Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Oracle Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Dmitrixz
Member

Откуда:
Сообщений: 47
Oklist показывает user@domain.local, при попытке соединиться к бд, выдаёт ошибку неверное имя пользователя. В базе такого пользователя завёл externally. В чем может быть проблема?
29 сен 16, 15:52    [19724387]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
stranger.
Member

Откуда: ... а откуда не скажу
Сообщений: 236
Configuring ASO Kerberos Authentication with a Microsoft Windows 2008 R2 Active Directory KDC (Doc ID 1304004.1)
29 сен 16, 15:59    [19724424]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Dmitrixz,
авторизация в оракле виндовс АД пользователей
должно работать
29 сен 16, 17:43    [19724963]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Vadim Lejnin
Member

Откуда:
Сообщений: 7125
Dmitrixz
Oklist показывает user@domain.local, при попытке соединиться к бд, выдаёт ошибку неверное имя пользователя. В базе такого пользователя завёл externally. В чем может быть проблема?


Дьявол сидит в деталях
HOWTO :: Как правильно задавать вопросы

Для Вашего случая потребуются:
1) Версии СУБД, клиента и MS AD
2) sqlnet.ora с сервера и клиента
3) krb.conf с сервера и клиента, как
4) sql*net trace file
5) какие протоколы шифрования настроены
6) как создавались пользователи в MS AD (если это MS AD), опции пользователя по использованию preauthorizaion и используемых протоклов
7) как создавались пользователи на RDBMS, это не контейнер часом? Какие prefix параметры
8) как создавалась keytable в MS AD

0) Какий документацией пользовались для настройки
29 сен 16, 19:46    [19725482]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
bova
Member

Откуда:
Сообщений: 9
Dmitrixz, мне помогло пересоздание пользователя в верхнем регистре
30 сен 16, 10:35    [19726824]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Vadim Lejnin
Member

Откуда:
Сообщений: 7125
bova
Dmitrixz, мне помогло пересоздание пользователя в верхнем регистре


Без конфигурации и логов - гадание на кофейной гуще
Так как используется kerberos, то скорее всего авторизация либо к MS AD, либо к другой директории
Причем с разными системами, бо MS - MS соединение не требует kerberos
30 сен 16, 11:49    [19727365]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
bova
Member

Откуда:
Сообщений: 9
Vadim Lejnin, IMHO предоставленные логи и конфигурация также могут быть бесполезны, чаще всего ошибки в логах не информативны.
Тогда на помощь приходит tcpdump + Wireshark
30 сен 16, 12:10    [19727537]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
bova
Member

Откуда:
Сообщений: 9
Еще могу посоветовать следующий документ
Kerberos Troubleshooting Guide (Doc ID 185897.1)

по вашей ошибке
ORA-1017 : Invalid username/password; logon denied,
там есть несколько рекомендаций
30 сен 16, 12:19    [19727595]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Vadim Lejnin
Member

Откуда:
Сообщений: 7125
bova
Vadim Lejnin, IMHO предоставленные логи и конфигурация также могут быть бесполезны, чаще всего ошибки в логах не информативны.
Тогда на помощь приходит tcpdump + Wireshark

В данном случае tcpdump вряд ли поможет, так как идет шифрованный обмен
30 сен 16, 13:21    [19728082]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Dmitrixz
Member

Откуда:
Сообщений: 47
Oracle 11gr2 standard edition крутится на oracle Linux. Верхний регистр не помог (((
30 сен 16, 17:10    [19729976]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
iehf
Member

Откуда: Москва
Сообщений: 323
Dmitrixz,
oracle пересобрали для кербероса?
30 сен 16, 17:30    [19730056]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Vadim Lejnin
Member

Откуда:
Сообщений: 7125
iehf
Dmitrixz,
oracle пересобрали для кербероса?


Сейчас это не нужно, Сильно зависит от версии :)
ТС молчит как партизан по поводу версии, может у него 10g?
30 сен 16, 22:18    [19730958]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Vadim Lejnin
Member

Откуда:
Сообщений: 7125
Vadim Lejnin
iehf
Dmitrixz,
oracle пересобрали для кербероса?


Сейчас это не нужно, Сильно зависит от версии :)
ТС молчит как партизан по поводу версии, может у него 10g?

Пардон не увидел ваше сообщение про 11gR2
Но рекомендации для 11.2.0.3 и 11.2.0.4 будут разные
Для 11.2.0.3 нужны патчи

Включите трасировку для клиента, так увидите какого пользователя запрашивает клиент у Oracle

И сравните с тем что Вы настроили
30 сен 16, 22:21    [19730969]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Dmitrixz
Member

Откуда:
Сообщений: 47
Вадим, а поподробнее про патчи не расскажете? Что именно не хватает? Все недостающие файлы скопировал с версии enterprise. Что-то ещё нужно?
3 окт 16, 09:40    [19736162]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
bova
Member

Откуда:
Сообщений: 9
Dmitrixz
Oracle 11gr2 standard edition крутится на oracle Linux. Верхний регистр не помог (((

У меня большие сомнения, что kerberos заведется на Standart Edition, так как kerberos входит в состав Oracle Advanced Security Option
3 окт 16, 09:51    [19736212]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
bova
Member

Откуда:
Сообщений: 9
Чтобы проверить доступна ли авторизация по Kerberos, нужно запустить команду

$ORACLE_HOME/bin/adapters
..
Kerberos v5 authentication << должно присутствовать в выводе

, иначе настраивать что-либо бесполезно
3 окт 16, 09:56    [19736241]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Dmitrixz
Member

Откуда:
Сообщений: 47
настраивал все вот по этим двум инструкциям
http://www.oradba.ch/2016/07/using-kerberos-in-oracle-standard-edition/
из этой настроил работы кербероса в стандарт едишин, скопировал недостающие файлы с интерпрайз

oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/bin/oklist 11.2.0.4se/bin/oklist
oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/bin/okinit 11.2.0.4se/bin/okinit
oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/bin/okdstry 11.2.0.4se/bin/okdstry
oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/network/mesg/naukus.msb 11.2.0.4se/network/mesg/naukus.msb
oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/network/mesg/naukus.msg 11.2.0.4se/network/mesg/naukus.msg



нужны же только эти 5 файлов?или что-то еще требуется для корректной работы?
по второй же http://www.ateam-oracle.com/configuring-your-oracle-database-for-kerberos-authentication/
настраивал все остальное. До 4 пункта все работает oklist пользователя видит. А вот с 5 пунктом уже проблемы. При подключении /@test даёт полный отворот, а именно если в sqlnet прописываю authentication_services=none, то пишет неверный логин пароль, если же пишу как по мануалу beq,kerberos5, вообще меня удивляет выдавая ошибку сегментирования (core dumped) в чем проблема не могу понять.
3 окт 16, 10:15    [19736314]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Dmitrixz
Member

Откуда:
Сообщений: 47
bova, все присутствут. Проблема уже конкретно с авторизацией
3 окт 16, 10:16    [19736318]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Вячеслав Любомудров
Member

Откуда: Владивосток
Сообщений: 18482
А зачем ты дублируешь посты в обоих темах?
3 окт 16, 10:29    [19736362]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
bova
Member

Откуда:
Сообщений: 9
Dmitrixz
настраивал все вот по этим двум инструкциям
http://www.oradba.ch/2016/07/using-kerberos-in-oracle-standard-edition/
из этой настроил работы кербероса в стандарт едишин, скопировал недостающие файлы с интерпрайз

oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/bin/oklist 11.2.0.4se/bin/oklist
oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/bin/okinit 11.2.0.4se/bin/okinit
oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/bin/okdstry 11.2.0.4se/bin/okdstry
oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/network/mesg/naukus.msb 11.2.0.4se/network/mesg/naukus.msb
oracle@urania:/u00/app/oracle/product/ [TDB11B] cp 11.2.0.4/network/mesg/naukus.msg 11.2.0.4se/network/mesg/naukus.msg



нужны же только эти 5 файлов?или что-то еще требуется для корректной работы?
по второй же http://www.ateam-oracle.com/configuring-your-oracle-database-for-kerberos-authentication/
настраивал все остальное. До 4 пункта все работает oklist пользователя видит. А вот с 5 пунктом уже проблемы. При подключении /@test даёт полный отворот, а именно если в sqlnet прописываю authentication_services=none, то пишет неверный логин пароль, если же пишу как по мануалу beq,kerberos5, вообще меня удивляет выдавая ошибку сегментирования (core dumped) в чем проблема не могу понять.


1. Чтобы kerberos работал обязательно нужно SQLNET.AUTHENTICATION_SERVICES=(beq,kerberos5)
2. select value from v$parameter where name = 'os_authent_prefix'; --должно быть пусто
3. Выше уже писали, нужно показать все конфиги, так сложно гадать.
3 окт 16, 12:15    [19736815]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Dmitrixz
Member

Откуда:
Сообщений: 47
Boba, все настроено по инструкциям, которые я упомянул выше, authentication services =beq,kerberos5. При этом выдаёт ошибку ora-12638 credential retrieval failed. При чем обычное соединение из по sysdba тоже не проходит, такая же ошибка. Мне кажется проблема в том, что это все на standard edition, может какие патчи нужны?
3 окт 16, 13:59    [19737401]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Dmitrixz
Member

Откуда:
Сообщений: 47
Oracle 11.2.0.3
3 окт 16, 14:04    [19737421]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
bova
Member

Откуда:
Сообщений: 9
Dmitrixz
Boba, все настроено по инструкциям, которые я упомянул выше, authentication services =beq,kerberos5. При этом выдаёт ошибку ora-12638 credential retrieval failed. При чем обычное соединение из по sysdba тоже не проходит, такая же ошибка. Мне кажется проблема в том, что это все на standard edition, может какие патчи нужны?


>>ora-12638 credential retrieval failed
Вот с этой то ошибки и надо было начинать ))

>>все настроено по инструкциям
один раз настраивал по инструкции, но пару недостающих пробелов в конфиге krb5.conf, сильно затянули настройку

1. 5 шаг попробуйте пропусить и перейдите к 6-ому на клиенте
2. Если есть доступ к support.oracle.com читайте нотку Kerberos Troubleshooting Guide (Doc ID 185897.1), там есть эта ошибка

Ниже приведу причины этой ошибки:
1. Hostname not fully qualified.
2. Time difference between Kerberos server and Oracle server.
3. Mis-configuration of krb5.conf file on the client.
4. Incorrect mapping between the database server domain and realms in krb5.conf on both client and server
5. Kerberos requests are sent to read only domain controllers

заключение: причин много, иногда это может быть пробел или регистр имени хоста(домена) в конфиге krb5.conf + баги
3 окт 16, 14:21    [19737477]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
Dmitrixz
Member

Откуда:
Сообщений: 47
SQLNET.AUTHENTICATION_SERVICES=(BEQ,KERBEROS5)
SQLNET.KERBEROS5_CONF=/etc/krb5.conf
SQLNET.KERBEROS5_CONF_MIT=TRUE
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=oracl
SQLNET.KERBEROS5_KEYTAB=/etc/keytab_11g
SQLNET.KERBEROS5_CC_NAME=/tmp/krb5cc_54321

krb
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = Example.Example
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes
 default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc dec-cbc-md5
 default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc dec-cbc-md5

[realms]
 Example.Example = {
  kdc = Example.Example.Example
  admin_server = Example.Example.Example
 }

[domain_realm]
 .Example.Example = Example.Example
 Example.Example = Example.Example
3 окт 16, 14:23    [19737492]     Ответить | Цитировать Сообщить модератору
 Re: Неверное имя пользователя или пароль при аутентификации с помощью kerberos  [new]
bova
Member

Откуда:
Сообщений: 9
Dmitrixz
SQLNET.AUTHENTICATION_SERVICES=(BEQ,KERBEROS5)
SQLNET.KERBEROS5_CONF=/etc/krb5.conf
SQLNET.KERBEROS5_CONF_MIT=TRUE
SQLNET.AUTHENTICATION_KERBEROS5_SERVICE=oracl
SQLNET.KERBEROS5_KEYTAB=/etc/keytab_11g
SQLNET.KERBEROS5_CC_NAME=/tmp/krb5cc_54321

krb
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = Example.Example
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 forwardable = yes
 default_tkt_enctypes = arcfour-hmac-md5 des-cbc-crc dec-cbc-md5
 default_tgs_enctypes = arcfour-hmac-md5 des-cbc-crc dec-cbc-md5

[realms]
 Example.Example = {
  kdc = Example.Example.Example
  admin_server = Example.Example.Example
 }

[domain_realm]
 .Example.Example = Example.Example
 Example.Example = Example.Example


Вот видите вы делали по инструкции, а в инструкции написано

маппинг realm и доменного имени

[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM


* домен должен быть в нижнем регистре
* realm - в верхнем

проверьте еще раз чтобы регистры не отличались от инструкции, и пробуйте дальше
3 окт 16, 14:32    [19737545]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Oracle Ответить