batman00

Hallo, ich hoffe jemand kann mir helfen. Wir haben eine neue Firewall einführen müssen und da SSL VPN noch nicht richtig funktioniert müssen wir solange auf L2TP ausweichen.

 

Eigentlich scharmant, dass ich unter Win 7 bei den Notebooks einfach eine neuer Verbindung einrichten kann die Daten einklopfen und der User es dann einfach bei den Verbindungen auswählen und sich einwählen kann.

 

Soweit alle gut. Jetzt ist der User zwar im Netzwerk kann Server anpingen Citrix usw. nutzen - allerdings sobald er sich an einer Nertzwerkfreigabe anmelden möchte wird dieses abgelehnt. Und zwar nutzt der Rechner dann nicht die eigentlichen Domänenanmeldedaten - wie er eigentlich am Notebook angemeldet ist - sondern die Dial IN Benutzerdaten der L2TP Verbindung.

 

Wie kann ich das ändern? Stelle ich witzigerweise auf der Firewall den Usernamen + Passwort den Domänendaten gleich - funktioniert es. Das will ich aber nicht.

 

Als Protokoll hab ich jetzt CHAP und MS Chap V2 getestet. Überall nimmer er in der Domäne die L2TP Dial In Daten....

O.K. Vielen Dank und vielen Dank für die SUPER UNTERSTÜTZUNG!

 

Gleich mal alles als pdf abgespeichert und sicher abgelegt :-)

 

Danke!!!!!!!!!!!!

Mega Geil!

 

Also in etc/group stand nur:

 

squid:!:1000:

 

hab ich ersetzt durch

 

squid:!:1000:squid wie du geschrieben hast. Ebenso stand in der nsswitch folgendes:

 

passwd: compact

group: compact

 

Hab ich ausgeklammert und deine Zeilen eingefügt.

 

Kompletten Rechner neu gestartet....

 

Jetzt geht. Nehm ich meinen User aus der Gruppe raus kommt gleich die Abfrage - da ich ja dann nicht berechtigt bin.

 

VVVVVIIIIIIIIEEEEEEEEEELLLLLLLLEEEEEEEEEENNNNNNNN DANK!

 

Vielleicht noch eine Frage - dann ist das Thema erledigt.

 

Ich habe 2 Gruppen.

Eine kann nur bestimmte Seiten ansurfen - die andere kann alles.

 

Wie realisiere ich das im Squid? Hab schon gesehen, dass die einfach die Standardregel für die ca. 15 offenen WEbsites für alle freischalten - den reste Sperren - außer für die Gruppe die alles kann....

Sorry. Leider immer noch das gleiche.

 

Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2010/05/06 11:03:20, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request)

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2010/05/06 11:03:20| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

 

Hab deine Angaben an der Console durchgeführt. Kam zwar keine bestätigung aber gemekert hat er auch nicht...

O.K. Tatsache. Das wars wirklich.

 

Jetzt splittet er es auch richtig - allerdings kommt jetzt eine andere Fehlermeldung:

 

Login for user [MEINEDOMÄNE]\[MEINUSER]@[MEINRECHNER] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2010/05/06 10:35:45, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request)

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2010/05/06 10:35:45| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

Gleiches Problem: Could not parse MEINEDOMÄNETestSquid into seperate domain/name parts!

 

Ich denke der hat irgendwie ein Problem zwischen der Domäne und der Gruppe aufzulösen

Ich dreh durch. Immer noch:

 

[2010/05/03 15:58:43, 0] utils/ntlm_auth.c:263(get_require_membership_sid)

Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts!

Also ich hab jetzt mal die Basic Authentifizierung auskommentiert und die Anführungsstriche weggemacht - alles neu gestartet kommt immer noch das gleiche:

 

Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts!

 

Meinedomäne\Internet-Erweitert habe ich natürlich nur hier und nicht in der config ;-)

 

Hier meine krb5.conf:

 

[libdefaults]

default_realm = MEINEDOMÄNE.COM

 

[realms]

MEINEDOMÄNE.COM = {

kdc = MEINDCWin2003.MEINEDOMÄNE.COM

default_domain = MEINEDOMÄNE.COM

kpasswd_server = meindcwin2003.MEINEDOMÄNE.com

admin_server = meindcwin2003.MEINEDOMÄNE.com

}

 

 

[domain_relm]

.meinedomäne.com = MEINEDOMÄNE.COM

 

[logging]

kdc = FILE:/var/log/krb5/krb5kdc.log

admin_server = FILE:/var/log/krb5/kadmind.log

default = SYSLOG:NOTICE:DAEMON

 

[appdefaults]

pam = {

ticket_lifetime = 1d

renew_lifetime = 1d

forwardable = true

proxiable = true

retain_after_close = false

minimum_uid = 1

}

 

 

 

 

------------------------------------------------------------

Und hier die smb.conf:

 

# smb.conf is the main Samba configuration file. You find a full commented

# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the

# samba-doc package is installed.

# Date: 2010-04-13

[global]

workgroup = MEINEDOMÄNE

passdb backend = tdbsam

printing = cups

printcap name = cups

printcap cache time = 750

cups options = raw

map to guest = Bad User

logon path = \\%L\profiles\.msprofile

logon home = \\%L\%U\.9xprofile

logon drive = P:

usershare allow guests = No

idmap gid = 10000-20000

security = ADS

winbind use default domain = yes

add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %***

domain logons = No

domain master = No

wins server =MEINDCWIN2003.MEINEDOMÄNE.COM

wins support = No

realm = MEINEDOMÄNE.COM

template homedir = /home/%D/%U

winbind refresh tickets = yes

[homes]

comment = Home Directories

valid users = %S, %D%w%S

browseable = No

read only = No

inherit acls = Yes

[profiles]

comment = Network Profiles Service

path = %H

read only = No

store dos attributes = Yes

create mask = 0600

directory mask = 0700

[users]

comment = All users

path = /home

read only = No

inherit acls = Yes

veto files = /aquota.user/groups/shares/

[groups]

comment = All groups

path = /home/groups

read only = No

inherit acls = Yes

[printers]

comment = All Printers

path = /var/tmp

printable = Yes

create mask = 0600

browseable = No

[print$]

comment = Printer Drivers

path = /var/lib/samba/drivers

write list = @ntadmin root

force group = ntadmin

create mask = 0664

directory mask = 0775

 

## Share disabled by YaST

# [netlogon]

Leute ich bin total am durchdrehen!

 

Also Suse neu installiert.

 

Dann Squid

yast2-squid

samba-winbind

krb5

krb5-client installiert

 

krb.conf editiert

 

smb.conf editiert

 

Rechner in Domäne aufgenommen

 

wbinfo -t gibt die Meldung:

checking the trust secret via RPC calls succeeded

 

wbinfo -g bringt alle Gruppen der Domäne (auch die die ich brauche)

 

Dann in squid.conf folgendes eingetragen:

 

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="MEINEDOMÄNE\internet-erweitert"

auth_param ntlm children 5

auth_param ntlm max_challenge_reuses 0

auth_param ntlm max_challenge_lifetime 2 minutes

auth_param ntlm keep_alive on

 

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="MEINEDOMÄNE\internet-erweitert"

auth_param basic children 10

auth_param basic realm Squid proxy-caching web server

auth_param basic credentialsttl 2 hours

auth_param basic casesensitive off

authenticate_ttl 1 hour

authenticate_cache_garbage_interval 10 minutes

 

 

Starte ich Squid - sieht das Log sauber aus und ich kann surfen.

 

Tu ich allerdings in die Squid.conf folgendes hinzu:

 

acl ntlm_users proxy_auth REQUIRED

http_access allow ntlm_users

http_access deny all

 

 

kommt sofort beim starten vom IE im Log folgendes:

 

[2010/04/28 15:20:46, 0] utils/ntlm_auth.c:263(get_require_membership_sid)

Could not parse MEINEDOMÄNEinternet-erweitert into seperate domain/name parts!

 

Wobei ich mir bei der Zeile acl ntlm_users proxy_auth REQUIRED nicht sicher bin. Ich will ja eigentlich prüfen ob der User in der Angegebenen Gruppe vorhanden ist.

Hab den ganzen Dinger jetzt paltt gemacht und zieh ihn neu hoch. Neues Spiel neue glück. Ne hab schon gemerkt, dass man mit Squid 2.5 mehr support hat als mit 3. Werds dann auch mit 2.5 versuchen und meld mich dann wieder.

Muss ja NTML sein - da ich den Rechner ja in die Domäne aufnehmen konnte und die Gruppen der Domäne abfragen kann, oder?

 

Bzw. Ich hab jetzt nix in den Lokalen Sicherheitseinstellungen des Win 2003 R2 von wegen NTLM 2 finden können. Gibts das nicht erst seit 2008????

Win 2003 R2. Mit 2008 R2 ging ja gar nix :-)

So, ich denke eine kleinigkeit Fehtl noch. Sobald ich den IE öffne kommt ein Fenster mit Benutzername / Passwort abfragen.

Im Eventlog vom Squid steht dann folgendes:

 

2010/04/26 15:42:36, 0] utils/ntlm_auth.c:557(winbind_pw_check)

Login for user [MEINEDOMÄNE]\[MEINBENUTZERNAME]@[MEINRECHNERNAME] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/lib/samba/winbindd_privileged are set correctly.]

[2010/04/26 15:42:36, 0] utils/ntlm_auth.c:832(manage_squid_ntlmssp_request)

NTLMSSP BH: NT_STATUS_ACCESS_DENIED

2010/04/26 15:42:36| authenticateNTLMHandleReply: Error validating user via NTLM. Error returned 'BH NT_STATUS_ACCESS_DENIED'

 

Finde zu dem Thema nur Fragen im Internet ohne definitive Antowort.

Also wbinfo -t schlug erst mal fehl. Hab dann mal direkt an dem Rechner ein neustart initiiert - zwar schon 20 mal per ssh gemacht aber jetzt bringt wbinf -t wenigstens wieder: wbinfo -t

checking the trust secret via RPC calls succeeded

 

ebenso bekomme ich mit wbinfo -g alle Domänengruppen angezeigt.

 

Also. Bin da jetzt weiter. Nur das das ganze unter Linux SUSE 11.2 und Squid 3 in folgendem Verzeichnis liegt:

/usr/bin/ntlm_auth

 

Mach jetzt mal weiter. KOmmt nämlich noch eine Passwortabfrage... Muss mal paar Sachen checken. Meld mich nachher nochmal.

Hab den Eintrag "erweitert". Hatte das schon drin nur das am Schluss "require-membership-of=DOMÄNE/GRUPPENNAME" nicht.

 

Hab den Eintrag also hinzugefügt und wenn ich nun Squid über Webmin starten möchte kommt gleich die Meldung:

 

2010/04/26 09:12:04| cache_cf.cc(346) squid.conf:207 unrecognized: 'require-membership-of=FIRMENNAME/INTERNETGRUPPE'

Hallo Leute.

 

Ich bastel schon seit 2 Tagen an unserer Suse Büxe rum. Habe dort Squid installiert. LDAP mit Kerberos tut auch.

Ich kann mit per SSH alle Netzwerkgruppen der AD anzeigen lassen. So weit so gut.

Aber wir bekomme ich das jetzt hin - dass ich diverse AD Gruppen berechtige den Proxy zu nutzen und den Rest nicht?

Ich finde da einfach absolut nichts im Netz.

Wichtig wäre mit - dass es NTLM ist und nicht LDAP - da ich den Usern nicht zumuten möchte, dass die sich jedes mal in einem Extra Fenster anmelden müssen.

Also die TeraSTation läuft wieder - dankd em Tip das Computerkonto aus der AD zu entfernen und wieder reinzunehmen.

Die WD NAS geht noch nicht. Obwohl ich auf der Freigabe mein Domänenkonto hinzufüge kommt eine Benutzername / PAsswortabfrage - und wenn ich dann meien Daten eingebe steht in dem WIndows 7 Fenster - dass das Netzwerkkenwort falsch ist.

 

Zum DNS. Meiner Meinung nach läuft DNS. Kann zumindest nicht gegenteiliges feststellen. DNS Server ist der neu Win 2008 R2 Server.

Netz genauer beschreiben... Ich weis nicht wo ich anfangen soll. Ich versteh es noch nicht. Wie gesagt in Hauptstelle einen neuen Win 2008 R2 als DC und alle FSMO Rollen gegeben. Seit dem funktioniert die Authentifizierung von einigen Sachen nicht richtig.

NAS System zum Beispiel. Ebenso die AUthentifizierung über ein Webinterface an einem Drittherstellerprogramm.

Alle Server Win 2003 und 2003 R2.

Was brauchst noch? Wüsste jetzt was ihr für INfos braucht. Hab keine Ahnung wo ich ansetzen sollte.

Leider noch auf Win 2000 da wir in einer Außenstelle noch 1 DC 2000 haben.

Wenn ich den NAS Geräten sage - dass der DC ein 2003 er ist - dann flutscht die Sache wieder. Wenn ich es wieder auf den 2008er umstelle gehts wieder nicht.

Ebenso habe ich gesehen, dass der 2008er Server auch den Port 389 abweist - obwohl die Firewall deaktiviert ist.

Hallo, ich hab gestern einen ersten Win 2008 R2 in unser Win 2003 Netzwerk hochgezogen. Nach dem ersten Tag als DC hab ich ihm dann allle FSMO Rollen gegeben und ist jetzt der "wichtige Junge" face-smile

 

Leider hab ich seit heut Mitag Probelme. Erst hat Exchange 2003 abgegakt - das wohl keine DC's der Domäne erreichbar sind. Das geht jetzt wieder.

Allerdings hab ich von einigen Programm - unter anderem ein GFI Programm Authentigzierungsprobleme. Ich muss mich jetzt von dem Server per Webinterface in einem Logonfenster anmelden- als ob NTLM nicht mehr funktionieren würde. Ebenso gibts dann noch bei anderen Programmen Authentifizerungsprobleme.

 

Ebenso kann ich mich auf den NAS Geräten nicht mehr anmelden. Da kommt eine Meldung:

Das System hat eine mögliche Sicherheitsgefahr festgestellt. Stellen Sie sicher, dass Sie mit dem Server, der Sie authentifziert hat, Verbindung aufnehmen können.

 

Ich habe jetzt mal die Firewall auf dem Win 2008 R2 Server komplett deaktiivert (nutzt die eigentlich jemand von euch?). Aber ich seh im Eventlog unter sichherit immer Veroworfene Pakete welche von Servern kommen an den Win 2008 R2 Server mit 389. Das ist doch LDAP?!? Das würde auch meine Probleme erklären. Aber wie deaktiviere ich diese Windows Filterplattform? Bzw. was muss ich einstellen dass die Authentifizierung wieder get? Komischerweise gehen die Drucker welche per LDAP User im AD suchen ohne Probleme.

 

Alle anderen Server sind Win 2003 oder Win 2003 R2

Überallhin ist immer gut :-)

 

Vielen Dank und schon mal schönes Wochenende.

Habs jetzt hinbekommen. Habe im SMTP Connector bei den Adressräumen unsere Domänen eingetragen. Jetzt mit einem "*" funktionierts.

Ist das dann so korrekt eingestellt mit dem *?

Ne, ich hatte bisher keine SMTP Connector. Das lief alles über den Virtuellen Standardtserver SMTP.

 

Also habe ich jetzt einen ersten SMTP Connector eingerichtet. Allerdings kommt es mir vor, als ob der "umgangen" wird und es immer noch über den Virtuellen SMTP läuft.

Hallo. Wir haben eine Aushilfe bekommen, der das Senden in das INternet nicht gestattet werden soll.

 

Also habe ich einen SMTP Connector erstellt (Exchange 2003). Habe dort dann unsere Maildomänen eingetragen und dann die Benutzerin eingetragen bei ablehnen.

 

Habe den RegKey gesetzt und alle Dienste neu gestartet.

 

Userin kann aber immer noch in das Internet verschicken :-(

 

Noch ein Tip?

Also habs jetzt hinbekommen. Man muss im Backupexec12d einfach nur die Snapshottechnoligie nutzen dann werden die DFS-R Daten auch mitgesichert :-)