Stanislav Nadelyaev пишет:
>> -----Original Message-----
>> From: CommuniGate Pro Russian Discussions [mailto:CGatePro@mx.ru]
>> Sent: Tuesday, November 07, 2006 8:22 PM
>> To: CommuniGate Pro Russian Discussions
>> Subject: [CGP] Ещё раз о Kerberos...
>>
>> Пробую кстановить Kerberos авторизацию.
>> Почитал рассылку, сходил сюда http://unixgeek.nm.ru/krbsetup.html и
>> сюда
>> http://pazan.mine.nu/index.php?name=PNphpBB2&file=viewtopic&t=8&highlight=
>> kerberos
>> вроде всё просто. У людей работает. А у меня почемуто не хочет.
>> Делаю так как рекомендовано:
>> Мой тестовый домен: DOMAIN.LOCAL
>> Почтовый ност: MAIL.DOMAIN.LOCAL
>> Cоздал в WIN 2003 AD юзера "cgatepro" с паролем "password", разрешил
>> DES.
>> Создаю keytab:
>> ktpass -princ imap/mail.domain.local@DOMAIN.LOCAL -mapuser cgatepro
>> -pass password -out c:\tmp\keytab.dat -crypto DES-CBC-MD5 -ptype
>> KRB5_NT_PRINCIPAL -kvno 2
> > А какой kvno стоит в переменной msDS-KeyVersionNumber у юзера cgatepro? > Ещё там с именами доменов какая-то хитрость есть. Помню, что если > разобраться как работает Kerberos, то всё получается легко и просто. msDS-KeyVersionNumber у пользователя "cgatepro" стоит значение == 2. Помануалам надо писАть kvno == msDS-KeyVersionNumber + 1, т.е. "3". Но значение kvno == 3 на клиенте светит "Unknown Kerberos ticket". Я импортровал несколько одновременно keytab'ов с различными значениями "kvno" от "0" до "9". Но на клиенте упорно светит "failed to verify Kerberos data".
>> Keytab импортирую в CGP:
>> ---
>> DAMAIN.LOCAL (3)imap/mail.domain.local 01-01-1900 00:00:00 2
>> DES-MD5
>> ---
>>
>> "-kvno 2" подобрал опытным путем. С другими значениями в kvno на
>> клиенте светит "Unknown Kerberos ticket". А со значением "-kvno 2" на
>> клиенте светит: "failed to verify Kerberos data".
>> Вот что в логах на CGP v4.3.10(WIN32):
>> ---
>> 19:00:09.57 4 IMAP-00014([10.0.0.7]) got connection on [10.0.0.1:143]
>> 19:00:09.57 5 IMAP-00014([10.0.0.7]) out: * OK IMAP Server at
>> domain.local ready\r\n
>> 19:00:09.57 5 IMAP-00014([10.0.0.7]) inp: 00000001 AUTHENTICATE GSSAPI
>> YIIEjgYJKoZIhvcSAQICAQBuggR9MIIEeaADAgEFoQMCAQ6iBwMFACAAAACjggOpYYIDpTCCA6
>> GgAwIBBaEMGwpESUVYLkxPQ0FMoiIwIKADAgECoRkwFxsEaW1hcBsPbWFpbC5kaWV4LmxvY2Fs
>> o4IDZjCCA2KgAwIBA6EDAgECooIDVASCA1AXr14ETG+8FXA5VkyD8QhLJfGneQ82J9OHho525k
>> Fgl+e8C
>> 19:00:09.57 4 IMAP-00014([10.0.0.7]) SASL(GSSAPI) ini: 60 82 04 8E 06 09
>> 2A 86 48 86 F7 12 01 02 02 01 00 6E 82 04 7D 30 82 04 79 A0 03 02 01 05
>> A1 03 02 01 0E A2 07 03 05 00 20 00 00 00 A3 82 03 A9 61 82 03 A5 30 82
>> 03 A1 A0 03 02 01 05 A1 0C 1B 0A 44 49 45 58 2E 4C 4F 43 41 4C A2 22 30
>> 20 A0 03
>> 19:00:09.57 5 IMAP-00014([10.0.0.7]) out: 00000001 NO failed to verify
>> Kerberos data\r\n
>> 19:00:09.57 3 IMAP-00014([10.0.0.7]) read failed. Error Code=connection
>> closed by peer
>> 19:00:09.57 4 IMAP-00014([10.0.0.7]) closing connection
>> 19:00:09.57 4 IMAP-00014([10.0.0.7]) releasing stream
>> ---
>> У пользователя включено: Kerberos Login Allow to Use: default(YES).
>> Пользователь прописан с одинаковыми именами-паролями и в AD и в CGP и
>> залогинен в Windows-AD-домен. MAPI-конектор используется последний.
>>
>> Что можно сделать, чтобы заработала Kerberos авторизация? Где я
>> ошибся?
-- (c)ALexПолучено Wed Nov 08 06:51:51 2006
Этот архив был сгенерирован hypermail 2.1.8 : Wed 08 Nov 2006 - 10:13:02 MSK