для административных запросов адрес <CGatePro-***@mx.ru>
Архив
Alexander Lapshin
2006-11-08 06:51:48 UTC
Permalink
Post by Stanislav Nadelyaev
-----Original Message-----
Sent: Tuesday, November 07, 2006 8:22 PM
To: CommuniGate Pro Russian Discussions
Subject: [CGP] Ещё раз о Kerberos...
Пробую кстановить Kerberos авторизацию.
Почитал рассылку, сходил сюда http://unixgeek.nm.ru/krbsetup.html и
сюда
http://pazan.mine.nu/index.php?name=PNphpBB2&file=viewtopic&t=8&highlight=
kerberos
вроде всё просто. У людей работает. А у меня почемуто не хочет.
Мой тестовый домен: DOMAIN.LOCAL
Почтовый ност: MAIL.DOMAIN.LOCAL
Cоздал в WIN 2003 AD юзера "cgatepro" с паролем "password", разрешил
DES.
-pass password -out c:\tmp\keytab.dat -crypto DES-CBC-MD5 -ptype
KRB5_NT_PRINCIPAL -kvno 2
А какой kvno стоит в переменной msDS-KeyVersionNumber у юзера cgatepro?
Ещё там с именами доменов какая-то хитрость есть. Помню, что если
разобраться как работает Kerberos, то всё получается легко и просто.
msDS-KeyVersionNumber у пользователя "cgatepro" стоит значение == 2. По
мануалам надо писАть kvno == msDS-KeyVersionNumber + 1, т.е. "3". Но
значение kvno == 3 на клиенте светит "Unknown Kerberos ticket". Я
импортровал несколько одновременно keytab'ов с различными значениями
"kvno" от "0" до "9". Но на клиенте упорно светит "failed to verify
Kerberos data".
Post by Stanislav Nadelyaev
---
DAMAIN.LOCAL (3)imap/mail.domain.local 01-01-1900 00:00:00 2
DES-MD5
---
"-kvno 2" подобрал опытным путем. С другими значениями в kvno на
клиенте светит "Unknown Kerberos ticket". А со значением "-kvno 2" на
клиенте светит: "failed to verify Kerberos data".
---
19:00:09.57 4 IMAP-00014([10.0.0.7]) got connection on [10.0.0.1:143]
19:00:09.57 5 IMAP-00014([10.0.0.7]) out: * OK IMAP Server at
domain.local ready\r\n
19:00:09.57 5 IMAP-00014([10.0.0.7]) inp: 00000001 AUTHENTICATE GSSAPI
YIIEjgYJKoZIhvcSAQICAQBuggR9MIIEeaADAgEFoQMCAQ6iBwMFACAAAACjggOpYYIDpTCCA6
GgAwIBBaEMGwpESUVYLkxPQ0FMoiIwIKADAgECoRkwFxsEaW1hcBsPbWFpbC5kaWV4LmxvY2Fs
o4IDZjCCA2KgAwIBA6EDAgECooIDVASCA1AXr14ETG+8FXA5VkyD8QhLJfGneQ82J9OHho525k
Fgl+e8C
19:00:09.57 4 IMAP-00014([10.0.0.7]) SASL(GSSAPI) ini: 60 82 04 8E 06 09
2A 86 48 86 F7 12 01 02 02 01 00 6E 82 04 7D 30 82 04 79 A0 03 02 01 05
A1 03 02 01 0E A2 07 03 05 00 20 00 00 00 A3 82 03 A9 61 82 03 A5 30 82
03 A1 A0 03 02 01 05 A1 0C 1B 0A 44 49 45 58 2E 4C 4F 43 41 4C A2 22 30
20 A0 03
19:00:09.57 5 IMAP-00014([10.0.0.7]) out: 00000001 NO failed to verify
Kerberos data\r\n
19:00:09.57 3 IMAP-00014([10.0.0.7]) read failed. Error Code=connection
closed by peer
19:00:09.57 4 IMAP-00014([10.0.0.7]) closing connection
19:00:09.57 4 IMAP-00014([10.0.0.7]) releasing stream
---
У пользователя включено: Kerberos Login Allow to Use: default(YES).
Пользователь прописан с одинаковыми именами-паролями и в AD и в CGP и
залогинен в Windows-AD-домен. MAPI-конектор используется последний.
Что можно сделать, чтобы заработала Kerberos авторизация? Где я
ошибся?
--
(c)ALex
Alexander Lapshin
2006-11-21 15:26:16 UTC
Permalink
Alexander Lapshin пишет:

Господа разработчики.
Удалось ли выяснить почему в лог пишется "failed to verify data integrity"?
http://mail.stalker.com/Lists/CGatePro/Message/86528.html?altLanguage=

---
09:35:05.377 5 IMAP-000042([ip.add.re.ss]) inp: 00000001
AUTHENTICATE GSSAPI [removed]
09:35:05.378 5 IMAP-000042([ip.add.re.ss]) SASL(GSSAPI) ini: [removed]
09:35:05.378 5 IMAP-000042([ip.add.re.ss]) out: 00000001 NO
Kerberos: failed to verify data integrity\r\n
---

И как с таким бороться?

Это наблюдается на CGP v5.1.2 W2K3 SP1, MAPI 1.2.5/1.2.3
--
(c)ALex
Loading...