Autenticazione su Active Directory (windows 2003)

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Autenticazione su Active Directory (windows 2003)

Marco Bertorello-6
Ciao a tutti,

in azienda avremmo intenzione di adottare endian firewall come soluzione
alternativa a MS ISA server, per alcuni clienti.

Da alcune prove effettuate, però (sia con la release stabile che con
quella in beta) ci risulta impossibile effettuare la join al dominio.

Con la release stabile, sembra che la join sia stata fatta correttamente
e i log di samba non dicono molto, ma poi non riesco a vedere la lista
dei gruppi che ho sulla struttura active directory, ma solo
"Administrators" e "users".

Con la release beta, la join non riesce e nei log di samba trovo
riferimenti all'impossibilità di contattare il server KDC (che dovrebbe
essere il domain controller impostato come PDC).
Sembra che il problema sia dovuto all'impossibiltà di risolvere il
record SRV _ldap._tcp.dc._msdcs.NOME.DOMINIO.

Su endian firewall non sono disponibili i comandi host e nslookup,
quindi mi risulta impossibile verificare che il record SRV sia
risolvibile da quella macchina, ma da un'altra macchina con
caratteristiche simili (a livello di networking), il record è
correttamente risolvibile e viene risolto nei 3 domain controller della
nostra struttura.

Ho controllato più volte la knoledge base e googlato parecchio, ma senza
fortuna. Nel caso pensiate sia dovuto ad una mancata sincronizzazione
dell'ora, ho provveduto a far sincronizzare l'endian firewall con il DC,
inoltre ho inserito i vari DC nel file hosts di endian in modo che siano
correttamente raggiungibili via nome host.

Suggerimenti?

Grazie mille per l'aiuto

--
Marco Bertorello
System Administrator
http://www.acktel.com


-------------------------------------------------------------------------
This SF.net email is sponsored by: Splunk Inc.
Still grepping through log files to find problems?  Stop.
Now Search log events and configuration files using AJAX and a browser.
Download your FREE copy of Splunk now >> http://get.splunk.com/
_______________________________________________
Efw-italia mailing list
[hidden email]
https://lists.sourceforge.net/lists/listinfo/efw-italia
Reply | Threaded
Open this post in threaded view
|

Re: Autenticazione su Active Directory (windows 2003)

Peter Warasin-2
Ciao Marco

Marco Bertorello wrote:
> Con la release beta, la join non riesce e nei log di samba trovo
> riferimenti all'impossibilità di contattare il server KDC (che dovrebbe
> essere il domain controller impostato come PDC).
> Sembra che il problema sia dovuto all'impossibiltà di risolvere il
> record SRV _ldap._tcp.dc._msdcs.NOME.DOMINIO.

Ah,. fin'adesso é ancora necessario impostare il PDC come nameserver
sul uplink del firewall.
Se no, effettivamente non riesce a risolvere i record SRV che serve a AD

peter

--
:: e n d i a n
:: open source - open minds

:: peter warasin
:: http://www.endian.com   :: [hidden email]

-------------------------------------------------------------------------
This SF.net email is sponsored by: Splunk Inc.
Still grepping through log files to find problems?  Stop.
Now Search log events and configuration files using AJAX and a browser.
Download your FREE copy of Splunk now >> http://get.splunk.com/
_______________________________________________
Efw-italia mailing list
[hidden email]
https://lists.sourceforge.net/lists/listinfo/efw-italia

peter.vcf (292 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Autenticazione su Active Directory (windows 2003)

Marco Bertorello-6
Peter Warasin ha scritto:

> Ciao Marco
>
> Marco Bertorello wrote:
>  
>> Con la release beta, la join non riesce e nei log di samba trovo
>> riferimenti all'impossibilità di contattare il server KDC (che dovrebbe
>> essere il domain controller impostato come PDC).
>> Sembra che il problema sia dovuto all'impossibiltà di risolvere il
>> record SRV _ldap._tcp.dc._msdcs.NOME.DOMINIO.
>>    
>
> Ah,. fin'adesso é ancora necessario impostare il PDC come nameserver
> sul uplink del firewall.
> Se no, effettivamente non riesce a risolvere i record SRV che serve a AD
>  
Grazie per la tempestiva risposta Peter,

ho effettuato la prova con la versione stabile, purtroppo senza
successo. Ecco uno stralcio dei log di samba:

 libads/dns.c:ads_dns_lookup_srv(260)  ads_dns_lookup_srv:
    Failed to resolve _ldap._tcp.dc._msdcs.lanservice.local
    (Success) : 98 Time(s)
 libads/kerberos.c:ads_kinit_password(208)  
    kerberos_kinit_password EFW-1194978462$@LANSERVICE.LOCAL
    failed: Cannot find KDC for requested realm : 97 Time(s)
 libads/kerberos.c:ads_kinit_password(208)  
    kerberos_kinit_password EFW-1194978462$@LANSERVICE.LOCAL
    failed: Cannot resolve network address for KDC in requested realm : 1
    Time(s)
 libsmb/cliconnect.c:cli_session_setup_spnego(785)  Kinit
    failed: Cannot contact any KDC for requested realm : 4 Time(s)
 libsmb/cliconnect.c:cli_session_setup_spnego(785)  Kinit
    failed: KDC reply did not match expectations : 22 Time(s)
 nsswitch/winbindd_ads.c:ads_cached_connection(114)  
    ads_connect for domain LANSERVICE failed: Cannot find KDC for
    requested realm : 97 Time(s)
 nsswitch/winbindd_ads.c:ads_cached_connection(114)  
    ads_connect for domain LANSERVICE failed: Cannot resolve network
    address for KDC in requested realm : 1 Time(s)


Ora, io sono sicuro che non vi sono motivi di networking per cui lui non riesca a fare questa quella query (da una macchina sempre linux, nella stessa configurazione di rete, riesco). D'altra parte immagino che non vi siano motivi "applicativi" o di sistema operativo (immagino che vi siano configurazioni funzionati e testate).
Il KDC è lo stesso domain controller che inserisco come server DNS e che specifico nella sezione autenticazione usando come backend windows.

Magari sbaglio qualcosa io, ma nella documentazione non ho trovato una guida "passo-passo" per la configurazione usando l'autenticazione su active directory, eventualmente me ne sapresti indicare uno?

Grazie ancora,

ciao

--
Marco Bertorello
System Administrator
http://www.acktel.com



-------------------------------------------------------------------------
This SF.net email is sponsored by: Splunk Inc.
Still grepping through log files to find problems?  Stop.
Now Search log events and configuration files using AJAX and a browser.
Download your FREE copy of Splunk now >> http://get.splunk.com/
_______________________________________________
Efw-italia mailing list
[hidden email]
https://lists.sourceforge.net/lists/listinfo/efw-italia
Reply | Threaded
Open this post in threaded view
|

Re: Autenticazione su Active Directory (windows 2003)

Marzio Negri

Ciao a tutti,

utilizzo Endian Firewall versione 2.1, e molte volte rm capita se il server di posta interno non riesce a scaricare le email.

Per risolvere il problema devo disabilitare la scansione sul protocollo pop3 di endian, oppure a  volte basta aggiornare l'antivirus manualmente su endian.

In casi estremi bisogna riavviare il firewall e poi riparte senza problemi.

Capita a qualcuno un problema simile?

Come posso risolvere?

Garzie

Marzio



-------------------------------------------------------------------------
SF.Net email is sponsored by: The Future of Linux Business White Paper
from Novell.  From the desktop to the data center, Linux is going
mainstream.  Let it simplify your IT future.
http://altfarm.mediaplex.com/ad/ck/8857-50307-18918-4
_______________________________________________
Efw-italia mailing list
[hidden email]
https://lists.sourceforge.net/lists/listinfo/efw-italia