@I_AM_SHEFF

Не работает squid на 2 домена?

Коллеги, добрый день! Бьюсь долгое время с данной проблемой.
Имеем Squid 3.5.8, Active Directory (два DC).
Настроена интеграция через керберос с AD.
Все работает, всё здорово.
Но когда отключаешь DC1 - сквид начинает блокировать весь траффик. Если включить тутже DC1, то все работает как надо. (группы, блокировки, ACL все работает)
Пересоздавал krb5.keytab. При выключении DC1, squid получает билет от DC2, все отображается в klist. PTR записи имеются, всё резолвится.
Ниже конфиги, логи.

В момент блокировки в access.log в основном код 407.
А в cache.log следующее:
spoiler
kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can't contact LDAP server
kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can't contact LDAP server


squid.conf
spoiler
### negotiate kerberos
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/prx.domen.local@DOMEN.LOCAL
auth_param negotiate children 60
auth_param negotiate keep_alive off

external_acl_type inet_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-medium@DOMEN.LOCAL
external_acl_type inet_full ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-full@DOMEN.LOCAL
external_acl_type inet_low ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-low@DOMEN.LOCAL

acl localnet src 192.168.10.0/24

acl my_full external inet_full
acl my_medium external inet_medium
acl my_low external inet_low
acl auth proxy_auth REQUIRED


krb5.conf
spoiler
[realms]
DOMEN.LOCAL = {
kdc = dc1.domen.local
kdc = dc2.domen.local
admin_server = dc1.domen.local
default_domain = domen.local}
  • Вопрос задан
  • 136 просмотров
Пригласить эксперта
Ответы на вопрос 1
CityCat4
@CityCat4
//COPY01 EXEC PGM=IEBGENER
external_acl_type inet_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-medium@DOMEN.LOCAL

Вот тут у меня стоит еще -D DOMEN.LOCAL и -a (принимать все сертификаты без проверки на валидность)
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы