Denuncie   Favoritos   Indicar  

01 02 03 04

Múltiplos autenticadores (schemes)

13. Re: Múltiplos autenticadores (schemes)

Guilherme
GuilhermeBR
(usa CentOS)

Enviado em 19/11/2013 - 08:40h

eabreu,

Fiz os testes aqui, e não funciona.

Já cliquei em tudo qto é link, no google e nada! Tô quaaaaase desistindo!!! kkkkkkk..

Tem mais alguma dica?

0 0
  • Quote

    •   


    14. Re: Múltiplos autenticadores (schemes)

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/11/2013 - 08:55h

    GuilhermeBR escreveu:

    eabreu,

    Fiz os testes aqui, e não funciona.

    Já cliquei em tudo qto é link, no google e nada! Tô quaaaaase desistindo!!! kkkkkkk..

    Tem mais alguma dica?


    Bom dia... O que funcionou e o que não funcionou ? fez as alterações no arquivo /etc/samba/smb.conf ?

    0 0
  • Quote

    • 15. Re: Múltiplos autenticadores (schemes)

    Guilherme
    GuilhermeBR
    (usa CentOS)

    Enviado em 19/11/2013 - 09:17h

    eabreu escreveu:

    Bom dia... O que funcionou e o que não funcionou ? fez as alterações no arquivo /etc/samba/smb.conf ?


    Bom dia.. rs.

    O funcionamento, ficou igual a configuração atual. Ou seja, as máquinas no AD (WinXP) funcionam normalmente. As máquinas fora do AD (Win7 e 8), pedem autenticação, mas não autentica.

    Fiz as configurações, conforme o artigo. Copiei, colei e alterei as linhas pro meu server AD. Me certificando que a linha NTLMv2, estivesse lá. Mesmo assim, não funciona conforme o esperado.

    0 0
  • Quote

    • 16. Re: Múltiplos autenticadores (schemes)

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/11/2013 - 09:52h

    Guilherme qual é a versão do samba que está utilizando no servidor ?

    0 0
  • Quote

    • 17. Re: Múltiplos autenticadores (schemes)

    Guilherme
    GuilhermeBR
    (usa CentOS)

    Enviado em 19/11/2013 - 10:19h

    eabreu, segue:

    samba-common-3.0.33-3.39.el5_8
    samba-client-3.0.33-3.39.el5_8
    system-config-samba-1.2.41-5.el5
    samba-3.0.33-3.39.el5_8

    0 0
  • Quote

    • 18. Re: Múltiplos autenticadores (schemes)

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/11/2013 - 10:28h

    Posta aqui a saída do comando testparm e configuração da seção global do arquivo /etc/samba/smb.conf.

    0 0
  • Quote

    • 19. Re: Múltiplos autenticadores (schemes)

    Guilherme
    GuilhermeBR
    (usa CentOS)

    Enviado em 19/11/2013 - 10:35h 


    
[root@proxy ~]# testparm 
    
Load smb config files from /etc/samba/smb.conf
    
Loaded services file OK.
    
'winbind separator = +' might cause problems with group membership.
    
Server role: ROLE_DOMAIN_MEMBER
    
Press enter to see a dump of your service definitions
    

    
[global]
    
        unix charset = iso-8859-1
    
        workgroup = EMPRESA
    
        realm = EMPRESA.NET
    
        server string = proxy
    
        security = ADS
    
        map to guest = Bad User
    
        password server = 192.168.0.252
    
        passdb backend = tdbsam
    
        client NTLMv2 auth = Yes
    
        client lanman auth = No
    
        client plaintext auth = No
    
        syslog = 0
    
        log file = /var/log/samba/%m.log
    
        max log size = 1000
    
        min protocol = LANMAN2
    
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    
        load printers = No
    
        preferred master = No
    
        domain master = No
    
        enhanced browsing = No
    
        dns proxy = No
    
        wins server = servidor.empresa.net
    
        idmap uid = 600-20000
    
        idmap gid = 600-20000
    
        template homedir = /dev/null
    
        winbind separator = +
    
        winbind cache time = 86400
    
        winbind enum users = Yes
    
        winbind enum groups = Yes
    
        winbind use default domain = Yes


    Obs: No parâmetro "winbind separator", tentei usar o "\" também, mas deu o mesmo problema.


    0 0
  • Quote

    • 20. Re: Múltiplos autenticadores (schemes)

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/11/2013 - 11:20h

    GuilhermeBR escreveu:


    
[root@proxy ~]# testparm 
    
Load smb config files from /etc/samba/smb.conf
    
Loaded services file OK.
    
'winbind separator = +' might cause problems with group membership.
    
Server role: ROLE_DOMAIN_MEMBER
    
Press enter to see a dump of your service definitions
    

    
[global]
    
        unix charset = iso-8859-1
    
        workgroup = EMPRESA
    
        realm = EMPRESA.NET
    
        server string = proxy
    
        security = ADS
    
        map to guest = Bad User
    
        password server = 192.168.0.252
    
        passdb backend = tdbsam
    
        client NTLMv2 auth = Yes
    
        client lanman auth = No
    
        client plaintext auth = No
    
        syslog = 0
    
        log file = /var/log/samba/%m.log
    
        max log size = 1000
    
        min protocol = LANMAN2
    
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    
        load printers = No
    
        preferred master = No
    
        domain master = No
    
        enhanced browsing = No
    
        dns proxy = No
    
        wins server = servidor.empresa.net
    
        idmap uid = 600-20000
    
        idmap gid = 600-20000
    
        template homedir = /dev/null
    
        winbind separator = +
    
        winbind cache time = 86400
    
        winbind enum users = Yes
    
        winbind enum groups = Yes
    
        winbind use default domain = Yes


    Obs: No parâmetro "winbind separator", tentei usar o "\" também, mas deu o mesmo problema.


    Sobre o parâmetro winbind separator, pode deixar comentado, pois esse parâmentro faz com que o samba use um caracter para separar o nome de usuário e domínio, deixando comentado vai usar somente o nome de usuário.

    Quanto ao seu problema, lendo as páginas de manual do samba, vi algumas informações:

    1- De acordo com projeto samba versões acima da 3.0.21 (que é o seu caso) dá suporte a ntlmv2.

    2- Vi no man do smb.conf que quando desabilitamos as opções listadas abaixo o domínio samba só dá suporte a ntlmv2, mesmo não sendo um domínio samba, acho podemos forçar essas configurações para somente aceitar ntlmv2.


    
ntlm auth = no
    
lanman auth = no
    
client lanman auth = no


    e deixando ativado a opção abaixo poderemos ter uma autenticação somente ntlmv2:


    
client NTLMv2 auth = yes


    podendo deixar essas opções descritas abaixo inclusas:


    
min protocol = LANMAN2 
    
max protocol = NT1


    Então seu /etc/samba/smb.conf poderia ser testado da seguinda forma (faça backup do arquivo original antes das alterações):


    
[global]
    
        unix charset = iso-8859-1
    
        workgroup = EMPRESA
    
        realm = EMPRESA.NET
    
        server string = proxy
    
        security = ADS
    
        map to guest = Bad User
    
        password server = 192.168.0.252
    
        passdb backend = tdbsam
    
### NTLM / NLTMv2 ###
    
        ntlm auth = no
    
        lanman auth = no
    
        client NTLMv2 auth = Yes
    
        client lanman auth = No
    
        client plaintext auth = No
    
        min protocol = LANMAN2
    
        max protocol = NT1 # ou max protocol = LANMAN2
    
### ### NTLM / NLTMv2 - FIM ###
    
        syslog = 0
    
        log file = /var/log/samba/%m.log
    
        max log size = 1000
    
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    
        load printers = No
    
        preferred master = No
    
        domain master = No
    
        enhanced browsing = No
    
        dns proxy = No
    
        wins server = servidor.empresa.net
    
        idmap uid = 600-20000
    
        idmap gid = 600-20000
    
        template homedir = /dev/null
    
#       winbind separator = +
    
        winbind cache time = 86400
    
        winbind enum users = Yes
    
        winbind enum groups = Yes
    
        winbind use default domain = Yes


    reinicia os serviços: samba, winbind, squid, verifica as configurações do smb.conf com o comando testparm, faz os testes com clientes winxp, win7 e win8. dá um retorno.

    0 0
  • Quote

    • 21. Re: Múltiplos autenticadores (schemes)

    Guilherme
    GuilhermeBR
    (usa CentOS)

    Enviado em 19/11/2013 - 12:43h

    eabreu,

    Não funcionou. As máquinas fora do AD, continuam não autenticando.


    

    
[root@proxy ~]# testparm
    
Load smb config files from /etc/samba/smb.conf
    
Loaded services file OK.
    
Server role: ROLE_DOMAIN_MEMBER
    
Press enter to see a dump of your service definitions
    

    
[global]
    
        unix charset = iso-8859-1
    
        workgroup = EMPRESA
    
        realm = EMPRESA.NET
    
        server string = proxy
    
        security = ADS
    
        map to guest = Bad User
    
        password server = 192.168.0.252
    
        passdb backend = tdbsam
    
        lanman auth = No
    
        ntlm auth = No
    
        client NTLMv2 auth = Yes
    
        client lanman auth = No
    
        client plaintext auth = No
    
        syslog = 0
    
        log file = /var/log/samba/%m.log
    
        max log size = 1000
    
        min protocol = LANMAN2
    
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    
        load printers = No
    
        preferred master = No
    
        domain master = No
    
        enhanced browsing = No
    
        dns proxy = No
    
        wins server = servidor.empresa.net
    
        idmap uid = 600-20000
    
        idmap gid = 600-20000
    
        template homedir = /dev/null
    
        winbind cache time = 86400
    
        winbind enum users = Yes
    
        winbind enum groups = Yes
    
        winbind use default domain = Yes


    Estou começando a achar, que isso é um problema do browser e não do proxy. Pois os autenticadores estão lá, mas o browser não tenta outra opção qdo não consegue autenticar. Digo isso, pq monitorei o tráfego pelo wireshark e somente lista tentativas NTLM.

    0 0
  • Quote

    • 22. Re: Múltiplos autenticadores (schemes)

    Guilherme
    GuilhermeBR
    (usa CentOS)

    Enviado em 19/11/2013 - 12:52h

    Acho que é problema do browser mesmo:

    Chrome:


    Choosing an authentication scheme

    When a server or proxy accepts multiple authentication schemes, our network stack selects the authentication scheme with the highest score:
    Basic: 1
    Digest: 2
    NTLM: 3
    Negotiate: 4
    The Basic scheme has the lowest score because it sends the username/password unencrypted to the server or proxy.

    So we choose the most secure scheme, and we ignore the server or proxy's preference, indicated by the order in which the schemes are listed in the WWW-Authenticate or Proxy-Authenticate response headers. This could be a source of compatibility problems because MSDN documents that "WinInet chooses the first method it recognizes." Note: In IE7 or later, WinInet chooses the first non-Basic method it recognizes.


    O que diz: Então nós escolhemos o esquema mais seguro, e nós ignoramos a preferência do proxy, indicados pela ordem em que cada esquema é listado.

    Como o NTLM é mais seguro que o basic SQUID-LDAP, ele tenta somente o NTLM.

    Fonte: http://www.chromium.org/developers/design-documents/http-authentication

    0 0
  • Quote

    • 23. Re: Múltiplos autenticadores (schemes)

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 19/11/2013 - 14:12h

    Guilherme blz ?

    Esse link tem informações bastante explicativas e esclarece o que você diz no primeiro post deste tópico como descrito abaixo.

    ]
    
Dessa forma, as máquinas do AD, funcionam normalmente. Mas já as máquinas fora do AD, continuam não funcionando. Usei o wireshark, para capturar o tráfego da rede, e o browser está tentando autenticar somente via NTLM, ele não tenta utilizar o autenticador LDAP.
    

    
O que tentei fazer:
    

    
- Tentei inverter a ordem, colocando o LDAP antes do NTLM no squid.conf. Não funcionou;
    
- Tentei utilizar somente NTLM, funciona somente as máquinas do AD;
    
- Tentei utilizar somente LDAP, funciona as máquinas do AD e tb as que estão fora do AD, mas a autenticação não é transparente. Abre o popup de autenticação;


    0 0
  • Quote

    • 24. Re: Múltiplos autenticadores (schemes)

    Guilherme
    GuilhermeBR
    (usa CentOS)

    Enviado em 19/11/2013 - 14:49h

    eabreu escreveu:

    Guilherme blz ?

    Esse link tem informações bastante explicativas e esclarece o que você diz no primeiro post deste tópico como descrito abaixo.


    
Dessa forma, as máquinas do AD, funcionam normalmente. Mas já as máquinas fora do AD, continuam não funcionando. Usei o wireshark, para capturar o tráfego da rede, e o browser está tentando autenticar somente via NTLM, ele não tenta utilizar o autenticador LDAP.
    

    
O que tentei fazer:
    

    
- Tentei inverter a ordem, colocando o LDAP antes do NTLM no squid.conf. Não funcionou;
    
- Tentei utilizar somente NTLM, funciona somente as máquinas do AD;
    
- Tentei utilizar somente LDAP, funciona as máquinas do AD e tb as que estão fora do AD, mas a autenticação não é transparente. Abre o popup de autenticação;




    Sim, realmente é uma restrição do browser.

    A única coisa que resta à fazer, e tentar autenticação via kerberos. Sendo essa, a opção mais segura. Só resta saber, se o WinXP e Win7 vão se autenticar normalmente.

    O problema, é colocar a autenticação via kerberos pra funcionar. Nos testes que fiz com kerberos, está dando o seguinte erro:


    
squid_kerb_auth: Got 'chave_gigante_aqui' from squid (length: 1687).
    
squid_kerb_auth: parseNegTokenInit failed with rc=101
    
squid_kerb_auth: gss_acquire_cred() failed: Unspecified GSS failure. Minor code may provide more information. No principal in keytab matches desired name
    
squid_kerb_auth: User not authenticated


    Tem alguma idéia, do que pode ser?

    0 0
  • Quote


    • 01 02 03 04



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    É cada coisa que me aparece! - não é só 3% (3)

    Melhorando a precisão de valores flutuantes em python[AJUDA] (5)

    Distro Tiger OS (2)

    Instalação Uefi com o instalador clássico do Mageia (1)

    Vou voltar moderar conteúdos de Dicas e Artigos (0)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: