Schlagwort-Archive: Kerberos

Squid Error / Keine Authentisierung via Kerberos an Active Directory auf ESXi-Host

Umgebung

Squid-Proxy-Server auf virtuellem centOS. Hypervisor ist VSphere 5.x. Authentisierung der Proxy-Nutzer via Active-Directory / Kerberos.

 

Problem

Squid bzw. der Nutzer welcher Squid passieren möchte erhält keine gültigen Kerberos-Tickets vom LDAP-Server. Uhrzeit auf Client und centOS-Proxy sind synchron. Eine Abweichung kann nicht gefunden werden.

Das Squid-Logfile gibt folgende Meldungen aus:

2015/08/07 11:23:53 kid1| ERROR: Negotiate Authentication validating user. Error returned ‘BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. Clock skew too great’
2015/08/07 11:37:19 kid1| ERROR: Negotiate Authentication validating user. Error returned ‘BH gss_accept_sec_context() failed: Unspecified GSS failure.  Minor code may provide more information. Ticket not yet valid’

Squid cache.log failed: Unspecified GSS failure.  Minor code may provide more information. Clock skew too great

Lösung

Obowhl die Uhrzeit auf den betroffenden Systemem korrekt ist, lohnt es sich, einen Blick auf den Hypervisor zu werfen. Dieser ist in meinem Fall nicht synchron gewesen. Ein NTP-Abgleich des Hosts schuf Abhilfe. Dies hängt mit der Systemuhr des virt. centOS-Rechners zusammen.Diese basiert auf der Systemzeit des Hypervisors. Gibt es eine Abweichung >5 Minuten, war es das mit einem gültigen Kerberos-Ticket. Also achtet auf eure Uhrzeiten!

Beachte bitte: Auf vSphere 5.x ist die Uhrzeit des vCenters sowie der Hosts immer UTC! Dies ist systembedingt so festgelegt. Da NTP ebenfalls nur UTC-Zeitdaten übermittelt ist alles ok. Also bitte nicht verwirrt sein. 🙂