Re: Re: Kerberos

От: Boris Tyshkiewitch <CGatePro_at_mx_ru>
Дата: Fri 26 Nov 2004 - 00:30:03 MSK

> > 1. Да в Account defaults разрешён всем.
> > 2. Да, разрешено.
> > 3. Ключ введён.
> > 4. Вот по поводу правильности...думаю нет...ибо говорит что истекает
> > 01-01-1900 00:00:00...только что это заметил.

^^^^^^^^^^^^^^^^^^^^^^^^

  У меня тоже. Не к добру это.

> > 5. Imap Log ничего вразумительного не говорит
> > 12:25:28.04 5 IMAP connection request from [192.168.0.52:2528],
> > socket=17
> > 12:25:28.04 4 IMAP-00027([192.168.0.52]) got connection on
> > [192.168.0.2:143]
> > 12:25:28.04 5 IMAP-00027([192.168.0.52]) out: * OK CommuniGate Pro IMAP
> > Server 4.2.6 at mail.domain.ru ready\r\n
> > 12:25:28.06 3 IMAP-00027([192.168.0.52]) read failed. Error
> > Code=connection closed by peer
> > 12:25:28.06 4 IMAP-00027([192.168.0.52]) closing connection
> > 12:25:28.06 4 IMAP-00027([192.168.0.52]) releasing stream
> > Лог клиента я уже отсылал.
> > 6.Да
> > 7.Можно поподробнее, машина-обычный член домена Active Directory.
> > Думаю проблема всё-таки с неправильно сгенеренным ключом.
>
> До ключа там дело не доходит. На Windows Kerberos надо как-то включить. Типа
> kinit или что-то вроде того.

  Нету kinit на windows. Оно там всегда включено (если работаем в домене).

  У меня есть более интересный лог:

00:13:50.54 5 IMAP connection request from [192.168.13.106:12043], socket=1220
00:13:50.54 4 IMAP-00008([192.168.13.106]) got connection on [192.168.13.106:143]
00:13:50.54 5 IMAP-00008([192.168.13.106]) out: * OK CommuniGate Pro IMAP Server 4.2.6 at w2k3.w2003.domain ready\r\n
00:13:50.56 5 IMAP-00008([192.168.13.106]) inp: 00000001 AUTHENTICATE GSSAPI YIIEkAYJKoZIhvcSAQICAQBuggR/MIIEe6ADAgEFoQMCAQ6iBwMFACAAAACjggOjYYIDnzCCA5ugAwIBBaEVGxNXMjAwMy5KQU0uWkVOT04uTkVUoiswKaADAgECoSIwIBsEaW1hcBsYdzJrMy53MjAwMy5qYW0uemVub24ubmV0o4IDTjCCA0qgAwIBA6EDAgEDooIDPASCAzi/hGicahv4NChIgKm
00:13:50.56 4 IMAP-00008([192.168.13.106]) SASL(GSSAPI) ini: 60 82 04 90 06 09 2A 86 48 86 F7 12 01 02 02 01 00 6E 82 04 7F 30 82 04 7B A0 03 02 01 05 A1 03 02 01 0E A2 07 03 05 00 20 00 00 00 A3 82 03 A3 61 82 03 9F 30 82 03 9B A0 03 02 01 05 A1 15 1B 13 57 32 30 30 33 2E 4A 41 4D 2E 5A 45 4E 4F
00:13:50.56 4 IMAP-00008([192.168.13.106]) SASL-1(GSSAPI) out: 60 68 06 09 2A 86 48 86 F7 12 01 02 02 02 00 6F 59 30 57 A0 03 02 01 05 A1 03 02 01 0F A2 4B 30 49 A0 03 02 01 03 A2 42 04 40 A4 03 3B C4 D0 D7 9F D4 4B F3 C0 51 0E CF 9A E6 D7 AF F0 CC 9D A7 70 03 F6 0A 4E EB E2 55 5A 94 57 ED 36 91 08
00:13:50.56 5 IMAP-00008([192.168.13.106]) out: + YGgGCSqGSIb3EgECAgIAb1kwV6ADAgEFoQMCAQ+iSzBJoAMCAQOiQgRApAM7xNDXn9RL88BRDs+a5tev8Mydp3AD9gpO6+JVWpRX7TaRCCNCWKj4SPU4XvFoVLRB+XRmkg3Byp7eB30aTQ==\r\n
00:13:50.56 5 IMAP-00008([192.168.13.106]) inp: 
00:13:50.56 4 IMAP-00008([192.168.13.106]) SASL-1(GSSAPI) inp:
00:13:50.56 4 IMAP-00008([192.168.13.106]) SASL-2(GSSAPI) out: 60 33 06 09 2A 86 48 86 F7 12 01 02 02 02 01 00 00 FF FF FF FF A0 00 9D 49 0D 53 27 E5 20 0A B5 42 D9 C2 02 C7 6B 77 56 36 41 44 41 67 01 00 40 00 04 04 04 04
00:13:50.56 5 IMAP-00008([192.168.13.106]) out: + YDMGCSqGSIb3EgECAgIBAAD/////oACdSQ1TJ+UgCrVC2cICx2t3VjZBREFnAQBAAAQEBAQ=\r\n
00:13:50.56 5 IMAP-00008([192.168.13.106]) inp: YDMGCSqGSIb3EgECAgIBAAAAAP//tRodz/FHSAs7i6x7f1M9Ia3XsDehQixTYLWkWw==
00:13:50.56 4 IMAP-00008([192.168.13.106]) SASL-2(GSSAPI) inp: 60 33 06 09 2A 86 48 86 F7 12 01 02 02 02 01 00 00 00 00 FF FF B5 1A 1D CF F1 47 48 0B 3B 8B AC 7B 7F 53 3D 21 AD D7 B0 37 A1 42 2C 53 60 B5 A4 5B
00:13:50.56 5 IMAP-00008([192.168.13.106]) out: 00000001 NO failed to verify Kerberos data\r\n
00:13:50.56 3 IMAP-00008([192.168.13.106]) read failed. Error Code=connection closed by peer
00:13:50.56 4 IMAP-00008([192.168.13.106]) closing connection
00:13:50.56 4 IMAP-00008([192.168.13.106]) releasing stream


   keytab делал вот так:

KTPASS -princ imap/w2k3.w2003.domain@w2003.domain -mapuser cgp -pass *** -kvno 3 -out cgp-host.tab

  Пока не поставил правильную версию -kvno было еще хуже (Unknown ticket). Однако в логе CGP было указано какую версию оно хочет.   Про kvno - http://mailman.mit.edu/pipermail/kerberos/2004-September/006188.html

Boris. Получено Thu Nov 25 21:30:05 2004

Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:13:19 MSK