Jump to content

batman00

Members
  • Gesamte Inhalte

    89
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von batman00

  1. Hallo, ich hoffe jemand kann mir helfen. Wir haben eine neue Firewall einführen müssen und da SSL VPN noch nicht richtig funktioniert müssen wir solange auf L2TP ausweichen. Eigentlich scharmant, dass ich unter Win 7 bei den Notebooks einfach eine neuer Verbindung einrichten kann die Daten einklopfen und der User es dann einfach bei den Verbindungen auswählen und sich einwählen kann. Soweit alle gut. Jetzt ist der User zwar im Netzwerk kann Server anpingen Citrix usw. nutzen - allerdings sobald er sich an einer Nertzwerkfreigabe anmelden möchte wird dieses abgelehnt. Und zwar nutzt der Rechner dann nicht die eigentlichen Domänenanmeldedaten - wie er eigentlich am Notebook angemeldet ist - sondern die Dial IN Benutzerdaten der L2TP Verbindung. Wie kann ich das ändern? Stelle ich witzigerweise auf der Firewall den Usernamen + Passwort den Domänendaten gleich - funktioniert es. Das will ich aber nicht. Als Protokoll hab ich jetzt CHAP und MS Chap V2 getestet. Überall nimmer er in der Domäne die L2TP Dial In Daten....
  2. batman00

    Squid mit NTLM

    O.K. Vielen Dank und vielen Dank für die SUPER UNTERSTÜTZUNG! Gleich mal alles als pdf abgespeichert und sicher abgelegt :-) Danke!!!!!!!!!!!!
  3. batman00

    Squid mit NTLM

    Mega Geil! Also in etc/group stand nur: squid:!:1000: hab ich ersetzt durch squid:!:1000:squid wie du geschrieben hast. Ebenso stand in der nsswitch folgendes: passwd: compact group: compact Hab ich ausgeklammert und deine Zeilen eingefügt. Kompletten Rechner neu gestartet.... Jetzt geht. Nehm ich meinen User aus der Gruppe raus kommt gleich die Abfrage - da ich ja dann nicht berechtigt bin. VVVVVIIIIIIIIEEEEEEEEEELLLLLLLLEEEEEEEEEENNNNNNNN DANK! Vielleicht noch eine Frage - dann ist das Thema erledigt. Ich habe 2 Gruppen. Eine kann nur bestimmte Seiten ansurfen - die andere kann alles. Wie realisiere ich das im Squid? Hab schon gesehen, dass die einfach die Standardregel für die ca. 15 offenen WEbsites für alle freischalten - den reste Sperren - außer für die Gruppe die alles kann....
  4. batman00

    Squid mit NTLM

    Sorry. Leider immer noch das gleiche. Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.] [2010/05/06 11:03:20, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request) NTLMSSP BH: NT_STATUS_ACCESS_DENIED 2010/05/06 11:03:20| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED' Hab deine Angaben an der Console durchgeführt. Kam zwar keine bestätigung aber gemekert hat er auch nicht...
  5. batman00

    Squid mit NTLM

    O.K. Tatsache. Das wars wirklich. Jetzt splittet er es auch richtig - allerdings kommt jetzt eine andere Fehlermeldung: Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.] [2010/05/06 10:35:45, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request) NTLMSSP BH: NT_STATUS_ACCESS_DENIED 2010/05/06 10:35:45| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'
  6. batman00

    Squid mit NTLM

    Gleiches Problem: Could not parse MEINEDOMÄNETestSquid into seperate domain/name parts! Ich denke der hat irgendwie ein Problem zwischen der Domäne und der Gruppe aufzulösen
  7. batman00

    Squid mit NTLM

    Ich dreh durch. Immer noch: [2010/05/03 15:58:43, 0] utils/ntlm_auth.c:263(get_require_membership_sid) Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts!
  8. batman00

    Squid mit NTLM

    Also ich hab jetzt mal die Basic Authentifizierung auskommentiert und die Anführungsstriche weggemacht - alles neu gestartet kommt immer noch das gleiche: Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts! Meinedomäne\Internet-Erweitert habe ich natürlich nur hier und nicht in der config ;-) Hier meine krb5.conf: [libdefaults] default_realm = MEINEDOMÄNE.COM [realms] MEINEDOMÄNE.COM = { kdc = MEINDCWin2003.MEINEDOMÄNE.COM default_domain = MEINEDOMÄNE.COM kpasswd_server = meindcwin2003.MEINEDOMÄNE.com admin_server = meindcwin2003.MEINEDOMÄNE.com } [domain_relm] .meinedomäne.com = MEINEDOMÄNE.COM [logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = true retain_after_close = false minimum_uid = 1 } ------------------------------------------------------------ Und hier die smb.conf: # smb.conf is the main Samba configuration file. You find a full commented # version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the # samba-doc package is installed. # Date: 2010-04-13 [global] workgroup = MEINEDOMÄNE passdb backend = tdbsam printing = cups printcap name = cups printcap cache time = 750 cups options = raw map to guest = Bad User logon path = \\%L\profiles\.msprofile logon home = \\%L\%U\.9xprofile logon drive = P: usershare allow guests = No idmap gid = 10000-20000 security = ADS winbind use default domain = yes add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %*** domain logons = No domain master = No wins server =MEINDCWIN2003.MEINEDOMÄNE.COM wins support = No realm = MEINEDOMÄNE.COM template homedir = /home/%D/%U winbind refresh tickets = yes [homes] comment = Home Directories valid users = %S, %D%w%S browseable = No read only = No inherit acls = Yes [profiles] comment = Network Profiles Service path = %H read only = No store dos attributes = Yes create mask = 0600 directory mask = 0700 [users] comment = All users path = /home read only = No inherit acls = Yes veto files = /aquota.user/groups/shares/ [groups] comment = All groups path = /home/groups read only = No inherit acls = Yes [printers] comment = All Printers path = /var/tmp printable = Yes create mask = 0600 browseable = No [print$] comment = Printer Drivers path = /var/lib/samba/drivers write list = @ntadmin root force group = ntadmin create mask = 0664 directory mask = 0775 ## Share disabled by YaST # [netlogon]
  9. batman00

    Squid mit NTLM

    Leute ich bin total am durchdrehen! Also Suse neu installiert. Dann Squid yast2-squid samba-winbind krb5 krb5-client installiert krb.conf editiert smb.conf editiert Rechner in Domäne aufgenommen wbinfo -t gibt die Meldung: checking the trust secret via RPC calls succeeded wbinfo -g bringt alle Gruppen der Domäne (auch die die ich brauche) Dann in squid.conf folgendes eingetragen: auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MEINEDOMÄNE\internet-erweitert" auth_param ntlm children 5 auth_param ntlm max_challenge_reuses 0 auth_param ntlm max_challenge_lifetime 2 minutes auth_param ntlm keep_alive on auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MEINEDOMÄNE\internet-erweitert" auth_param basic children 10 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 2 hours auth_param basic casesensitive off authenticate_ttl 1 hour authenticate_cache_garbage_interval 10 minutes Starte ich Squid - sieht das Log sauber aus und ich kann surfen. Tu ich allerdings in die Squid.conf folgendes hinzu: acl ntlm_users proxy_auth REQUIRED http_access allow ntlm_users http_access deny all kommt sofort beim starten vom IE im Log folgendes: [2010/04/28 15:20:46, 0] utils/ntlm_auth.c:263(get_require_membership_sid) Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts! Wobei ich mir bei der Zeile acl ntlm_users proxy_auth REQUIRED nicht sicher bin. Ich will ja eigentlich prüfen ob der User in der Angegebenen Gruppe vorhanden ist.
  10. batman00

    Squid mit NTLM

    Hab den ganzen Dinger jetzt paltt gemacht und zieh ihn neu hoch. Neues Spiel neue glück. Ne hab schon gemerkt, dass man mit Squid 2.5 mehr support hat als mit 3. Werds dann auch mit 2.5 versuchen und meld mich dann wieder.
  11. batman00

    Squid mit NTLM

    Muss ja NTML sein - da ich den Rechner ja in die Domäne aufnehmen konnte und die Gruppen der Domäne abfragen kann, oder? Bzw. Ich hab jetzt nix in den Lokalen Sicherheitseinstellungen des Win 2003 R2 von wegen NTLM 2 finden können. Gibts das nicht erst seit 2008????
  12. batman00

    Squid mit NTLM

    Win 2003 R2. Mit 2008 R2 ging ja gar nix :-)
  13. batman00

    Squid mit NTLM

    So, ich denke eine kleinigkeit Fehtl noch. Sobald ich den IE öffne kommt ein Fenster mit Benutzername / Passwort abfragen. Im Eventlog vom Squid steht dann folgendes: 2010/04/26 15:42:36, 0] utils/ntlm_auth.c:557(winbind_pw_check) Login for user [MEINEDOMÄNE]\[MEINBENUTZERNAME]@[MEINRECHNERNAME] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.] [2010/04/26 15:42:36, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request) NTLMSSP BH: NT_STATUS_ACCESS_DENIED 2010/04/26 15:42:36| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED' Finde zu dem Thema nur Fragen im Internet ohne definitive Antowort.
  14. batman00

    Squid mit NTLM

    Also wbinfo -t schlug erst mal fehl. Hab dann mal direkt an dem Rechner ein neustart initiiert - zwar schon 20 mal per ssh gemacht aber jetzt bringt wbinf -t wenigstens wieder: wbinfo -t checking the trust secret via RPC calls succeeded ebenso bekomme ich mit wbinfo -g alle Domänengruppen angezeigt. Also. Bin da jetzt weiter. Nur das das ganze unter Linux SUSE 11.2 und Squid 3 in folgendem Verzeichnis liegt: /usr/bin/ntlm_auth Mach jetzt mal weiter. KOmmt nämlich noch eine Passwortabfrage... Muss mal paar Sachen checken. Meld mich nachher nochmal.
  15. batman00

    Squid mit NTLM

    Hab den Eintrag "erweitert". Hatte das schon drin nur das am Schluss "require-membership-of=DOMÄNE/GRUPPENNAME" nicht. Hab den Eintrag also hinzugefügt und wenn ich nun Squid über Webmin starten möchte kommt gleich die Meldung: 2010/04/26 09:12:04| cache_cf.cc(346) squid.conf:207 unrecognized: 'require-membership-of=FIRMENNAME/INTERNETGRUPPE'
  16. batman00

    Squid mit NTLM

    Hallo Leute. Ich bastel schon seit 2 Tagen an unserer Suse Büxe rum. Habe dort Squid installiert. LDAP mit Kerberos tut auch. Ich kann mit per SSH alle Netzwerkgruppen der AD anzeigen lassen. So weit so gut. Aber wir bekomme ich das jetzt hin - dass ich diverse AD Gruppen berechtige den Proxy zu nutzen und den Rest nicht? Ich finde da einfach absolut nichts im Netz. Wichtig wäre mit - dass es NTLM ist und nicht LDAP - da ich den Usern nicht zumuten möchte, dass die sich jedes mal in einem Extra Fenster anmelden müssen.
  17. Also die TeraSTation läuft wieder - dankd em Tip das Computerkonto aus der AD zu entfernen und wieder reinzunehmen. Die WD NAS geht noch nicht. Obwohl ich auf der Freigabe mein Domänenkonto hinzufüge kommt eine Benutzername / PAsswortabfrage - und wenn ich dann meien Daten eingebe steht in dem WIndows 7 Fenster - dass das Netzwerkkenwort falsch ist. Zum DNS. Meiner Meinung nach läuft DNS. Kann zumindest nicht gegenteiliges feststellen. DNS Server ist der neu Win 2008 R2 Server.
  18. Netz genauer beschreiben... Ich weis nicht wo ich anfangen soll. Ich versteh es noch nicht. Wie gesagt in Hauptstelle einen neuen Win 2008 R2 als DC und alle FSMO Rollen gegeben. Seit dem funktioniert die Authentifizierung von einigen Sachen nicht richtig. NAS System zum Beispiel. Ebenso die AUthentifizierung über ein Webinterface an einem Drittherstellerprogramm. Alle Server Win 2003 und 2003 R2. Was brauchst noch? Wüsste jetzt was ihr für INfos braucht. Hab keine Ahnung wo ich ansetzen sollte.
  19. Leider noch auf Win 2000 da wir in einer Außenstelle noch 1 DC 2000 haben. Wenn ich den NAS Geräten sage - dass der DC ein 2003 er ist - dann flutscht die Sache wieder. Wenn ich es wieder auf den 2008er umstelle gehts wieder nicht. Ebenso habe ich gesehen, dass der 2008er Server auch den Port 389 abweist - obwohl die Firewall deaktiviert ist.
  20. Hallo, ich hab gestern einen ersten Win 2008 R2 in unser Win 2003 Netzwerk hochgezogen. Nach dem ersten Tag als DC hab ich ihm dann allle FSMO Rollen gegeben und ist jetzt der "wichtige Junge" face-smile Leider hab ich seit heut Mitag Probelme. Erst hat Exchange 2003 abgegakt - das wohl keine DC's der Domäne erreichbar sind. Das geht jetzt wieder. Allerdings hab ich von einigen Programm - unter anderem ein GFI Programm Authentigzierungsprobleme. Ich muss mich jetzt von dem Server per Webinterface in einem Logonfenster anmelden- als ob NTLM nicht mehr funktionieren würde. Ebenso gibts dann noch bei anderen Programmen Authentifizerungsprobleme. Ebenso kann ich mich auf den NAS Geräten nicht mehr anmelden. Da kommt eine Meldung: Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifziert hat, Verbindung aufnehmen können. Ich habe jetzt mal die Firewall auf dem Win 2008 R2 Server komplett deaktiivert (nutzt die eigentlich jemand von euch?). Aber ich seh im Eventlog unter sichherit immer Veroworfene Pakete welche von Servern kommen an den Win 2008 R2 Server mit 389. Das ist doch LDAP?!? Das würde auch meine Probleme erklären. Aber wie deaktiviere ich diese Windows Filterplattform? Bzw. was muss ich einstellen dass die Authentifizierung wieder get? Komischerweise gehen die Drucker welche per LDAP User im AD suchen ohne Probleme. Alle anderen Server sind Win 2003 oder Win 2003 R2
  21. Überallhin ist immer gut :-) Vielen Dank und schon mal schönes Wochenende.
  22. Habs jetzt hinbekommen. Habe im SMTP Connector bei den Adressräumen unsere Domänen eingetragen. Jetzt mit einem "*" funktionierts. Ist das dann so korrekt eingestellt mit dem *?
  23. Ne, ich hatte bisher keine SMTP Connector. Das lief alles über den Virtuellen Standardtserver SMTP. Also habe ich jetzt einen ersten SMTP Connector eingerichtet. Allerdings kommt es mir vor, als ob der "umgangen" wird und es immer noch über den Virtuellen SMTP läuft.
  24. Hallo. Wir haben eine Aushilfe bekommen, der das Senden in das INternet nicht gestattet werden soll. Also habe ich einen SMTP Connector erstellt (Exchange 2003). Habe dort dann unsere Maildomänen eingetragen und dann die Benutzerin eingetragen bei ablehnen. Habe den RegKey gesetzt und alle Dienste neu gestartet. Userin kann aber immer noch in das Internet verschicken :-( Noch ein Tip?
  25. batman00

    DFS-R Daten weg

    Also habs jetzt hinbekommen. Man muss im Backupexec12d einfach nur die Snapshottechnoligie nutzen dann werden die DFS-R Daten auch mitgesichert :-)
×
×
  • Neu erstellen...