Squid на два домена?

Question

[I_AM_SHEFF]

Добрый день, коллеги!
Настроен squid с интеграцией через керберос с AD.
Все работает, всё здорово.
Имеется два контроллера домена - основной и резервный.
В случае отключения основного DC1, squid при запуске браузера начинает запрашивать логин пароль. (т.е. не работает синхронизация с DC)
Куда смотреть? Что нужно проверить?
Спасибо!

Answer 1

[akelsey]

Наверное AD вряд ли причем, если все остальные сервисы работают. Подозреваю SQUID настроен только на один контроллер, обычно это в секции "external_acl_type" через ключ "-S" прописан контроллер домена.
Если там всё норм, то второй вариант - возможно для второго DC не прописан PTR в обратной зоне.
А так то в выходные - включить вербоз логгинг, потушить первый DC и дебажить...

Comments

[I_AM_SHEFF]

Вырубил DC1, решил проверить получит ли тикет от DC2 - получил. Но все равно не пускает юзеров в инет.
1) Строчка из конфига:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/prx.domen.local@DOMEN.LOCAL

external_acl_type inet_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g GR1@DOMEN.LOCAL
external_acl_type inet_full ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g GR2@DOMEN.LOCAL
external_acl_type inet_low ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g GR3@DOMEN.LOCAL
2) В конфиге krb, указаны оба домена:
[realms]
DOMEN.LOCAL = {
kdc = dc1.domen.local
kdc = dc2.domen.local
admin_server = dc1.domen.local
default_domain = domen.local
}
3) PTR записи на оба домена имеются. Все резолвится.
4) Роль FSMO принадлежит только DC1.

[I_AM_SHEFF]

В логах при выключенном DC1, сыпется вот это:
ldap_sasl_interactive_bind_s error: Can't contact LDAP server
Ну понимаю что не может законнектится, а что может мешать...

[akelsey]

I_AM_SHEFF, ну хотя бы netstat надо глянуть куда он ломится в этот момент. Verbose логгинг включить.

Answer 2

[Максим Корнеев]

не часто в наше время встретишь AD на NT или В2К.

я бы рекомендовал задуматься об обновлении оборудования и ПО - уже пора.

ну и передавайте респект автору и горячие приветы тем, кто его уволил и взялся работать вместо него. последнего начинать учить. например тому, что не надо отключать DC во время работы.

кстати, а зачем Вам Сквид?

Answer 3

[CityCat4]

Настроен squid с интеграцией через керберос с AD

В случае отключения основного DC1, squid при запуске браузера начинает запрашивать логин пароль

Ну значит либо такая интеграция, либо такая AD. Потому что в нормальной AD MS где-то там внутри себя обеспечивает переключение между DC.

Строку auth_param, которая настраивает интеграцию с AD покажите

Comments

[I_AM_SHEFF]

Вырубил DC1, решил проверить получит ли тикет от DC2 - получил. Но все равно не пускает юзеров в инет.
1) Строчка из конфига:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/prx.domen.local@DOMEN.LOCAL
2) В конфиге krb, указаны оба домена:
[realms]
DOMEN.LOCAL = {
kdc = dc1.domen.local
kdc = dc2.domen.local
admin_server = dc1.domen.local
default_domain = domen.local
}
3) PTR записи на оба домена имеются. Все резолвится.
4) Роль FSMO принадлежит только DC1.

[I_AM_SHEFF]

В логах при выключенном DC1, сыпется вот это:
ldap_sasl_interactive_bind_s error: Can't contact LDAP server
Ну понимаю что не может законнектится, а что может мешать...

[CityCat4]

I_AM_SHEFF, Параметр -D опустили напрасно - он и обеспечивает переключение DC в домене - у Вас он запрашивает один конкретный сервер и если он лежит - все, ква.