[RESOLVIDO]3.3.4-Proxy autenticado e Single Sing On(Kerberos) Não tá funcionando

[wemersonrv]

Boa noite galera.

Configurei o zentyal como controlador de dominio e o proxy pra usar o kerberos pra autenticar os usuários do dominio na navegação. Porém nos clientes windows ao tentar navegar, abre tela de autenticação e pelo kerberos estar ativado no proxy não autentica... então se eu desabilito o kerberos no proxy os usuários conseguem autenticar e navegar.

Porém eu quero evitar é justamente essa autenticação no Browser, por isso usar o kerberos. Eu tava com um teste na versão 3.3.2 e tava funcionando... mas como eram testes em maquina virtual eu apaguei e refiz agora na versão 3.3.4 e tá dando esse detalhe.

Alguém já passou por isso?

[schevandro]

Ola pessoal, também estou enfrentando o mesmo problema. Se alguém souber a solução...

[wemersonrv]

Creio que encontrei a solução.

Eu estava testando a instalação feita a partir dos repositórios sobre o ubuntu e além desse problema tive problemas ao configurar como controlador de domínio adicional de um domínio 2008...  Testei inúmeras vezes,  inclusive formatando o servidor e instalando de novo; porém sem sucesso!!!.

A solução foi simples, como eu havia testando antes a versão instalada direto da iso do zentyal; refiz todos os testes usando ela e foi tudo às mil maravilhas... ENTÃO USE A MÍDIA DE INSTALAÇÃO E SEJA FELIZ!!!

Se não quer ambiente gráfico, beleza... é só deixar ele de fora da instalação... Eu já prefiro instalar com o ambiente gráfico pois é até mais rápido pra fazer os ajustes direto no servidor por ele... depois se não quizer mais é só desinstalar e pronto.

[schevandro]

wemersonrv, fiz o que você indicou, porém agora estou com outro problema. Quando os computadores estão no domínio, deu certo, passa pelo proxy automaticamente, porém se o computador não está no domínio, ele pede a senha e usuário, normalmente, como deve ser, porém, é ai que está meu problema, o proxy não autentica de jeito nenhum, eu informo usuário e senha e ele volta a pedir. Você tem alguma idéia do que pode estar acontecendo?

[wemersonrv]

wemersonrv, fiz o que você indicou, porém agora estou com outro problema. Quando os computadores estão no domínio, deu certo, passa pelo proxy automaticamente, porém se o computador não está no domínio, ele pede a senha e usuário, normalmente, como deve ser, porém, é ai que está meu problema, o proxy não autentica de jeito nenhum, eu informo usuário e senha e ele volta a pedir. Você tem alguma idéia do que pode estar acontecendo?

Se quer que os usuários logados naveguem sem autenticar no browser, ative o Kerberos... Agora se quizer que usuários fora do dominio naveguem, vai ter que desativar o kerberos e forçar todo munto a se autenticar sempre que abrir o navegador, independente de estar ou não no domínio.

Não sei se é um bug do Kerberos ou o que que é... mas realmente... com ele ativado, só usuários devidamente logados que rodam.

Faça um teste: Ative o Kerberos e configure no seu proxy uma regra do tipo DENY ALL (NEGAR TODOS) e se logue com um usuário que esteja sobre essa regra e tente navegar mesmo logado no dominio... vai ver que antes de negar ele vai abrir a autenticação, mas ela não vai funcionar...

[schevandro]

É, realmente com o kerberos ativo, não consigo logar sem estar no domínio. Vou pesquisar e ver se encontro alguma solução, se encontrar posto aqui.

[wemersonrv]

É, realmente com o kerberos ativo, não consigo logar sem estar no domínio. Vou pesquisar e ver se encontro alguma solução, se encontrar posto aqui.

Eu acho que não tem como... é isso mesmo... Afinal estamos sincronizando com o domínio e se tá usando com um usuário que não tá logado no domínio... mesmo ele fazendo parte do domínio, a máquina não está.

[fabbioca]

O Meu zentyal está conectado ao meu AD win2008 standart r2 , funcionando perfeitamente, porém eu quero fazer o inverso, toda vez que abrir o browser que o usuario coloque seu usuario e senha e autentique!  (nas versões antigas eu fiz funcionar assim, pois tinha a opção no proxy "autorizar e permitir). A grande questão é que a opção de kerberos no proxy fica marcada e "travada" não tem como desabilitar os "kerberos". tem como fazer isso forçado, por comando ? alguém já fez funcionar?   

[wemersonrv]

Basta desmarcar a opção do Kerberos no proxy...