Форум русскоязычного сообщества Ubuntu

Пожалуйста, войдите или зарегистрируйтесь.

Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

« предыдущая тема следующая тема »
Страницы: [1]   Вниз

Автор Тема: Kerberos и дочернии домены  (Прочитано 371 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Namiz

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Kerberos и дочернии домены
« : 01 Июля 2015, 15:25:33 »
Вечер добрый господа.
Не знал куда ещё обратиться решил отписаться тут,а столкнулся с такой проблемой.
В сети есть  домен mycompany.local с контролером домена dc1.mycompany.local и недавно появившемся дочерним доменом child.mycompany.
Также стоит debian на котором стоит squid, авторизация в нём проходи средствами kerberos.
То есть в ad есть несколько групп которые проверяет squid_ldap_group на наличие там пользователя который лезит в интернет.
В случае с доменом родителем работает всё прекрасно, но с дочерним доменом бьюсь уже довольно долго.
Пробовал из полезного:
1)Создать в основном домене универсальную группу users1 в которую добавил пользователей из дочернего домена
2)Пробовал создать на дочернем домене глобальную группу и добавить её в users1 на основном контролере.
Из бесполезного:
1)много чего :(

На самом деле дело до авторизации кербероса даже не дошло, а ступор получился на проверки пользователя в группе запросом приведённым ниже.

Код: [Выделить]
/usr/lib/squid3/squid_ldap_group -R -d -b "dc=mycompany,dc=local"  -f  "(&(objectClass=user)(sAMAccountName=%v)(memberof=cn=%a,ou=lnternet,ou=Groups,dc=mycompani,dc=local))"  -D squid@mycompani.local -K -W /etc/squid3/aduser dc1.mycompani.nso.local
Собственно когда ищем пользователя из основного домена всё хорошо.

Код: [Выделить]
testdc1 user1
Connected OK
group filter '(&(objectClass=user)(sAMAccountName=testdc1)(memberof=cn=user1,ou=lnternet,ou=Groups,dc=mycompany,dc=local))', searchbase 'dc=mycompany,dc=local'
OK
А когда ищем в этой же группе пользователя из дочернего домена(который там есть) получаем это.
Код: [Выделить]
childtest user1
Connected OK
group filter '(&(objectClass=user)(sAMAccountName=childtest)(memberof=cn=user1,ou=lnternet,ou=Groups,dc=mycompany,dc=local))', searchbase 'dc=mycompany,dc=local'
ERR

Собственно, если проверять это с основного контролера то лдап запрос отрабатывает и находит пользователей из обоих доменов.
Пользователь squid имеет права на чтение всего леса и права энтерпрайз админа.
Если кто-нибудь с таким сталкивался подскажите в какую сторону смотреть.
Заранее извиняюсь за стиль своего сообщения на форуме пишу первый раз)
Конфиги предоставлю по надобности.
Гугл весь перерыл толком не чего нету по этой теме, заранее спасибо.

Оффлайн Namiz

  • Автор темы
  • Новичок
  • *
  • Сообщений: 2
    • Просмотр профиля
Re: Kerberos и дочернии домены
« Ответ #1 : 03 Июля 2015, 07:54:02 »
Вопрос решён, тему можно закрывать.
Страницы: [1]   Вверх
« предыдущая тема следующая тема »
 

Страница сгенерирована за 0.016 секунд. Запросов: 22.

© 2012 Ubuntu-ru — Русскоязычное сообщество Ubuntu Linux.
© 2012 Canonical Ltd. Ubuntu и Canonical являются зарегистрированными торговыми знаками Canonical Ltd.