У меня EL6, доводить до EL7 придется Вам самим.
- Как называется файл keytab? Если иначе чем krb5.keytab - его имя нужно передавать через окружение. Squid принимает его через переменную KRB5_KEYTAB, которую я занес в /etc/sysconfig/squid:
# Kerberos keytab file
KRB5_KTNAME="/etc/proxy.keytab"
export KRB5_KTNAME
- Принципал записан правильно? Вот так у меня выглядит auth_param:
auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/proxy.domain.tld@DOMAIN.TLD
Вот так выглядит external_acl, который отслеживает вхождение в группу:
external_acl_type full ttl=300 negative_ttl=60 children-startup=5 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g AccessFull -D DOMAIN.TLD
(AccessFull - группа в AD)
- что говорит подобная команда?
kinit -k -t /etc/proxy.keytab HTTP/proxy.domain.tld
(должна отработать без вопросов)
Каким орбразом мапился принципал? Я для этого использовал команду
виндовой консоли (делалось давно!):
ktpass -princ HTTP/proxy.domain.tld@DOMAIN.TLD -mapuser proxy -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass 123456 -out c:\proxy.keytab
(использовался доменный юзер proxy и его пароль)
