Ответы пользователя по тегу Kerberos
  • Почему Squid не аутентифицируется через Actice Directory?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    У меня EL6, доводить до EL7 придется Вам самим.
    - Как называется файл keytab? Если иначе чем krb5.keytab - его имя нужно передавать через окружение. Squid принимает его через переменную KRB5_KEYTAB, которую я занес в /etc/sysconfig/squid:
    # Kerberos keytab file
    KRB5_KTNAME="/etc/proxy.keytab"
    export KRB5_KTNAME

    - Принципал записан правильно? Вот так у меня выглядит auth_param:
    auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -k /etc/proxy.keytab -s HTTP/proxy.domain.tld@DOMAIN.TLD

    Вот так выглядит external_acl, который отслеживает вхождение в группу:
    external_acl_type full ttl=300 negative_ttl=60 children-startup=5 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -a -g AccessFull -D DOMAIN.TLD

    (AccessFull - группа в AD)
    - что говорит подобная команда?
    kinit -k -t /etc/proxy.keytab HTTP/proxy.domain.tld

    (должна отработать без вопросов)
    Каким орбразом мапился принципал? Я для этого использовал команду виндовой консоли (делалось давно!):
    ktpass -princ HTTP/proxy.domain.tld@DOMAIN.TLD -mapuser proxy -crypto rc4-hmac-nt -ptype KRB5_NT_SRV_HST -pass 123456 -out c:\proxy.keytab

    (использовался доменный юзер proxy и его пароль)
    Ответ написан
  • Почему доменный пользователь не попадает на рабочий стол в Linux?

    CityCat4
    @CityCat4
    Если я чешу в затылке - не беда!
    net ads testjoin?
    На скрине точно вся секция global? Если да, где interfaces=, где password server=?

    Могу конфиг самбы выслать - точно рабочий, domain member.
    Ответ написан