> -----Original Message-----
> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
> Sent: Tuesday, November 07, 2006 8:22 PM
> To: CommuniGate Pro Russian Discussions
> Subject: [CGP] Ещё раз о Kerberos...
>
> Пробую кстановить Kerberos авторизацию.
> Почитал рассылку, сходил сюда http://unixgeek.nm.ru/krbsetup.html и
> сюда
> http://pazan.mine.nu/index.php?name=PNphpBB2&file=viewtopic&t=8&highlight=
> kerberos
> вроде всё просто. У людей работает. А у меня почемуто не хочет.
> Делаю так как рекомендовано:
> Мой тестовый домен: DOMAIN.LOCAL
> Почтовый ност: MAIL.DOMAIN.LOCAL
> Cоздал в WIN 2003 AD юзера "cgatepro" с паролем "password", разрешил
> DES.
> Создаю keytab:
> ktpass -princ imap/mail.domain.local@DOMAIN.LOCAL -mapuser cgatepro
> -pass password -out c:\tmp\keytab.dat -crypto DES-CBC-MD5 -ptype
> KRB5_NT_PRINCIPAL -kvno 2
А какой kvno стоит в переменной msDS-KeyVersionNumber у юзера cgatepro? Ещё там с именами доменов какая-то хитрость есть. Помню, что если разобраться как работает Kerberos, то всё получается легко и просто.
>
> Keytab импортирую в CGP:
> ---
> DAMAIN.LOCAL (3)imap/mail.domain.local 01-01-1900 00:00:00 2
> DES-MD5
> ---
>
> "-kvno 2" подобрал опытным путем. С другими значениями в kvno на
> клиенте светит "Unknown Kerberos ticket". А со значением "-kvno 2" на
> клиенте светит: "failed to verify Kerberos data".
> Вот что в логах на CGP v4.3.10(WIN32):
> ---
> 19:00:09.57 4 IMAP-00014([10.0.0.7]) got connection on [10.0.0.1:143]
> 19:00:09.57 5 IMAP-00014([10.0.0.7]) out: * OK IMAP Server at
> domain.local ready\r\n
> 19:00:09.57 5 IMAP-00014([10.0.0.7]) inp: 00000001 AUTHENTICATE GSSAPI
> YIIEjgYJKoZIhvcSAQICAQBuggR9MIIEeaADAgEFoQMCAQ6iBwMFACAAAACjggOpYYIDpTCCA6
> GgAwIBBaEMGwpESUVYLkxPQ0FMoiIwIKADAgECoRkwFxsEaW1hcBsPbWFpbC5kaWV4LmxvY2Fs
> o4IDZjCCA2KgAwIBA6EDAgECooIDVASCA1AXr14ETG+8FXA5VkyD8QhLJfGneQ82J9OHho525k
> Fgl+e8C
> 19:00:09.57 4 IMAP-00014([10.0.0.7]) SASL(GSSAPI) ini: 60 82 04 8E 06 09
> 2A 86 48 86 F7 12 01 02 02 01 00 6E 82 04 7D 30 82 04 79 A0 03 02 01 05
> A1 03 02 01 0E A2 07 03 05 00 20 00 00 00 A3 82 03 A9 61 82 03 A5 30 82
> 03 A1 A0 03 02 01 05 A1 0C 1B 0A 44 49 45 58 2E 4C 4F 43 41 4C A2 22 30
> 20 A0 03
> 19:00:09.57 5 IMAP-00014([10.0.0.7]) out: 00000001 NO failed to verify
> Kerberos data\r\n
> 19:00:09.57 3 IMAP-00014([10.0.0.7]) read failed. Error Code=connection
> closed by peer
> 19:00:09.57 4 IMAP-00014([10.0.0.7]) closing connection
> 19:00:09.57 4 IMAP-00014([10.0.0.7]) releasing stream
> ---
> У пользователя включено: Kerberos Login Allow to Use: default(YES).
> Пользователь прописан с одинаковыми именами-паролями и в AD и в CGP и
> залогинен в Windows-AD-домен. MAPI-конектор используется последний.
>
> Что можно сделать, чтобы заработала Kerberos авторизация? Где я
> ошибся?
>
> --
> (c)ALex
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
> Архив списка: http://mx.demos.su/lists/cgp-russian/
>
>
Получено Tue Nov 07 19:30:28 2006
Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:15:15 MSK